Awareness

Schatten-IT: Die heimliche IT-Nutzung, die Ihrem Unternehmen schaden könnte

Veröffentlicht am

Durch die Digitalisierung können Unternehmen ihre Geschäftsprozesse effizienter und auch schneller gestalten. Gleichzeitig bringt sie jedoch Herausforderungen mit sich, die oft nicht auf den ersten Blick erkennbar sind. Eine dieser Herausforderungen ist die Schatten-IT. Sie beschreibt IT-Systeme, Anwendungen und Prozesse, die ohne Wissen oder Zustimmung der IT-Abteilung im Unternehmen genutzt werden. Schatten-IT entsteht häufig aus dem Wunsch von Mitarbeitenden, Aufgaben effizienter zu erledigen, indem sie auf alternative Tools zurückgreifen, die nicht offiziell von der IT-Abteilung genehmigt wurden.

Was ist Schatten-IT?

Schatten-IT ist keine Malware oder ein anderes Schadprogramm, das von Cyberkriminellen in die Unternehmenssysteme eingeschleust wird. Es umfasst sämtliche Soft- und Hardwarelösungen, die von den eigenen Mitarbeitenden selbst beschafft und verwendet werden, ohne dass diese in der offiziellen Infrastruktur des Unternehmens integriert sind. Das kann von einfachen Cloud-Speicherlösungen über unlizenzierte Software bis hin zu eigenen Geräten wie Smartphones oder Laptops reichen. Ein bekanntes Beispiel ist die Nutzung von privaten Cloud-Diensten, um Dateien zu teilen oder von verschiedenen Endgeräten aus zu bearbeiten, ohne dass diese Lösungen von der IT-Abteilung des Unternehmens genehmigt wurden.

Bild KI generiert mit Dall-E.

Warum ist eine unkontrollierte IT-Nutzung problematisch?

Systeme oder Anwendungen, die außerhalb von der Genehmigung der IT-Abteilung genutzt werden, können Sicherheitslücken verursachen. Die von Mitarbeitenden eingesetzten Anwendungen entsprechen häufig nicht den Sicherheitsstandards des Unternehmens. Besonders Cloud-Dienste oder Anwendungen, die ohne gründliche Prüfung genutzt werden, können potenzielle Einfallstore für Angreifer darstellen, da die Datenübertragung möglicherweise unverschlüsselt ist und der Zugriff auf vertrauliche Informationen unzureichend gesichert ist. Da Schatten-IT sich zudem der zentralen Verwaltung der IT-Abteilung entzieht, bleiben potenzielle Schwachstellen in der IT-Sicherheit oft unbemerkt. Sicherheitsupdates oder Patches, die notwendig wären, um die Sicherheit zu gewährleisten, werden nicht eingespielt, weil die IT-Abteilung von der Nutzung dieser Tools nichts weiß.

Ein weiteres Risiko besteht in möglichen Compliance-Verstößen. Viele Unternehmen unterliegen strengen regulatorischen Vorgaben, insbesondere im Hinblick auf den Datenschutz. Schatten-IT kann dazu führen, dass sensible Unternehmensdaten in Systeme ausgelagert werden, die nicht den geltenden Datenschutzbestimmungen entsprechen. Dies kann rechtliche Konsequenzen nach sich ziehen, wenn personenbezogene Daten über unsichere Kanäle verarbeitet oder gespeichert werden.

Darüber hinaus erhöht sich die Angriffsfläche mit jeder unkontrollierten Anwendung oder Hardwarekomponente, die im Unternehmen eingesetzt wird. Diese ungesicherten Systeme sind anfälliger für Cyberangriffe, was zu Datenverlust, Betriebsstörungen oder sogar einem vollständigen Ausfall führen kann. Schließlich besteht die Gefahr von Datenverlust und Datenlecks, da die Schatten-IT häufig nicht in die Backups des Unternehmens integriert ist. Das Risiko ist hoch, dass Daten verloren gehen, wenn beispielsweise private Cloud-Speicher genutzt werden, die keine ausreichenden Sicherungsmechanismen bieten. Auch ist nicht sichergestellt, wer auf diese Daten zugreifen kann und welche Sicherheitsvorkehrungen getroffen wurden, weswegen sich das Risiko von Datenlecks weiter erhöht. Trotz des vermeintlichen Produktivitätsgewinns, den viele Mitarbeitende darin sehen, dürfen die damit verbundenen Risiken nicht unterschätzt werden.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.