[datensicherheit.de, 01.12.2020] Die meisten IT-Teams würden wohl gerne glauben, dass ihr Unternehmen alle Anwendungen, Websites und Tools kennt, die Mitarbeiter zur Erledigung ihrer Aufgaben einsetzen, so Netmotion nach eigenen Angaben als Fazit aus zahlreichen Kundengesprächen. Tatsächlich investierten Unternehmen in eine Vielzahl von Produktivitäts-, Kommunikations-, Speicher- und Collaboration-Tools für ihre Belegschaft, um sicherzustellen, dass die Mitarbeiter ihre Arbeit effizient und effektiv erledigen könnten. Was Arbeitnehmer möglicherweise darüber hinaus benötigen könnten, zeige eine kürzlich durchgeführte Studie, wonach 62 Prozent der mobilen Mitarbeiter zugegeben hätten, dass sie für ihre Arbeit alternative Anwendungen verwendeten, von denen ihre IT-Abteilung nichts wisse.

Foto: NetMotion

Thomas Lo Coco: Arbeitnehmer greifen zwar auf nicht genehmigte Tools zu, dies aber zumeist im Interesse der Arbeitserledigung…

Mitarbeiter nutzen Schatten-IT womöglich mit einem Gefühl der Freiheit

„Warum halten sich also nur 38 Prozent der Arbeitnehmer an die Liste der sanktionierten IT-Software ihres Arbeitgebers?“ Wenn man sich die Ereignisse des Jahres 2020 anschaue, könne man einige Vermutungen anstellen: Aufgrund von Auflagen, zu Hause zu bleiben, und weil die Teammitglieder mehr Arbeit außerhalb des Büros erledigten, habe die IT ein gewisses Maß an Sichtbarkeit und Kontrolle verloren.
Möglicherweise spürten auch die Mitarbeiter selbst ein Gefühl der Freiheit. Sie müssten sich keine Sorgen mehr darüber machen, „dass sie ein Büronetzwerk nutzen oder bei der Nutzung einer externen Ressource auf frischer Tat ertappt werden“. Das Ergebnis sei ein Potpourri aus verschiedenen Anwendungen und Diensten, die Mitarbeiter gerne nutzten, um gewisse Lücken zu füllen. Ohne Kenntnis dieser Tätigkeit indes seien Unternehmen einem erhöhten Risiko von Datenlecks und potenziellen Sicherheitsverletzungen ausgesetzt.

Die Top-5 der Schatten-IT in Unternehmen laut NetMotion

„Welche Online-Tools und -Dienste sind für Mitarbeiter so wichtig, dass sie bereit sind, ihre Unternehmensrichtlinien zu verletzen, um diese Tools und Dienste dennoch zu nutzen?“ Die Antworten von NetMotion seien naheliegender als erwartet:

1. Produktivitätswerkzeuge
   Die erste Kategorie von Software, die von Fernmitarbeitern (in nicht sanktionierter Weise) eingesetzt wird, sind Produktivitätstools. Dies ist eine andere Sichtweise als die finstere, die den meisten in den Sinn kommt, wenn sie an „Schatten-IT“ denken. Die Arbeitnehmer versuchen hierbei eindeutig nicht, ihr Unternehmen zu sabotieren, indem sie auf bösartige Websites zugreifen – sie benutzen einfach Tools, die ihnen helfen, produktiver zu sein, während sie von zu Hause arbeiten.
   Anhand einiger der relevantesten Tools in dieser Kategorie ist dies leicht nachzuvollziehen. „Google Docs“ wird zwar von den meisten IT-Teams nicht sanktioniert, ermöglicht es den Mitarbeitern jedoch, Dateien schnell und einfach auszutauschen und zusammenzuarbeiten. Dennoch müssen IT-Teams wissen, welche Tools die Mitarbeiter verwenden, um sie effektiv zu sperren. Eine falsche Datei, die über einen Online-PDF-Konverter ausgetauscht wird, kann ein unbeabsichtigtes Datenleck und enorme Auswirkungen bis hin zum finanziellen und Reputationsverlust für das betroffene Unternehmen führen.
2. Kommunikation
   Kommunikationssoftware kommt im Bereich der Schatten-IT an zweiter Stelle und umfasst Tools wie „Zoom“, „Slack“ und „WhatsApp“. Auch hierbei ist es keine Überraschung, dass die Team-Mitglieder sich in Projekten engagieren und miteinander kommunizieren wollen. Für Unternehmen vielleicht noch schockierender ist der Umstand, dass die Mitarbeiter anscheinend unzufrieden mit den Kommunikationstools sind, die von der IT eigens eingerichtet wurden.
   Es ist die halbe Miete, wenn man versteht, welche Kommunikationswerkzeuge die Mitarbeiter (abgesehen von den sanktionierten) verwenden. Wenn das IT-Team das Problem versteht, macht es die Lösung des Problems einfach. Vielleicht wäre dies eine Investition in „Slack“ für die Mitarbeiter oder eine Schulungssitzung dazu, dass die aktuelle offizielle Kommunikationssoftware viele der gleichen Funktionen aufweist. Unabhängig davon ist es wichtig, sicherzustellen, dass die Kommunikationswerkzeuge, die Mitarbeiter verwenden, konsistent und sicher sind. Nachrichten bezüglich sensibler Unternehmensinformationen, die auf nicht genehmigten Nachrichtenplattformen gesendet werden (obwohl sie an sich sicher sind), können leicht in die falschen Hände geraten.
3. Storage
   An dritter Stelle, weit unterhalb von Produktivität und Kommunikationssoftware, stehen Storage-Tools. Dazu gehören Anwendungen wie „Dropbox“, „Box“ und „WeTransfer“. Diese sind überaus bekannt und werden in vielen Unternehmen verwendet, unabhängig davon, ob sie mit Sanktionen belegt sind oder nicht. Die gute Nachricht ist, dass die Unternehmen anscheinend einen Schritt zur Bekämpfung dieser nicht sanktionierten Verwendung unternommen haben, indem sie den Arbeitnehmern den Zugang zu Storage auf funktionierende Weise ermöglichen. „Dropbox“ zum Beispiel hat jetzt ein Angebot für Unternehmen, das einen robusteren Sicherheitsstandard erfüllt.
   Wenn Unternehmen jedoch noch nicht in externe Speicherkapazitäten investieren, sollten sie dies möglicherweise in Betracht ziehen. Große Dateien, die auf unsichere Speicherorte hochgeladen werden, sind eine einfache Möglichkeit, Daten durchsickern zu lassen, von der die meisten Mitarbeiter häufig Gebrauch machen, wenn sie keine Alternative haben.
4. Zusammenarbeit
   Collaboration-Tools belegen den letzten Platz in der Kategorie Schatten-IT-Software. Es ist leicht, dies als positiv zu sehen. Tools wie „Asana“, „Trello“ und „Coda“ sind ohne spezielle IT-Kenntnisse nutzbar. So scheint es, dass die Mehrheit der Mitarbeiter ihre Bedürfnisse an diese Tools erfüllt sieht. Ein Beispiel wäre, dass ein Team „Asana“ verwendet, ohne dass die IT-Abteilung davon weiß.
   Auch hierbei handelt es sich um eine Situation, die leicht gelöst werden kann und die wahrscheinlich darauf zurückzuführen ist, dass die Bedürfnisse der Mitarbeiter nicht erfüllt wurden. Wenn „Asana“ verwendet wird, bedeutet das normalerweise, dass ein Team versucht, sich zu organisieren und effektiver zusammenzuarbeiten. Wenn die IT-Abteilung in der Lage ist, diesen Bedarf zu erkennen, sollte sie helfen, indem sie entweder in „Asana“-Lizenzen investiert und Personal ausbildet oder diesen funktionalen Bedürfnissen auf andere Weise gerecht wird.
5. Sonstige
   Diese Kategorie regt die Phantasie auf Anhieb an, vor allem bei IT-Teams, denn es ist schwierig zu ergründen, welche Tools unter „Sonstige“ fallen.
   Was sich jedoch sagen lässt, ist, dass Fern-Arbeiter diese als ihre Antwort auf ein Problem wählen, weil sie bestimmte Tools ohne IT-Kenntnisse verwenden können.

Schatten-IT – Mangel an Sichtbarkeit im Allgemeinen nie eine gute Sache

„Offensichtlich hat diese Analyse aufgedeckt, was viele als ein Problem bezeichnen würden. Da einer von vier Umfrageteilnehmern NetMotion gegenüber offenbart, dass er eine beträchtliche Anzahl von Tools außerhalb der offiziellen IT-Richtlinien verwendet, ist Handlungsbedarf gegeben“, betont Thomas Lo Coco von NetMotion und fährt fort:
„Ist in Sachen Schatten-IT wirklich alles schlecht? In gewisser Weise ja – ein Mangel an Sichtbarkeit für die IT ist im Allgemeinen nie eine gute Sache. Andererseits zeigt die Erfahrung, dass Arbeitnehmer zwar auf nicht genehmigte Tools zugreifen, dies aber im Interesse der Arbeitserledigung tun.“

Schatten-IT so steuern, dass sie zu etwas Positivem wird

„Wie löst ein Unternehmen dieses Problem? Jedes Unternehmen ist anders. Ein Team nutzt vielleicht einen Mix von Schatten-IT oder weist eine große Anzahl von Fällen auf, die in eine ganz bestimmte Kategorie fallen.“ Unter dem Strich benötige die IT-Abteilung Sichtbarkeit außerhalb der vier Wände des Büros. Die IT müsse nach Meinung von Netmotion in der Lage sein, zu entschlüsseln, auf welche Tools die Mitarbeiter in jedem Netzwerk zugreifen.
Ist diese Sichtbarkeit gegeben, müsse die IT-Abteilung mit den Mitarbeitern zusammenarbeiten und effektive Lösungen finden, anstatt produktive Arbeitsweisen zu verhindern. Die Schatten-IT lasse sich so steuern, dass sie zu etwas Positivem wird, statt das eher archaische Modell der Beschränkung von Mitarbeitern, ihren Methoden und Geräten zu verfolgen.

Weitere Informationen zum Thema:

NetMotion
An introduction to experience monitoring

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

Gastbeitrag von Deepen Desai, VP Security Research bei Zscaler, 06.3.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe / Beliebte Angriffsvektoren für Cyberkriminelle

datensicherheit.de, 16.09.2018
Fünf Maßnahmen gegen die mobile Schatten-IT / Starke Herausforderung für die Unternehmens-IT / Mitarbeiter nutzen nicht genehmigte Geräte und Apps

datensicherheit.de, 11.08.2016
Die dunklen Seiten der betrieblichen Schatten-IT / Tenable-Studie zeigt wachsende Anfälligkeit für Angriffe auf Unternehmen

[datensicherheit.de, 27.10.2020] Im Kontext der „Corona“-Krise bedeutet für viele Arbeitnehmer die „neue Normalität“ offensichtlich, überwiegend zu Hause zu arbeiten und nicht mehr zu einem Büro zu pendeln. Selbst wenn einige allmählich an ihre gewohnten Arbeitsplätze zurückkehrten, könnte das Arbeiten aus der Ferne für viele zur bevorzugten Arbeitsweise werden. Im Bereich der professionellen Dienstleistungen sei das nicht anders – fast über Nacht hätten die Beschränkungen von „COVID-19“ auch eine Kaskade unterschiedlicher Arbeitspraktiken hervorgebracht.

Foto: NetMotion

Thomas Lo Coco: Eine weise Strategie ist es, auf alle Überraschungen vorbereitet zu sein!

Unternehmen versuchen so gut wie möglich sicherzustellen, dass ihre Mitarbeiter genauso produktiv sind wie zuvor

„Selbst mit der neuen Normalität des ,Working from Home‘ oder ,Remote‘- Arbeitsumgebungen versuchen die Unternehmen so gut wie möglich sicherzustellen, dass ihre Mitarbeiter genauso produktiv sind wie zuvor. Für IT- und Sicherheitsteams hat dies die neuen Herausforderungen hinsichtlich Sicherheit und Compliance, die dieses Umfeld mit sich bringt, massiv in den Vordergrund gerückt“, so Thomas Lo Coco, „Sales Manager DACH“ bei NetMotion Software. „Die Mitarbeiter müssen sich sicher verbinden, ohne Einbußen bei der Benutzerfreundlichkeit und, was sehr wichtig ist, ohne Abstriche beim ,Service Level‘ zu machen.“

Sicherheit für Telearbeit der Mitarbeiter entscheidend

Sicherheit müsse für jedes Unternehmen, das eine Fernarbeitsstrategie entwickelt, immer oberste Priorität haben. Durch die Verschlüsselung des Datenverkehrs in unbekannten oder unsicheren Netzwerken könnten so genannte „Man-in-the-Middle“-Angriffe (MitM) vermieden und ein versehentlicher Datenverlust verhindert werden. Die finanziellen Details seines Kundenstamms zu verlieren, wäre eine Katastrophe für jedes Unternehmen. Letztlich sollte nichts dem Zufall überlassen werden. Es gebe Tools, die hierbei helfen könnten, „wie zum Beispiel eine Lösung, die inoffizielle App-Downloads verhindert – ein beliebter Weg, um Ransomware zu verbreiten“.

Sicherheitsansatz für Mitarbeiter außer Haus wählen

Hier ein Beispiel: Wenn ein Unternehmen „Microsoft OneDrive“ als Online-Speicher verwendet, könnten nicht genehmigte Dienste wie „iCloud“, „Dropbox“ und „Google Drive“ blockiert werden. Sie könnten einen Sicherheitsansatz wählen, „der bestimmte Richtlinien zulässt, wenn Mitarbeiter in ihrem eigenen Heimnetzwerk arbeiten, und andere, wenn sie ein weniger sicheres Netzwerk im Hotel, am Flughafen oder im Café nutzen“.

Rollenbasierte Zugriffskontrollen für Mitarbeiter empfohlen

Außerdem sollte jede Lösung, die in Betracht gezogen wird, die Möglichkeit beinhalten, eine reputationsbasierte Domain-Filterung bereitzustellen. Diese schränke den Zugriff auf risikoreiche Inhalte, die normalerweise durch eine Unternehmensfirewall verhindert würden, effektiv ein. Einer der größten Nachteile von Unternehmens-VPNs bestehe darin, dass ein bösartiger Akteur, sobald er Zugriffsrechte hat, einen viel einfacheren Weg habe, sich seitlich durch eine Unternehmensumgebung zu bewegen. So etwas wie rollenbasierte Zugriffskontrollen würden helfen, dies einzuschränken, indem sie selektiven Zugriff auf jeden Aspekt der Managementkonsole gewährten. „Wenn jemand in der Firma keinen Zugriff auf bestimmte Informationen benötigt, dann verweigert man ihm den Zugriff und begrenzt so die Schwachstellen, die Hacker ausnutzen können.“

Geschlossene One-to-One-Verbindung zwischen Mitarbeiter und benötigten Ressourcen

Eine andere Taktik sei die Durchsetzung der Authentifizierung mittels adaptiver Autorität (kontextbasierte Multi-Faktor-Authentifizierung) oder die Implementierung eines „Software Defined Perimeter“ (SDP). Dies ermögliche eine geschlossene One-to-One-Verbindung zwischen Mitarbeitern und den benötigten Ressourcen und halte potenzielle Hacker von Unternehmensressourcen fern, „unabhängig davon, ob diese vor Ort oder in einer privaten Cloud-Umgebung gehostet werden“. Lo Coco führt aus: „Wenn das IT-Team Ihres Unternehmens vollständige Sichtbarkeit aller mit Ihrem Netzwerk verbundenen Geräte hat, kann es Probleme schnell lösen.“

Sicherheitslösung muss es Mitarbeitern ermöglichen, auf interne Systeme und Anwendungen von überall her zuzugreifen

Compliance-Vorschriften gelte es unbedingt umzusetzen, daran führe im Unternehmen kein Weg vorbei. Die Nichteinhaltung sei letztlich eine kostspielige Lektion. „Einerseits könnte Ihr Unternehmen von der zuständigen Aufsichtsbehörde mit hohen Geldstrafen belegt werden, andererseits entstehen Kosten durch Reputationsschäden.“ Es verstehe sich von selbst, dass sich kein Unternehmen mit einer Reihe von Compliance-Problemen auseinandersetzen möchte, die sich aus seiner Fernarbeitspolitik ergeben. Vor diesem Hintergrund sollte es für jedes Unternehmen von entscheidender Bedeutung sein, die Sicherheit der Kundendaten zu gewährleisten. Das sei der entscheidende Punkt in dieser Diskussion. Jede Sicherheitslösung müsse es den Mitarbeitern ermöglichen, auf interne Systeme und Anwendungen von überall her, in jedem Netzwerk, zuzugreifen, „ohne sich Sorgen machen zu müssen, kompromittiert zu werden“.

Mitarbeiter sollten sich nicht über lästige Praktiken der erneuten Authentifizierung beschweren müssen

Mitarbeiter, die weit entfernt oder mobil sind, müssten in der Lage sein, ihre Arbeit ohne Auswirkungen auf ihre Benutzererfahrung auszuführen. „Ist diese ,Mitarbeitererfahrung‘ (User-Experience, UX) nahtlos, führt dies zu einer höheren Produktivität. Sie möchten nicht, dass sich Ihre Mitarbeiter über lästige Praktiken der erneuten Authentifizierung oder Videoanrufe schlechter Qualität beschweren, was oftmals frustrierend ist.“ Im Verlauf der „Pandemie“ habe die Nutzung von Videokonferenz-Plattformen wie „Zoom“, „Teams“, „Webex“ oder „Google Meet“ immens zugenommen.

Unternehmen erwarten von Mitarbeitern, dass sie am jedem Ort den gleichen Service und die gleiche Professionalität abliefern

„Solche Plattformen sind jedoch nicht frei von Fehlern. Ein bekanntes Problem ist, dass einige sich bei schlechteren Internetverbindungen nicht dynamisch anpassen können, was noch dadurch verschlimmert wird, dass sich mehr Teilnehmer einem Anruf anschließen“, so Lo Coco. Unternehmen erwarteten von ihren Mitarbeitern, dass sie zu Hause den gleichen Service und die gleiche Professionalität ablieferten wie im Büro. Daher wäre es nicht sinnvoll, Mitarbeiter aus der Ferne zu beschäftigen, wenn technische Probleme dazu führten, „dass Kunden nicht die Betreuung erhalten, die sie zu Recht erwarten“.

Möglicherweise wollen einige Mitarbeiter nicht mehr ins Büro zurückkehren

„COVID-19“ habe sicherlich deutlich gemacht, dass alle Unternehmen besser auf die Arbeit aus der Ferne vorbereitet werden müssten. „Wird dies zu einer dauerhaften Veränderung der Arbeitsmuster führen? Was ist, wenn die Mitarbeiter nicht mehr ins Büro zurückkehren wollen, sobald die Beschränkungen gelockert werden?“ Angesichts der Tatsache, dass viele Systeme Schwierigkeiten hätten, mit der Fernarbeit zurechtzukommen, überdächten viele Unternehmen natürlich ihren Fahrplan hinsichtlich des Fernzugriffs. Die Internet-Serviceprovider ihrerseits seien verständlicherweise unter Druck geraten, die Bandbreite zu verbessern und die Datenbeschränkungen aufzuheben, „damit die Mitarbeiter nicht zur Monatsmitte von ihren Arbeitgebern abgeschnitten werden“.

Die Krise als Gelegenheit, die längst überfällige Arbeitsflexibilität für Mitarbeiter umzusetzen

„Die ,Pandemie‘ könnte durchaus die Veränderungen für eine Revolution des verteilten Arbeitens eingeläutet haben. Für viele Firmen könnte dies die Gelegenheit sein, die längst überfällige Arbeitsflexibilität umzusetzen, jedoch unter Berücksichtigung von Sicherheit, Compliance und User Experience.“ Eine weise Strategie sei es, auf alle Überraschungen vorbereitet zu sein, fasst Lo Coco abschließend zusammen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.10.2020
Home-Office: Arbeitnehmer weltweit in neue Routinen gedrängt / Paolo Passeri erklärt, wie sich die Cyber-Sicherheit durch Corona und Home-Office verändert hat

datensicherheit.de, 08.10.2020
TÜV SÜD: Tipps zur IT-Sicherheit für Rückkehr aus dem Home-Office / Arbeiten im Home-Office während der Corona-Krise hat Angriffsfläche spürbar vergrößert

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe