83 % der Mitarbeiter von Unternehmen nutzen kostenlose, nicht genehmigte Cloud-Speicher wie Dropbox, um Unternehmensdaten zu speichern.

Quelle:Studie von NTT Communications durchgeführt mit 500 IT-Entscheidern (2016)

Wie verbreitet ist Shadow IT?

undefined

* QuelleStudie von NTT Communications durchgeführt mit 500 IT-Entscheidern (2016)

Welche Risiken sind mit Shadow IT verbunden?

In Bezug auf Sicherheit sind die meisten Cloud-Apps heute weit davon entfernt unternehmenstauglich zu sein. Bedrohungen von nicht freigegebenen Apps sind zum Beispiel Malware und Ransomware. Sie können Daten beschädigen oder zu einem finanziellen Risiko für Unternehmen werden. Leider haben herkömmliche Web-Sicherheitsprodukte mit diesen Bedrohungen nicht Schritt gehalten. Zu den üblichen Risiken gehören:

Keine verbindlich eingerichtete starke Anwenderauthentifizierung
Cloud-Apps fehlt es oft an der verbindlich eingerichteten starken Anwenderauthentifizierung, was bedeutet, dass jeder nur Benutzername und Passwort braucht, um auf eine Cloud-App zuzugreifen. Sogar wenn die Cloud-App eigentlich starke Anwenderauthentifizierung unterstützt, ist diese oft nicht verbindlich eingerichtet, sodass System und Daten Risiken ausgesetzt sind. Wird Dropbox zum Beispiel ohne Anwenderauthentifizierung zum Verteilen von Daten genutzt, besteht die Gefahr, dass Ihre Daten in die falschen Hände geraten.

Imageschaden
Die Vergangenheit hat gezeigt, dass Datenschutzverletzungen katastrophale Folgen haben können, nicht nur für das Image. Auch der Börsenkurs kann negativ beeinflusst werden und Kundenverluste und damit verbundene Einbußen bei den Einnahmen können die Folge sein. Verborgene Cloud-Apps, die sich außerhalb der Kontrolle der IT befinden, stellen für Organisationen ein enormes Risiko dar, was zusätzlich zu den eben genannten Punkten auch noch zu Vertrauensverlust bei den Aktionären führen kann.

Datenverlust
Laut Forschungsberichten wurden mehr als die Hälfte aller Datenlecks in 2015 durch unabsichtliches menschliches Fehlverhalten verursacht. Zu den üblichen Bedrohungsvektoren für Datenverlust zählen Tools für Filesharing, Webmail, USB-Sticks und E-Mail. Wenn Sie nicht überblicken und kontrollieren können, was mit Ihren Daten geschieht, bedeutet das ein deutliches zusätzliches Risiko für Ihr Unternehmen. Mehr lesen.

Compliance-Verstöße
Datenschutzbestimmungen werden immer strenger und die Geldstrafen für den unsicheren Umgang mit Kunden- und Mitarbeiterdaten dürfen nicht länger ignoriert werden. Oder können Sie die Prüfer etwa davon überzeugen, dass Ihre Daten bei nicht genehmigten Cloud-Apps keinem Risiko ausgesetzt sind? 

Wo sollten Sie anfangen?

Einfach den Zugriff auf häufig verwendeten Cloud-Apps zu sperren, ist keine Lösung mehr. Stattdessen sollten Sie dem Problem auf den Grund gehen. Hier sind drei Schritte, um die Risiken durch Shadow IT zu reduzieren: 

  1. Licht ins Dunkel bringen
    Was Sie nicht sehen, können Sie nicht beheben. Der erste Schritt ist daher die Sichtbarmachung der in Ihrer Organisation verwendeten Apps. Eine Cloud-App-Audit kann dabei helfen, und zeigt oft, dass eine höhere Anzahl von Cloud-Apps verwendet wird als erwartet. Mit Cloud Application Control von CensorNet können Sie alle Cloud-Apps sehen, die in Ihrem Netzwerk genutzt werden. Sie können sogar in die einzelnen Apps gehen und sehen, welche Funktionen genau verwendet werden und Benachrichtigungen erhalten, wenn unangemessene Inhalte erkannt werden. Cloud Application Control kann auch anzeigen, wo die einzelne Cloud-Anwendungen Ihre Daten speichern.
      
  2. Richtlinien verwenden, um Risiken zu begrenzen
    Mit der gewonnenen Übersicht über die verwendeten Apps, können Sie nun mithilfe von Richtlinien die Risiken begrenzen. Cloud Application Control von CensorNet bietet die Detailgenauigkeit, die Sie brauchen, um innerhalb der Cloud-Apps bestimmte Aktionen einschränken zu können. Zum Beispiel ist die Nutzung von Dropbox nicht immer gefährlich, aber bestimmte Funktionen wie etwa das Hochladen von Dateienkönnen ein Risiko darstellen,  das beschränkt werden sollte.

  3. Anwender aufklären und Best Practices einführen
    Haben Sie einmal den wertvollen Einblick in das Tun Ihrer Anwender, können Sie  diejenigen direkt ansprechen und aufklären, die riskante Aktionen ausführen. Suchen Sie den Dialog, leisten Sie Hilfestellung und geben Sie ihnen Best Practices an die Hand. Das hilft die Grundursache für Shadow IT zu beheben. Nehmen wir zum Beispiel den Fall, dass einige Mitarbeiter nicht genehmigte Cloud-Apps wie Dropbox nutzen, um Daten extern zur Verfügung zu stellen. Hier kann Ihr Team dafür sorgen, dass eine genehmigte Alternative, wie z. B. Citrix ShareFile mit starker Anwenderauthentifizierung, eingerichtet wird.