*Prolog*
München – bekannter Austragungsort für – nein, nicht Fußball, sondern Schulungen und Seminare. Mehrere IT-Verantwortliche und Administratoren unterhalten sich während einer Pause bei Kaffee und Gebäck über IT-Themen. Schmatzend berichtet Horst P. über den gestrigen Bericht über das Darknet und wer dort seinen dunklen Geschäften nachging und aufgeflogen ist.
„Ja, das Darknet. Was es da alles gibt!“. Nickend und mit Worten wie „Oh ja, unglaublich“ und verschmitztem Grinsen stimmen andere Seminarteilnehmer Horst zu. „Wer so blöd ist, sich da erwischen zu lassen…“. Und wieder Zustimmung der anderen. „Weiß doch jeder, dass dort alles illegal ist.“ Auch hier wieder totale Zustimmung.
Ich beteilige mich an dem Gespräch und behaupte, es gäbe da noch etwas Gefährliches und jeder von den Administratoren nutzt es, ohne es zu wissen.
Ja, die dachten tatsächlich, ich mache nur einen Scherz und warteten mit lächelnder Miene auf einen lustigen Spruch von mir.
„Shadow-IT!“
Zwei Kollegen wussten sofort, um was es sich bei Shadow-IT handelt. Einer der beiden entgegnete „Ach, hör bloß auf damit. Wenn wir bei uns in der Firma das Thema anschneiden würden, wäre der Teufel los. Unser Sicherheitsbeauftragter würde sofort das Kabel zum Internet kappen.“
Ende des Prologs – Die Personen und die Handlung der Geschichte sind frei erfunden. Etwaige Ähnlichkeiten mit tatsächlichen Begebenheiten oder lebenden oder verstorbenen Personen wären rein zufällig.
Verstecken hat keinen Zweck
Shadow-IT – ein Begriff aus der Welt der Informations-Technologie, der zunehmend bedeutender wird, je mehr wir uns mit verschiedensten Geräten und Diensten im Internet tummeln.
Je sicherer wir uns in unserem internen Netzwerk fühlen, umso größer ist die Verwunderung, dass im Durchschnitt mehr als 1000 Apps, Dienste und Cloudanwendungen in Klein- und Mittelbetrieben im Einsatz sind. Und das oftmals ohne Wissen der IT-Abteilung.
Smartphones aus China, Taiwan, USA und Südkorea wuseln in unseren Netzwerken. Bei Tablets und Notebooks sieht es oft kaum besser aus. „Bring your own Device“ hat sicher viele Vorteile, aber auch gerade bei der Shadow-IT einen ziemlichen Boost hervorgerufen.
Ja, was ist denn nun diese Shadow-IT? Immer diese Spannung und Verunsicherung, bevor man mit Tatsachen kommt. Dabei ist das noch der schonende Weg, um jemanden klar zu machen, dass man sich vor Krankheiten leichter schützen kann als vor Shadow-IT.
Deep Impact
Einen gänzlich anderen Einschlag hat es nämlich, wenn der firmeneigene Sicherheitsbeauftrage, oder in der modernen Geschäftswelt auch CSO genannt, unsere Spezialisten von der itelio GmbH mit dem Shadow-IT-Check beauftragt und dann den Hammer der IT-Abteilung präsentiert.
Mit den Log-Dateien von Firewalls und anderen Überwachungs-Tools werden Vergleiche mit einer speziellen, von Microsoft zur Verfügung gestellten Datenbank durchgeführt und anschließend ausgewertet. So lassen sich die Internetaktivitäten von Apps und Cloud-Diensten nicht nur nachverfolgen, sondern auch nach Sicherheitskriterien bewerten und in einer Scoring-Übersicht darstellen.
Und halten Sie sich fest – ein sehr beträchtlicher Teil nutzt unsichere Dienste oder sogar Cloud-Dienste in Ländern, in denen man garantiert keinerlei Informationen der eigenen Firma zur Verfügung stellen möchte.
Um zu verdeutlichen, wie prekär die Sachlage wird, können wir klar sagen, dass „WhatsApp“ oder „Facebook“ im Vergleich zu den dortigen Fundstücken geradezu harmlos sind.
Handy verloren oder kaputt gegangen? Kein Problem, der Sicherungsserver in Guangdong hilft Ihnen garantiert bei der Wiederherstellung, nachdem man ja vorsorglich den Nutzungsbestimmungen des modernsten Smartphones zugestimmt hat. Oh, vertrauliche Daten am Handy gespeichert, um sie mobil nutzen zu können? Auch kein Problem! Die ist ja in mehrere Gigabyte großen Sicherungsdaten gespeichert. „Hallo, hier ist ihre persönliche KI. Sie haben gestern 2400 Kilokalorien zu sich genommen. Möchten Sie, dass ich Ihnen heute ein vegetarisches Restaurant empfehle?“
Es glaubt hoffentlich keiner, dass große Datenmengen noch von Hand (oder sagt man Auge) gesichtet werden?
Oh, welch schwarzer Tag für die IT, wir werden alle untergehen…
Trotzdem hat die Shadow-IT nur eine Chance, wenn man verantwortungslos alle Geräte und Dienste gewähren lässt.
Dazu gibt es natürlich zwei einfache Alternativen.
Möglichkeit 1: Lock down
Verabschieden Sie sich vom Internet. Wer braucht das schon. Verbieten Sie Ihren Mitarbeitern jegliche Form von digitaler Kommunikation. Lassen Sie E-Mails nur von einem geschulten Mitarbeiter versenden und empfangen. Smartphones, Tablets und Notebooks werden auf der Stelle eingezogen und nicht mehr benutzt. Und hoffentlich muss niemand ins Home-Office.
Möglichkeit 2: Licht ins Dunkel
Stellen Sie mit einem Shadow-IT-Check fest, welche Dienste genutzt werden, welche Bedürfnisse die Mitarbeiter haben und warum fremde und unsichere Kanäle verwendet werden.
Speicher in der Cloud? Geben Sie diesen Ihren Mitarbeitern. Kommunikationsmöglichkeit per Messenger – gewähren Sie diesen. Zugriff auf aktuelle Firmendokumente und Daten? Weltweit? Ja, selbstverständlich. An einem sicheren und vertrauenswürdigen Ort, zugänglich für die Personen, die Sie berechtigen.
Für unsere Kunden haben wir ein Verfahren entwickelt, mit dem wir nicht nur deren eigene Shadow-IT aufschlüsseln und bewerten, sondern auch dauerhaft kontrollieren können. So werden schädliche und gefährliche Dienste zuverlässig und rasch aufgespürt und können verlässlich abgestellt werden.
Unsere Kunden haben sich sozusagen nicht versteckt, sondern sind die Flucht nach vorne angetreten. Und nutzen heute unkompliziert und mit allen Möglichkeiten das Internet und die Cloud. Sicher? Sicher!