Risiken unüberwachter IT-Infrastrukturen Schatten auf der IT-Sicherheit

Autor / Redakteur: Lewis Huyn* / Elke Witmer-Goßner

Die Corona-Pandemie hat den Arbeitsalltag und bestehende Prozesse grundsätzlich geändert. Das Homeoffice ist für die meisten Menschen mittlerweile zum festen Arbeitsplatz geworden. Die Gefahr, dass Mitarbeiter unbeabsichtigt Schatten-IT nutzen, wächst durch dezentralisierte Arbeitsplätze.

Firmen zum Thema

IT-Sicherheitsexperten müssen mehr tun, um das Personal über Bedrohungen im IT-Umfeld – die auch von Schatten-IT ausgeht – aufzuklären.
IT-Sicherheitsexperten müssen mehr tun, um das Personal über Bedrohungen im IT-Umfeld – die auch von Schatten-IT ausgeht – aufzuklären.
(Bild: ©Calado - stock.adobe.com)

IT-Sicherheitsexperten sollten dieses Risiko auf gar keinen Fall unterschätzen. NinjaRMM hat deutschlandweit insgesamt 400 Beschäftigte unterschiedlicher Branchen zu diesem Thema befragt. Die Ergebnisse der Umfrage zeigen, dass die Mehrheit der Teilnehmer zwar die Sicherheitsbestimmungen ihrer Organisation kennen, sie aber entweder umgehen oder verletzen.

Das Personal nutzt verschiedene Geräte, wie beispielsweise Festplatten und Smartphones, sowie digitale Tools von Kommunikationslösungen bis hin zu Business-Anwendungen für private Zwecke. Auch wenn sie unschuldig erscheint, kann Schatten-IT zu Datenverletzungen, verzerrten IT-Budgets und Ineffizienzen führen, die dem Geschäft schaden. Die gute Nachricht: Regelmäßige Sicherheitsschulungen und klare Richtlinien können helfen, Schatten-IT zu bekämpfen.

Fernarbeit und ihre Effekte auf die Sicherheit

Aus den Umfrageergebnissen geht hervor, dass viele Mitarbeiter die Sicherheitsbestimmungen ihrer Organisation umgehen, weil sie zu komplex oder in der Praxis zu schwierig anzuwenden sind. Die drei Hauptgründe, die Mitarbeiter an Fern-Arbeitsplätzen in diesem Zusammenhang genannt haben, sind:

  • Sicherheitsbestimmungen schränken Mitarbeiter in ihrer Produktivität ein.
  • IT-Verantwortliche reagieren zu langsam auf gestellte Anfragen der Mitarbeiter.
  • Persönliche Konten für die Verwaltung von Dokumenten sind einfacher in der Nutzung.

So haben 70 Prozent der Mitarbeiter an Fern-Arbeitsplätzen einen Zugang zu Sicherheitsschulungen, doch nur 66 Prozent erhielten in den letzten sechs Monaten eine Sicherheitsschulung. 42 Prozent der Befragten gaben an, dass sie die Sicherheitspolitik ihres Unternehmens umgehen müssten, damit sie ihre Arbeit erledigen können. Regelmäßig wiederkehrende Sicherheitsschulungen erhöhen die Erfolgschancen, Sicherheitslücken zu beseitigen. Hier gibt es eindeutig Nachholbedarf.

44 Prozent der Teilnehmer geben sogar eigenes Geld für Soft- und Hardware aus, die sie für ihre beruflichen Aufgaben nutzen. Das belegt, dass IT und Management keine Kenntnisse darüber haben, wie ihre Mitarbeiter arbeiten oder was sie benötigen, um erfolgreich und produktiv zu sein. 61 Prozent der Befragten investieren monatlich zwischen 11 und 50 Euro in digitale Werkzeuge. Zusätzlich ist die Zeit, die Mitarbeiter mit IT-Fragen verbringen, seit der Einführung des Homeoffice durch die Corona-Pandemie gestiegen. Insgesamt 64 Prozent der befragten Mitarbeiter an Fern-Arbeitsplätzen verbringen zwei oder mehr Stunden pro Woche mit IT-bezogenen Problemen.

Handlungsempfehlungen für das IT-Management

Um Schatten-IT nachhaltig zu bekämpfen und die damit einhergehenden Risiken zu senken, ist der Aufbau einer internen Sicherheitskultur essenziell. Einige grundlegende Themen sind dazu notwendig:

  • 1. IT-Verantwortliche sollten digitale Tools und Hardware von Angestellten an Fern-Arbeitsplätzen regelmäßig kontrollieren. So können sie feststellen, ob sich die Arbeitsweisen mit der aktuellen Sicherheitspolitik decken.
  • 2. Das Management sollte Konflikte zwischen IT und dem Personal an dezentralisierten Arbeitsplätzen vermeiden und Sicherheitsrichtlinien gegebenenfalls anpassen.
  • 3. Regelmäßige Schulungen zu aktuellen Gefahren wie Malware und Phishing, denen Mitarbeiter an Fern-Arbeitsplätzen ausgesetzt sind, können Unternehmen nachhaltig schützen.
  • 4. Klare Kommunikationswege zwischen Personal an Fern-Arbeitsplätzen und der IT fördern die Akzeptanz von Sicherheitsrichtlinien und steigern das Bewusstsein für IT-Gefahren.
  • 5. Bedürfnisse und Erkenntnisse sollten als Feedback an die Führungsebene kommuniziert werden. So kann diese sich besser auf mögliche Bedrohungen vorbereiten.

Sicherheitsbestimmungen: klar und verständlich

Schutz vor Gefahren kann nur durch kompetente Mitarbeiter gewährleistet werden. Die Teams müssen daher über die IT-Sicherheitsbestimmungen des jeweiligen Unternehmens aufgeklärt werden und genau verstehen, warum es so wichtig ist, diese einzuhalten. Wenn neue Tools zur Anwendung kommen, sollten alle Anwender genau wissen, was zu tun ist und wie sie korrekt mit den neuen Lösungen umgehen.

83 Prozent der Befragten waren mit den IT-Sicherheitsrichtlinien ihres Unternehmens vertraut und 70 Prozent äußerten, dass ihr Unternehmen Sicherheitsschulungen zur Verfügung stellt. Doch nur weil Arbeitgeber ihren Arbeitnehmern Sicherheitsschulungen zur Verfügung stellen, bedeutet das noch längst nicht, dass sie auch tatsächlich genutzt werden. 34 Prozent der Befragten haben in den letzten sechs Monaten keine Schulung erhalten, aber das Nutzungsverhalten und neue Bedrohungen haben sich schnell geändert, um die Vorteile von Remote-Mitarbeitern zu nutzen. Angesichts des potenziellen Risikos, das durch Schatten-IT entsteht, sind regelmäßige Sicherheitsschulungen ein Bereich, in den IT-Teams mehr Zeit und Ressourcen investieren sollten.

Damit sich inoffizielle IT-Infrastrukturen erst gar nicht etablieren können, sollten Mitarbeiter an Fern-Arbeitsplätzen die Sicherheitsrichtlinien kennen und vor allem korrekt anwenden. Welche digitalen Tools, Cloud-Dienste und Anwendungen sie nutzen dürfen, sollte klar vorgegeben sein. Laut der Umfrage würde nur einer von drei Befragten niemals die IT-Sicherheitsrichtlinien seines Unternehmens umgehen, wobei die Kritiker angaben, die Richtlinien seien zu restriktiv oder sie seien ihnen nicht bekannt. Dies zeigt, dass IT-Teams und Unternehmensleiter mehr tun müssen, um die Richtlinien klar und verständlich zu machen. Das Ignorieren dieser Pannen ist ein verheerender Fehler, der im schlimmsten Fall nicht nur viel Geld kosten, sondern auch einen Imageschaden verursachen kann.

Mehr Tools, mehr nicht überwachte IT-Infrastrukturen

Durch die Verlagerung der Arbeitsplätze ins Homeoffice nutzen 41 Prozent der Befragten mehr Geräte als vorher. 48 Prozent greifen dabei zunehmend auf Cloud- oder Software-Dienste zurück. Dadurch, dass mehr Apps angewendet werden, wird die Cybersicherheit zusätzlich gefährdet. Aufgrund intransparenter Strukturen wissen IT-Verantwortliche nicht, welche Hilfsmittel von den dezentralisierten Teams verwendet werden. Dementsprechend können sie keine Sicherheit durch Updates und Patches garantieren. Solches Verhalten ist ein Türöffner für Cyberkriminelle und Hacker.

Auf welche inoffiziellen Hilfsmittel Beteiligte zurückgreifen, unterscheidet sich deutlich. Im Bereich Hardware nutzen 67 Prozent Smartphones, 58 Prozent externe Festplatten oder SSDs und 63 Prozent USB-Flash-Laufwerke. 52 Prozent der Befragten nutzen Video- und Audio-Software und 33 Prozent brauchen Entwicklungs- und Business-Software. 46 Prozent der Teilnehmer nutzen Kommunikationssoftware, um ihre Arbeit zu erledigen.

Einige Mitarbeiter (17 %) installieren Spiele auf ihren Arbeitsgeräten zur persönlichen Unterhaltung. Anwendungen für den Privatgebrauch erfüllen nicht die gleichen Sicherheitskriterien wie Unternehmens-Apps. IT-Manager sollten das Risiko nicht genehmigter Software als potenzielle Quelle für Datenlecks und Missbrauch nicht unterschätzen. Daher sollten, wenn möglich, inoffizielle Anwendungen jeglicher Art vermieden werden.

Ressourcenverschwender Homeoffice?

Budgets und die damit einhergehende Kontrolle gehört für viele IT-Spezialisten zu ihrem Aufgabenfeld. Die größte Herausforderung dabei stellt die Balance zwischen den Bedürfnissen der Mitarbeiter im Homeoffice und den Unternehmensinteressen dar. Schatten-IT begünstigt diese Problematik zusätzlich. Dadurch, dass IT-Abteilungen nicht genau wissen, welche Hilfsmittel Mitarbeiter im Homeoffice gebrauchen, kommt es in der Praxis dazu, dass die Führungsebene Budget und andere Ressourcen in falsche Tools investiert.

44 Prozent der Befragten geben eigenes Geld für Hard- und Software oder Cloud-Dienste aus, die sie für ihre Arbeit brauchen. Jeder Dritte davon investiert zwischen 11 und 25 Euro pro Monat für physische oder digitale Hilfsmittel. Damit überhaupt ein Bedarf festgestellt werden kann, ist es überaus wichtig, dass solche Erkenntnisse mit IT-Verantwortlichen geteilt werden, damit sie langfristig Veränderungen herbeiführen können.

Seit Beginn der Corona-Pandemie und mit der Einführung von Homeoffice wendet fast jeder zweite Befragte mehr Zeit für IT-Fragen auf. Konkret brauchen 64 Prozent der Teilnehmer zwei oder mehr Stunden wöchentlich, um IT-Probleme zu lösen. Hier ist die Gefahr groß, dass Mitarbeiter ihre intrinsische Motivation verlieren, weil sie sich mit Aufgaben befassen müssen, die eigentlich nicht in ihrer Verantwortung liegen.

Große Unterschiede zwischen realer Bedrohung und der Wahrnehmung

Die Gefahren, die von Schatten-IT und unüberwachten IT-Infrastrukturen ausgehen, stellen eine erhebliche Bedrohung für Unternehmen dar und Verantwortliche sollten diese ernst nehmen. Durch die aktuelle Situation, die Verbreitung von Homeoffice-Strukturen und die Dezentralisierung der Arbeitsplätze, ist die Angriffsfläche für Hacker enorm gewachsen.

Datenlecks, Informationsdiebstahl und nicht regelmäßig gepatchte Anwendungen an fernverwalteten Endpunkten sind reale Gefahren, die kontrolliert werden müssen. Es ist erschreckend, dass 15 Prozent der Befragten kein Risiko in der Nutzung inoffizieller Tools erkennt. Dieses Ergebnis lässt darauf schließen, dass IT-Sicherheitsexperten mehr tun müssen, um das Personal über Bedrohungen im IT-Umfeld aufzuklären.

Durch die dezentrale Arbeitswelt entstehen immer wieder neue Anforderungen an Sicherheitsrichtlinien. Ziel ist es, Gefahren zu erkennen und so weit wie möglich zu minimieren. Die Ergebnisse zeigen, dass die Schatten-IT unterschätzt wird und eine Top-Priorität für Führungsteams sein sollte. IT und Management wissen nicht immer, welche Ressourcen genutzt werden und welche Tools die Mitarbeiter wirklich benötigen. Diese Unkenntnis setzt Unternehmen einem Risiko aus und zeigt, dass IT-Teams und Führungskräfte nicht willens oder in der Lage sind, Bedrohungen zu managen.

Lewis Huyn, NinjaRMM.
Lewis Huyn, NinjaRMM.
(Bild: NinjaRMM)

* Der Autor Lewis Huyn ist als Chief Security Officer bei NinjaRMM für das strategische Risikomanagement im Unternehmen verantwortlich. Als Infrastructure Architect kümmert er sich ebenso um die Themen Informationssicherheit und Privacy. NinjaRMM bietet cloud-basierte Fernwartungs- und -Verwaltungssoftware für Managed Service Provider, Systemhäuser und interne IT-Abteilungen.

(ID:47398918)