Entstehung einer Parallel-Welt zur offiziellen Unternehmens-IT Strafbar durch Schatten-IT
27. August 2017
Bei der Fachabteilung beliebt, bei der IT-Abteilung gefürchtet: Schatten-IT. Durch die eigenständige Beschaffung und Verwendung von IT-Lösungen wollen sich Mitarbeiter oder Fachabteilungen produktiveres und flexibles Arbeiten unabhängig von Genehmigungs- und Evaluationsprozessen der IT-Abteilung ermöglichen. Allerdings unterläuft die Schatten-IT deren Anstrengung, den Schutz sensibler Daten und Compliance mit gesetzlichen Vorschriften sicherzustellen. Beim Verlust beispielsweise personenbezogener Daten macht sich das Unternehmen strafbar. Lösungen für Data Loss Prevention unterbinden Verstöße gegen Datenschutz-Regelungen und Datenverluste.
Flexibilität gefragt
Wenn das Thema Schatten-IT-aufkommt, ist es sehr einfach, mit dem Finger auf die IT-Abteilung zu zeigen und ihr bedächtiges und restriktives Vorgehen bei der Einführung neuer Geräte und Dienste dafür verantwortlich zu machen. Häufig ist es eine Unternehmenskultur des Laissez-faire, die den Boden bereitet, indem sie im Hinblick auf potenzielle Produktivitäts– und Flexibilitätsverbesserungen zulässt, wenn nicht sogar dazu ermuntert, Tools und Geräte ohne Abstimmung mit der IT-Abteilung zu benutzen.
Schatten-IT ist nicht auf Software und Dienste beschränkt, sondern beginnt damit, dass Fachkräfte mit der Möglichkeit gelockt werden, ihre eigenen mobilen Geräte wie USB-Sticks, Smartphones, Tablets oder Notebooks für die Arbeit zu verwenden. Das Thema „Bring Your Own Device“ (BYOD) begünstigt die Entstehung einer Parallel-Welt zur offiziellen Unternehmens-IT, die sich mit nicht genehmigten Anwendungen und Diensten fortsetzt und von einzelnen Mitarbeitern auf ganze Abteilungen ausbreitet.
Wie allzu leicht in Vergessenheit gerät, gehören nicht nur das IT-Servicemanagement zu den Aufgaben der IT-Abteilung, sondern insbesondere auch die Festlegung und die Umsetzung der Richtlinien für IT- und Datensicherheit im Unternehmen. Diese Standards werden durch Schatten-IT umgangen. Die IT kann nicht prüfen, ob Anwendungen oder Geräte den Sicherheitsanforderungen des Unternehmens entsprechen, sie kann die Software nicht patchen oder aktualisieren, um etwaige Lücken zu schließen und die Infrastruktur von Cyber-Angriffen zu schützen. Sie kann darüber hinaus keine Richtlinien durchsetzen, beispielsweise dass alle verwendeten USB-Sticks verschlüsselt sein müssen, damit sie bei Verlust unlesbar für den Finder sind.
Verfügbarkeit der Daten
Bedroht ist zudem die Verfügbarkeit von Informationen und Daten. Dateien in Cloud-Speichern außerhalb der Unternehmenskontrolle werden von den Backup-Verfahren des Unternehmens nicht erfasst. Geschäftliche E-Mails, die über nicht zugelassene Dienste versendet werden, werden nicht kontrolliert und archiviert. Das Unternehmen verliert unter Umständen Teile der geschäftlichen Korrespondenz, so dass Sachverhalte nicht mehr nachvollziehbar sind.
Es entstehen sogar geschäftskritische Prozesse, wenn etwa Preiskalkulationen in Excel-Listen auf lokalen Rechnern vorgenommen werden. Das Unternehmen verstößt gegen die Richtlinien rechtskonformer Aufbewahrung. Schlimmstenfalls macht sich das Unternehmen beim Verlust von personenbezogenen Daten unmittelbar strafbar.
Lokale Datenhaltung ist kein Privileg der Schatten-IT, aber mit Schatten-IT geht immer lokale Datenhaltung einher. Sie ist das Schreckgespenst der IT-Abteilung, da sie das Unternehmen beim Schutz der Vertraulichkeit von personenbezogenen Daten und von Betriebs- und Geschäftsheimnissen in Teufels Küche bringen kann. Berechtigungsmanagement regelt zwar, wer auf zentrale Systeme wie das ERP-System und auf welche Daten dort zugreifen darf. Und wer zugreifen darf, kann Daten in der Regel auch exportieren. Sensible Informationen von Kundendaten über Umsatzzahlen bis zu Designentwürfen, die mal schnell für eine interne Präsentation oder eine Auswertung benötigt werden, werden von den Mitarbeitern dazu auf den Desktops oder auf mobilen Geräten gespeichert. Die lokal gespeicherten Daten werden dann mithilfe von Werkzeugen aus der Schatten-IT weiterverarbeitet.
Ab diesem Moment verliert das Unternehmen die Hoheit darüber, was weiterhin mit den Daten geschieht, wer sie liest oder an wen sie weitergegeben werden. Sie können, vom Unternehmen unbemerkt, auf andere Geräte wie USB-Sticks kopiert oder über beliebige Anwendungen weitergegeben werden. Das Unternehmen erfährt nicht, wenn ein privates Notebook oder ein Stick mit Unternehmensdaten verloren geht oder gestohlen wird, ganz zu schweigen davon, dass es – wie künftig im Rahmen der DSGVO gefordert – einer Datenschutzbehörde angeben könnte, ob personenbezogene Daten betroffen sind oder ob sie verschlüsselt waren. Es kann daher nicht ausgeschlossen werden, dass sensible Informationen bei der Konkurrenz landen oder im Darknet zum Verkauf angeboten werden.
Legalisierung keine Lösung
Viele Unternehmen handeln ganz pragmatisch und legalisieren die von den Fachabteilungen eingesetzten Tools oder stellen ähnliche in Unternehmensregie bereit. Dies ermöglicht zwar die Pflege der Lösungen und die Sicherung der Daten durch die zentralen Systeme. Es kann jedoch trotz enger Zusammenarbeit zwischen Fachabteilung und IT jederzeit wieder zu neuer Schatten-IT kommen, auch trotz der entsprechenden Sicherheitsrichtlinien. Ungelöst bleibt weiterhin die Bedrohung von Datenschutz und Datensicherheit durch lokal gespeicherte sensible Daten und durch nicht erwünschte Transfers, ob sie nun der Schatten-IT zuzurechnen sind oder nicht.
Zur Bekämpfung der Folgen aus der Schatten-IT bieten Lösungen für Data Loss Prevention umfassende Konzepte an. Sie arbeiten mit Client-Komponenten auf den Unternehmens-Endpoints wie den Computern der Mitarbeiter. Die am Endpoint vorgenommenen Datenbewegungen werden mit zentral angelegten Richtlinien abgeglichen. Nur wenn kein Verstoß gegen die Richtlinien vorliegt, wird die Datenbewegung ausgeführt.
Neben einer Funktion für die Überwachung von USB- und weiteren Peripherie-Ports filtern die Lösungen den Inhalt von Dateien in Bewegung nach vorgegebenen Kriterien. Das können personenbezogene Daten, Kreditkartennummern und ähnliches sein, aber auch Dateitypen oder -Größen sowie unternehmensspezifisch festlegbare Begriffe. Wird die DLP-Lösung mit den angelegten Richtlinien in einem Report-Modus betrieben, erfahren die Unternehmen, ob und welche sensiblen Daten transferiert werden, welche Nutzer Transfers auslösen, über welche Austrittspunkte Daten das Unternehmen verlassen und wohin sie übertragen werden, beispielsweise in Cloud-Anwendungen, per Webmail oder auf Speichergeräte. Die Auswertungen werden in einem weiteren Schritt zum Feintuning der Richtlinien genutzt.
Die „scharf geschaltete“ Lösung unterbindet dann die unerwünschten Transfers, zum Beispiel auf Geräte, die von der DLP-Lösung nicht autorisiert sind, ober über browserbasierte Anwendungen wie Freemail-Angebote. Moderne Produkte können zusätzlich die Desktops im Unternehmen nach sensiblen Daten durchsuchen. Damit weiß das Unternehmen, welche Daten lokal gespeichert sind. So lassen sich gegebenenfalls Maßnahmen ergreifen, wie die Verschlüsselung der Festplatten oder die Löschung der Daten. Verschlüsselung ist eine wirkungsvolle präventive Maßnahme gegen Datenverlust.
Schatten-IT als solche kann eine DLP-Lösung nicht abstellen. Die Mitarbeiter können theoretisch weiterhin Anwendungen an der IT-Abteilung vorbei benutzen. Aber sie können, sinnvolle Richtlinien vorausgesetzt, keine sensiblen Daten auf nicht genehmigte Geräte kopieren oder in Cloud-Speicher laden. Zu wissen, wo die sensiblen Daten liegen, und nicht erwünschte Transfers unterbinden zu können gibt den Unternehmen die Herrschaft über ihre Daten zurück und ermöglicht ihren zuverlässigen und rechtlich einwandfreien Schutz.
Michael Bauner
ist Geschäftsführer bei der Endpoint Protector GmbH.
