#44 – Schatten-IT

Hallo und herzlich willkommen zu Folge 44 unseres HAGEL-IT-Podcast. Heute wie immer an meiner Seite Dennis. Moin. Moin Philip. Und heute wieder spannendes Thema dabei. Es geht heute

um Schatten-IT. Schatten-IT klingt gruselig, ist auch ein bisschen gruselig, aber vielleicht erläuterst du in ein, zwei oder auch drei Sätzen vielleicht für alle da draußen, die nicht kennen. Was ist denn der sogenannte Schatten-IT?

Ja, also genau, ich glaube gruselig trifft es schon irgendwie so ein bisschen, weil bei Schatten-IT geht es immer um IT-Bestandteile, Hardware, Software oder Ähnliches, die in einem Unternehmen eingesetzt werden, die aber gar nicht vom IT-Dienstleister oder von der verantwortlichen Person installiert oder geprüft oder freigegeben wurden, sondern eben von Mitarbeitern im Verborgenen, im Schatten quasi installiert und verwendet werden.

Ja, okay. Also im Prinzip Hardware, also physische Hardware oder irgendwie ein Stück Software, was auf einem Rechner installiert wird, das der Mitarbeiter auf eigene Faust macht, mit aber wahrscheinlich einer positiven Intention dahinter.

Ja, häufig unterstellt man den Mitarbeitern erst mal, dass sie dem Unternehmen nicht schaden wollen. Das gibt es natürlich auch, aber bei Schatten-IT geht es eigentlich immer darum, dass der Mitarbeiter eigentlich eine gute Intention hatte, nach bestem Wissen und Gewissen gehandelt hat und gesagt hat, okay, als Beispiel, ich brauche hier WLAN in der Firma. Ich habe da noch so einen Access Point zu Hause, den brauche ich gerade nicht, den stecke ich hier einfach mal eben an und dann haben wir hier WLAN. Ja, okay.

Und wenn man das ganze softwareseitig betrachtet, was wäre da ein klassisches Beispiel? Also ich sage mal, ich habe hier eine gepackte Datei, habe gerade nichts zum Entpacken, installiere

mir kurz ein... Ja, ein Entpackungstool. Oder ich habe hier eine PDF-Datei, die würde ich gar nicht... Da muss ich was bearbeiten drin. Das geht aber mit der Software, die ich hier habe, nicht. Ich kenne aber was, das installiere ich mal eben. Da ist häufig das Problem, dass für den privaten Einsatz andere Lizenzrechte gelten als für den Unternehmenseinsatz. Das heißt häufig Software, die ich im Privaten kostenfrei verwenden darf, ist für den Unternehmenseinsatz aber kostenpflichtig. Der Mitarbeiter klickt aber genauso drauf. Ich bin Privatanwender, ich installiere das mal eben. Aber das ist auf dem Firmenrechner und schon habe ich Lizenzverstoß.

Ja, und da stoßen wir ja im Prinzip schon an zwei Probleme, nämlich einmal den eben besagten Lizenzverstoß. Und im Zweifel ist das ja aber auch was, das man eigentlich ganz gut sichern kann. Also ich sage mal, von all dem, was zur Shadden-IT zählt, ist jetzt die Installation von irgendeinem Programm auf einem Firmenrechner noch ganz gut abzuwenden, oder? Genau.

Wir haben noch einen anderen Bereich. Da wird es dann möglicherweise auch nochmal ein Stück gefährlicher, nämlich den Bereich, der auch mit am schwersten zu kontrollieren ist, Cloud-Applikationen. Also der klassische Cloud-Speicher wie Dropbox zum Beispiel, wenn ein Mitarbeiter den nutzt und dort Dateien und Dokumente hochlegt von seinem Firmenrechner aus, dann habe ich ganz schnell natürlich auch irgendwie Dokumente mit Inhalt, der vielleicht vertraulich ist, der plötzlich auf ungesichertem Wege das Haus verlässt.

Okay, das heißt, du meinst im Prinzip gar nicht zwingende Installation von einem Stück ... Software, sondern ich gehe über meinen Browser auf dropbox.com, ... ... um bei deinem Beispiel zu bleiben, ... ... logge mich mit meinem privaten Account ein ... ... und kann dann ja im Prinzip im Beliebigen mir aussuchen, ... ... welche Dateien ich aus dem Sharepoint oder ... ... aus meinem Netzlaufwerk mal ganz kurz in meine eigene ... ... Dropbox verschieben möchte. Woher auch immer, genau.

Und schon habe ich halt eben Daten, die das Unternehmen ... ... verlassen und über die ich keine Kontrolle mehr habe. Ich weiß nicht, wo landen diese Daten danach ... ... und ich kann auch nicht kontrollieren, was passiert, ... mit diesen Daten.

Ja. Jetzt haben wir hier in dem Beispiel angesprochen, dass unter Umständen Daten entwendet werden können, aber ich glaube, es ist ja auch nicht weniger gefährlich im Zweifel, welche Daten von dieser Dropbox vielleicht in mein unternehmerisches Umfeld wandeln können.

Klar. Auch da kann natürlich vielfältiger Schaden eintreten. Ich kann über den Bereich von Lizenzverstößen, aber auch genauso natürlich Schadsoftware kann darüber kommen. Wenn wir zurückkommen zum ersten Beispiel, der WLAN-Accesspoint, dann ist es ja möglicherweise auch so, dass der Mitarbeiter oder die Mitarbeiterin, die das Gerät installiert hat, sich vielleicht nicht ganz so viele Gedanken über die Absicherung gemacht hat. Und jetzt kann ein Angreifer von außerhalb möglicherweise über dieses WLAN, was schlecht gesichert ist oder auf einem veralteten Verschlüsselungsstandard basiert, plötzlich Zugriff auf mein internes Netzwerk erlangt. Und schon habe ich einen Angreifer im Firmennetzwerk, im Unternehmensnetzwerk, was ich bis dato vielleicht auch bewusst ohne WLAN ausgestattet habe, um genau diesen Einfallsweg nicht zu haben.

Ja, okay. Das heißt ja so ein bisschen, so gut die Intention auch gewesen sein mag oder das Problem, das vielleicht der einzelne Mitarbeiter damit lösen wollte, es vielleicht aber auch gewollt war, dass genau dieses Problem in Anführungszeichen gar nicht gelöst wird. Genau richtig, ja. Gut, jetzt haben wir glaube ich ganz gut erläutern können, was sogenannte Shadden-IT ist. Jetzt kann ich mir vorstellen, dass es da draußen den ein oder die eine Hörerin gibt, die sich vielleicht fragt oder der sich vielleicht fragt, okay, jetzt weiß ich, was ist das, aber wie mache ich mich denn jetzt auf den Weg, um bei mir im Unternehmen festzustellen, A, habe ich Shadden-IT, wobei ich jetzt hier nach den ersten paar Minuten schon sagen muss, vermutlich gibt es kein Unternehmen, das keine hat. Aber A, habe ich Shadden-IT? Und vor allem B, wie finde ich es raus bzw. wie kann ich die lokalisieren?

Also ich glaube, ganz wichtig ist zu sagen, das was du eben auch gemeint hast, es gibt glaube ich kein Unternehmen, gerade auch kein mittelständisches Unternehmen, das keine Shadden-IT hat. Ich glaube, das kann man mit an Sicherheit grenzender Wahrscheinlichkeit behaupten. Und das ist erstmal ganz wichtig zu verstehen. Das heißt, man braucht sich nicht fragen, muss ich überhaupt danach suchen, sondern man sollte sich eigentlich fragen, wie und wann suche ich danach. Und das ist auch der erste Schritt. Ich muss erstmal gucken, dass ich mir einen Überblick verschaffe, was habe ich eigentlich an IT. Das geht damit los, dass ich eine Begehung vielleicht einfach mal der Betriebsräume mache und mal schaue, was finde ich eigentlich so an IT-Ausstattung. Und ich bin mir sicher, jeder, der jetzt einfach mal aufsteht, nachdem er unsere Podcast-Folge gehört hat und mal durch die Büros geht, der wird erstaunt sein, was er da alles findet. Wirklich von Access-Points über privat installierte Switches und Mäuse und USB-Sticks und irgendwelche Tischventilatoren oder was auch immer. Da gibt es garantiert ganze Säckeweise voller NLT-Equipment, die sich da finden lassen. Also erst mal Überblick verschaffen. Das Ganze natürlich auch softwareseitig. Also ich kann ja auch oder sollte natürlich auch in dem Zuge mal die verwendeten PCs auch mal inventarisieren, auch digital inventarisieren und schauen, welche Software ist denn da installiert.

Ja, das klingt jetzt aber schon, also das mit der Hardware, okay, man geht mal durch, guckt im Prinzip, an was kann ich mich erinnern, das bestellt zu haben im Zweifel oder was eben auch nicht. Bei der Software wird das natürlich schon ein bisschen schwieriger oder vor allem aufwendiger.

Bisschen aufwendiger, genau, aber natürlich unerlässlich. Also ich muss natürlich kontrollieren, was ist auf den Rechnern vorhanden, was wird da genutzt. Und der nächste Schritt, nachdem man das hat und sich da mal einfach eine Liste erstellt hat, und da kann man natürlich auch noch ein bisschen weitergehen und schauen, jetzt hat man eine Firewall vielleicht, bei der man nochmal ein bisschen scannen kann, was für Cloud-Dienste werden eventuell genutzt, und kann da einfach gucken, Deswegen, Karo, nutzen wir dienstlich Dropbox? Nein, aber es finden viele Zugriffe auf Dropbox statt. Das weiß ich, da habe ich möglicherweise auch ein Thema. Und der nächste Schritt ist dann eben zu schauen, welche Personen betrifft das? Oder generell einfach mal alle Personen auch im Unternehmen, alle Mitarbeitenden zu fragen, warum nutzt ihr bestimmte Dienste oder Geräte? Und gibt es vielleicht einen legitimen Grund dahinter? beziehungsweise sehr wahrscheinlich gibt es den und kann ich den mit vorhandenem Equipment lösen? Wissen die Mitarbeiter vielleicht gar nicht, dass es dafür schon eine Lösung gibt? Oder ist es vielleicht sinnvoll, dem Wunsch, aus dem diese Schatten-IT entstanden ist, nachzugeben und zu sagen, okay, wir installieren jetzt hier von mir aus ein WLAN oder wir schaffen eine Cloud-Anbindung für dieses oder jenes Problem und darüber dann die Schatten-IT die aufzulösen, indem man eigene, freigegebene, geprüfte Applikationen dafür schafft.

Ja, ich finde ganz spannend. Ich glaube, dass es aber ein Punkt ist, dass man dann zwangsläufig an so einen Punkt kommt, wo man eben aufpassen muss, dass man sich selber vielleicht auch für so Remote Work nicht arbeitsunfähig macht.

Ja, das ist natürlich einer der häufigsten Faktoren. Diese Cloud-Dienste und USB-Sticks und alles, was genutzt wird, die werden häufig genutzt, weil man sagt, ich muss aber hier gerade Dateien mit nach Hause nehmen, weil ich die am Wochenende noch bearbeiten muss oder Ähnliches. Daraus entsteht das ja. Und das ist dann vielleicht auch ein Punkt, wo man dann als Verantwortlicher irgendwo sagen muss, es gibt den Wunsch meiner Mitarbeiter nach mehr Flexibilität. Wie kann ich dem gerecht werden?

Also es ist im Zweifel vielleicht auch eine Chance, in Anführungszeichen. Also ich kann halt mal gucken, was hat der Mitarbeiter hier gemacht? Hat das Sinn und Verstand? Oder wie du schon sagst, wusste einfach nicht, dass wir dafür eine spezielle andere Lösung haben. Aber ich glaube, im Großen und Ganzen gibt es ja wahrscheinlich eine Pro- und Contra-Liste runtergebrochen und es wird sicherlich eine Schnittmenge an Dingen geben, über die man dann vielleicht intern einfach diskutieren sollte.

Ja, man muss sich da natürlich auch einfach informieren, was sind das für Dienste, die möglicherweise genutzt werden, was für Software, was für Lizenzmodelle gibt es da, entspricht die den Datenschutzanforderungen, die wir haben etc. Da gibt es eine ganze Reihe an Dingen, die man beachten muss. Aber genau, man hat da auf jeden Fall mal eine Übersicht. Und der letzte Schritt ist dann natürlich, dass ich dann mit alledem, was ich gefunden habe und möglicherweise neu eingeführt habe, am Ende schauen muss, wie gehen wir zukünftig damit um. Und wo muss ich gegebenenfalls auch mein Sicherheitsnetzwerk härten, um zu verhindern, dass nochmal wieder Hardware genutzt wird, die nicht autorisiert ist, oder Software genutzt wird oder Cloud-Dienste, die nicht freigegeben sind. Weil am Ende des Tages, machen wir uns nichts vor, es ist echt ein riesiges Sicherheitsrisiko. Total. Und ich bin mir sicher, dass viele Daten darüber eben auch ihren Weg außerhalb der Unternehmensnetzwerke finden und es ist im Endeffekt eine Frage der Zeit, bis daraus irgendwann Schaden entsteht. Also sollte man sich nachdem man dann eben mal aufgeräumt hat, eben auch dafür sorgen, dass diese Unordnung, die vorher da war, nicht wieder entsteht und die Schatten-IT-Bereiche eben dann etwas mehr Licht bekommen und verhindert wird, dass der Lichtschalter wieder ausgeknipst wird.

Ja, das sind natürlich alles ein bisschen Software- und Hardwarerestriktionen im Zweifel, die dann administrativ durchgeführt werden müssen. Ich glaube aber, das ist immer noch ein sehr entscheidender Punkt, wie im Gesamtthema Cybersecurity. Das klassische schwächste Glied der Kette ist immer der Mensch bzw. dann am Ende der Mitarbeiter. Und ich glaube, dass auch in diesem kleinen Abschnitt des Oberbegriffs Cybersecurity wichtig ist, die Mitarbeiter zu sensibilisieren und einfach mit denen zu sprechen, warum das nicht so ganz richtig ist, was sie da gemacht haben. Genau.

Und vielleicht als Learning daraus einfach eine Möglichkeit schaffen, über ein Formular oder über eine einfache Mail oder Nachricht oder was auch immer, den Mitarbeitern einzuräumen, dass sie kurz äußern können, ich habe hier folgenden Bedarf, ich hätte dafür folgende Lösungsidee, um zu verhindern, dass sie einfach selber selbstständig sagen, ich mache das jetzt einfach. Einfach einen Weg dafür zu schaffen, ihren Anforderungen Gehör zu verschaffen. Aber wichtig auf jeden Fall, klar, auch das Thema Awareness an der Stelle mitteilen. Warum ist das ein Problem und wie sind die Wege, um

damit umzugehen? Ja, sehr cool. Ich glaube, wir haben das in relativ kurzer Zeit geschafft, einmal aufzuzeigen, was ist Shadden-IT, wie kann ich diese lokalisieren oder identifizieren, wie kann ich dafür sorgen, dass ich ein danach sinnvoll funktionierendes System habe und was sollte ich oder kann ich dafür tun, dass in Zukunft das Licht nicht wieder ausgeht.

Genau. Vielen Dank, Dennis, für deine, wie immer, kritischen Fragen zu dem Thema.

Ja, sehr gerne. Danke für die guten Antworten.

Danke allen, die auch bei dieser Folge wieder eingeschaltet und zugehört haben bis zum Ende. Und wir hören uns nächste Woche wieder mit einer kurzen Folge 5 Minuten IT und in 14 Tagen mit Folge 45.

Ja, vielen Dank. Bis dahin. Bis dann.