Stellen Sie sich die folgende Situation vor. Sie arbeiten mit einer Agentur zusammen, die Sie bei der Erstellung einer Reihe von Broschüren unterstützt, die Sie zu einer Messe mitbringen werden. Die Druckerei benötigt die Dateien morgen, aber der Link, den Sie der Agentur zu Ihrem gesicherten Upload-Bereich gegeben haben, funktioniert nicht. Der Designer schlägt Ihnen vor, eine Anwendung herunterzuladen, die die gemeinsame Nutzung großer Dateien erleichtert. Aufgrund des Drucks der Geschäftsleitung laden Sie die Anwendung herunter, weil Sie unbedingt muss den Drucktermin einhalten.
Kommt Ihnen das bekannt vor? Wenn diese Situation nicht schwer vorstellbar ist, liegt das daran, dass sie in allen Unternehmen immer wieder vorkommt. Obwohl die meisten Menschen nur selten zugeben würden, dass sie die IT-Abteilung ihres Unternehmens umgehen und Malware installieren, tun sie es doch. Statistisch gesehen 82% von Verstößen ein menschliches Element beinhalten. Fehler wie das Herunterladen riskanter Software, das Anklicken von Phishing-Links oder einfaches menschliches Versagen spielen eine große Rolle bei Vorfällen und Verletzungen der Cybersicherheit.
Das Tückische daran ist, dass oft nichts passiert, wenn Mitarbeiter abtrünnig werden. Die Software, mit der Sie diese Broschüren verteilt haben, ist rechtmäßig, Ihr Lieferant druckt das Material, Sie führen keine neuen Risiken ein, und nichts ändert sich. Kein Grund zur Sorge.
In anderen Fällen haben die Arbeitnehmer jedoch nicht so viel Glück. Bezeichnet Schatten-IT, Jede Hardware oder Software, die nicht von der IT-Abteilung des Unternehmens unterstützt wird, kann ein Sicherheitsrisiko darstellen.
Es genügt ein einziger mit Malware gefüllter Software-Download oder der Zugriff auf eine SaaS-Anwendung mit mangelhafter Cloud-Sicherheit, um wichtige Systeme zu infizieren. Doch trotz dieser allgegenwärtigen Risikomöglichkeiten berücksichtigen die meisten Unternehmen bei der Entwicklung ihrer Sicherheitsstrategien die Schatten-IT nicht.
Um das Risiko zu mindern, ist es wichtig, darüber nachzudenken, warum Mitarbeiter überhaupt auf Schatten-IT zurückgreifen. Schatten-IT füllt meist Lücken, die durch von der IT genehmigte Hardware oder Software nicht geschlossen werden können oder die nicht besonders gut sind. Manchmal greifen die Mitarbeiter auch auf Ad-hoc-Lösungen zurück, weil es so lange dauert, eine Genehmigung zu erhalten, dass sie sich nicht die Mühe machen. Aus der Sicht eines Mitarbeiters ist es viel einfacher, einfach irgendeine Software zu laden und nicht wegen einer verpassten Frist angeschrien zu werden, als sich mit der Bürokratie herumzuschlagen oder mit der IT-Abteilung über Beschaffung und Budgets zu streiten.
Wenn Mitarbeiter gezwungen sind, ihre eigenen Lösungen für IT-Probleme zu finden, deutet dies auf ein größeres Problem als eine einzelne Schatten-IT-Anwendung oder -Ressource hin. Stattdessen ist es ein Hinweis auf eine gestörte Kommunikation zwischen der IT-Abteilung und anderen Teams im Unternehmen.
Die IT-Abteilung sollte nicht der Feind sein. Manager sollten Engpässe untersuchen und die Kommunikation zwischen IT-Abteilungen und Benutzern fördern. Auf der Führungsebene muss die Aufklärung der Benutzer über die mit Schatten-IT verbundenen Risiken ebenfalls Priorität haben. Für die Benutzer sollte der Erwerb der Tools zur Erledigung ihrer Aufgaben nahtlos sein, damit sie sich nicht gezwungen sehen, Umgehungslösungen zu finden. Denken Sie immer an das Sprichwort: Die beste Sicherheit ist die, die von den Menschen genutzt wird. Die Technologie ändert sich schnell, und Unternehmen sollten Verfahren einrichten, um den Prozess der Sicherheitsüberprüfung und der schnellen Bereitstellung neuer Technologielösungen zu rationalisieren.
Es ist von entscheidender Bedeutung zu wissen, wer auf was Zugriff hat, daher müssen Unternehmen sicherstellen, dass sie über eine entsprechende Governance verfügen. Sicherheit beginnt bei der Identität, und mit modernen Authentifizierungs- und passwortlosen Optionen sollte der Nachweis, dass Sie derjenige sind, für den Sie sich ausgeben, problemlos möglich sein. Identitätslösungen sollten sich auf erstklassige Sicherheitspraktiken wie FIDO2-Standards, risikobasierte Authentifizierung und intelligente Echtzeiteinblicke konzentrieren, die das Risiko kontinuierlich mindern.
Die Erledigung routinemäßiger Zugriffsanfragen sollte nicht immer die Mitwirkung der IT-Abteilung erfordern, und Self-Service-Funktionen und Single Sign-on ermöglichen es den Benutzern, ohne Unterbrechung zu arbeiten. Auf der IT-Seite benötigen Administratoren außerdem nahtlose Lösungen, die Identity Governance und Verwaltungstools umfassen.
Unsere Governance & Lifecycle-Datenzugriffs-Governance-Architektur bietet unternehmensweite Transparenz, so dass Sie feststellen können, wer Eigentümer von Unternehmensdaten ist, wer Zugriff auf Datenressourcen hat, wie diese Personen Zugriff erhalten haben und ob sie über Dateifreigaben Zugriff haben sollten. Der automatisierte Zertifizierungsprozess generiert umsetzbare Überprüfungen, die für Geschäftsanwender einfach, intuitiv und effektiv sind, um Nachweise für Prüfungsteams zu liefern.
Nicht alle Bedrohungen kommen von außen, und IT-Teams müssen neue Wege finden, um den Zugang zu sichern und die Einhaltung von Vorschriften zu gewährleisten, während sie gleichzeitig die technologischen Anforderungen der Benutzer unterstützen. Durch die Rationalisierung der IT-Abläufe, die Schulung der Benutzer und die Einführung von Identitäts- und Zugriffsmanagement können Unternehmen die Risiken der Schatten-IT verringern.
