Wie man die Risiken bewältigt und mindert
der Schatten-IT in Ihrem Unternehmen

Schatten-IT - die nicht genehmigten Anwendungen, die in Ihrem Unternehmensportfolio lauern - könnte Ihr Unternehmen versteckten Risiken aussetzen. Entdecken Sie sie jetzt, bevor sie zu einer teuren Überraschung führen.

Es ist leicht, die Schatten-IT zu übersehen, zu der nicht autorisierte Software und Cloud-Dienste gehören, die Mitarbeiter ohne Genehmigung der IT-Abteilung übernehmen. Doch je länger diese Tools unbemerkt bleiben, desto gefährlicher werden sie.

Viele Mitarbeiter melden sich für diese Apps an, ohne um Erlaubnis zu fragen, weil sie glauben, dass sie die Produktivität steigern oder ihre Bedürfnisse besser erfüllen. Das mag zwar kurzfristig funktionieren, öffnet aber die Tür für ernsthafte Sicherheitsrisiken.

Diese nicht zugelassenen Tools werden nicht auf Schwachstellen überwacht oder mit den Sicherheitsprotokollen des Unternehmens abgeglichen. Infolgedessen werden sie zu bevorzugten Zielen für Datenverletzungen und Cyberangriffe.

In der Tat hat eine aktuelle Angriffsdienst-Management Bericht ergab, dass etwa 70% der Unternehmen Sicherheitsvorfälle im Zusammenhang mit nicht autorisierter Technologie erlebt haben. In diesem Artikel befassen wir uns mit gängigen Beispielen für Schatten-IT, mit den damit verbundenen Risiken und mit der Frage, wie man sie effektiv verwalten kann.

Was ist Schatten-IT?

Schatten-IT liegt vor, wenn Mitarbeiter ohne Zustimmung der IT-Abteilung nicht genehmigte Technologien - Software, Geräte oder Dienste - nutzen. Dazu gehören oft SaaS-Tools, die sie zur Rationalisierung ihrer Arbeit auf eigene Faust einsetzen.

Diese Anwendungen mögen zwar kurzfristig die Produktivität steigern, haben aber auch gravierende Nachteile: Sicherheitslücken, Compliance-Risiken und versteckte Kosten aufgrund mangelnder IT-Überwachung.

Selbst mit guten Absichten setzen Mitarbeiter, die auf externe Tools zurückgreifen, das Unternehmen unwissentlich Datenverletzungen und Compliance-Verstößen aus, indem sie außerhalb der genehmigten Sicherheitsmaßnahmen arbeiten.

Als Nächstes werden wir uns gängige Beispiele für Schatten-IT ansehen, die an den heutigen Arbeitsplätzen oft unbemerkt bleiben.

Gängige Arten von Schatten-IT

Schatten-IT lässt sich in der Regel in drei Hauptkategorien einteilen: nicht autorisierte Software, nicht genehmigte Cloud-Dienste und persönliche Geräte, die sich mit Unternehmensnetzwerken verbinden. Dies sind die Bereiche, in denen IT-Abteilungen oft den Überblick verlieren, was das Risiko von Datenschutzverletzungen und Compliance-Verstößen erhöht.

Zusätzlich zu diesen gängigen Formen werden persönliche Cloud-Speicher- und Messaging-Plattformen immer weiter verbreitet, da die Mitarbeiter nach schnellen und bequemen Möglichkeiten zur Zusammenarbeit und zum Austausch von Dateien suchen. 

Mit dem Aufkommen von FernarbeitWenn die Mitarbeiter diese Tools einführen, erhöht sich die Wahrscheinlichkeit, dass sensible Daten an ungesicherten Orten außerhalb der Kontrolle der IT-Abteilung landen.

Unternehmen ohne strenge IT-Governance sind besonders gefährdet, da die Mitarbeiter diese nicht genehmigten Anwendungen nutzen, um ihre Arbeitsabläufe flexibler zu gestalten. Die Identifizierung und Verwaltung dieser Schatten-IT-Bedrohungen ist der erste Schritt zur Verringerung ihrer Risiken.

Schatten-IT-Risiken, die Sie nicht ignorieren können

Mit der zunehmenden Verbreitung von Cloud-basierten Anwendungen wird nicht zugelassene Software zu einem wachsenden Problem für Unternehmen jeder Größe. Tatsächlich berichtet Gartner, dass weltweit SaaS-Ausgaben überstiegen $195 Milliarden im Jahr 2023 - ein Anstieg um 16,7% gegenüber dem Vorjahr.

Diese wachsende Abhängigkeit von Cloud-Diensten macht deutlich, dass die Risiken, die von nicht autorisierten und nicht verwalteten Anwendungen ausgehen, dringend angegangen werden müssen. Je mehr Mitarbeiter für ihre täglichen Aufgaben auf diese Tools zurückgreifen, desto größer ist die Gefahr von Sicherheitslücken und finanziellen Ineffizienzen.

Wir haben fünf Hauptrisiken im Zusammenhang mit Schatten-IT identifiziert, die jedes Unternehmen kennen sollte. Diese Risiken können die Datensicherheit, die Einhaltung von Vorschriften und die Budgetverwaltung erheblich beeinträchtigen.

Risiko #1: Erhöhtes Potenzial für Datenschutzverletzungen

Eines der größten Risiken der Schatten-IT ist das erhöhte Risiko von Datenschutzverletzungen. Wenn Mitarbeiter nicht zugelassene Apps verwenden, umgehen sie oft die von der IT-Abteilung festgelegten Sicherheitsmaßnahmen.

Im Jahr 2023 wird die Die durchschnittlichen Kosten einer Datenschutzverletzung betragen $9,44 MillionenNach Angaben von IBM gehen viele Vorfälle auf nicht überprüfte, nicht autorisierte Software zurück, die nicht ausreichend gesichert ist.

Diese nicht genehmigten Apps können sensible Unternehmensdaten wie personenbezogene Daten oder geistiges Eigentum für Hacker zugänglich machen. Ohne Sicherheitsvorkehrungen wie Single Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA) werden diese Tools zu leichten Zielen für Cyberangriffe.

Risiko #2: Geringere Einhaltung von Daten- und Datenschutzvorschriften 

Für Branchen, die strengen Datenschutzgesetzen wie GDPR, HIPAA oder dem California Consumer Privacy Act (CCPA) unterliegen, kann die Verwendung nicht genehmigter Software ein großes Compliance-Risiko darstellen. Mitarbeiter könnten unwissentlich sensible Daten auf nicht genehmigten Cloud-Diensten speichern und damit gegen Vorschriften verstoßen und das Unternehmen Geldstrafen in Millionenhöhe aussetzen.

Laut Gartner werden Compliance-Verstöße im Zusammenhang mit nicht genehmigten SaaS-Anwendungen immer häufiger vorkommen, da Unternehmen zunehmend Cloud-basierte Tools ohne IT-Aufsicht einsetzen. 

Vorschriften wie die GDPR erfordern volle Transparenz und Kontrolle darüber, wie personenbezogene Daten erfasst, gespeichert und verarbeitet werden. Nicht autorisierte Apps gefährden diese Kontrolle und erschweren es den Unternehmen, die Vorschriften einzuhalten und teure Strafen zu vermeiden

Risiko #3: Unkontrollierte und nicht überwachte Kosten

IDC schätzt, dass 70% aller SaaS-Käufe werden außerhalb des IT-Budgets getätigt. Diese Verschiebung bedeutet, dass mehr Abteilungen und Mitarbeiter Software auf eigene Faust beschaffen und ausgeben, was zu einem Anstieg der nicht genehmigten Technologie führt.

Das Ergebnis? Unternehmen zahlen oft für überflüssige Dienste oder Abonnements, die unbemerkt bleiben. In Unternehmen mit mehr als 50 Mitarbeitern ist es üblich, dass verschiedene Abteilungen unwissentlich dieselbe Software abonnieren, was unnötige Doppelkosten verursacht. 

Ohne ein zentrales System für Lieferantenmanagement (B2B SaaS)Die Verfolgung von Abonnements, Verlängerungsdaten und der tatsächlichen Nutzung wird dadurch erschwert, was zu verschwendeten Ressourcen und aufgeblähten Softwarebudgets führt.

Risiko #4: Erhöhte Kosten durch doppelte Ausgaben

Doppelte Ausgaben sind ein häufiger Nebeneffekt der nicht genehmigten Softwarenutzung. Wenn verschiedene Abteilungen oder Mitarbeiter unabhängig voneinander dieselben Tools kaufen, entgehen dem Unternehmen Mengenrabatte und die Möglichkeit, Verträge auf Unternehmensebene auszuhandeln.

Diese Überschneidungen treten häufig bei Tools wie Kommunikationsplattformen, Projektmanagement-Software oder Cloud-Speicher auf, bei denen sich die Mitarbeiter für ihre bevorzugten Lösungen entscheiden, anstatt sich an die bewährten Lösungen des Unternehmens zu halten.

Abgesehen von ineffizienten Softwareausgaben kann dies zu Reibungen zwischen Teams führen, die unterschiedliche Tools verwenden, was die Zusammenarbeit erschwert und weniger effizient macht.

Risiko #5: Ungeplante automatische Verlängerungen 

Viele SaaS-Verträge sind mit Klauseln zur automatischen Verlängerung versehen. Ohne angemessene Aufsicht können sich nicht genehmigte Anwendungen automatisch verlängern und unerwartete Kosten verursachen.

Im Durchschnitt muss ein Unternehmen jeden Monat mehrere Erneuerungen vornehmen, und wenn dann noch nicht genehmigte Tools hinzukommen, können die Ausgaben schnell aus dem Ruder laufen. Wenn die IT-Abteilung nicht über diese Verlängerungen informiert ist, kann sie nicht beurteilen, ob die Tools noch notwendig oder für das Unternehmen relevant sind.

Sobald IT-Verantwortliche die Risiken nicht autorisierter Technologie erkannt haben, können sie das Problem angehen. 

Gefährliche Schatten-IT Beispiele

Schatten-IT kann viele Formen annehmen, von nicht genehmigter Software bis hin zu privaten Geräten, die für Arbeitsaufgaben verwendet werden. Während einige Fälle harmlos erscheinen, können andere das Unternehmen großen Sicherheitsrisiken, Datenschutzverletzungen und finanziellen Auswirkungen aussetzen.

Die folgenden Beispiele aus der Praxis veranschaulichen die Gefahren, die von nicht autorisierter Technologie ausgehen, und zeigen, wie sie die Sicherheits- und Compliance-Bemühungen eines Unternehmens untergraben können.

Häufig anfällige Schatten-IT-Anwendungen

Zu den anfälligsten und am häufigsten verwendeten nicht autorisierten Anwendungen gehören:

• Produktivitäts-Apps: Tools wie Slack, Asana und Trello können bei der Verwendung ohne IT-Aufsicht Sicherheitsbedrohungen für die sensible Kommunikation darstellen.
• Cloud-Speicher: Nicht zugelassene Dienste wie Google Drive, Dropbox und OneDrive können Sicherheitsvorkehrungen umgehen, was zu Datenverlusten führen kann.
• Kommunikationsmittel: Plattformen wie WhatsApp und persönliche E-Mail-Konten entsprechen oft nicht den Sicherheitsprotokollen des Unternehmens, was zu erheblichen Lücken führt.
• Projektmanagement-Tools: Anwendungen wie Monday.com und Jira können sensible Projektdaten speichern, die außerhalb des genehmigten Tech-Stacks unzureichend gesichert sein können.
• Persönliche Geräte: Laptops, Smartphones und Tablets, auf die ohne Genehmigung des Unternehmens zugegriffen wird, stellen ein ernstes Risiko dar, wenn sie nicht gemäß den Sicherheitsrichtlinien des Unternehmens verwaltet werden.

Diese Anwendungen können zwar die Produktivität steigern, ihre unkontrollierte Nutzung stellt jedoch eine erhebliche Bedrohung für den Unternehmensbetrieb dar, wie die folgenden Beispiele aus der Praxis zeigen.

Beispiele aus der Praxis für Schatten-IT-Risiken

Die Truecaller-Datenpanne

• Opfer: 47,5 Millionen Nutzer
• Ausgabe: Eine Sicherheitslücke in der App ermöglichte es Cyberkriminellen, Benutzerprofile zu ändern und bösartige Links einzufügen, die ohne Zustimmung des Benutzers Malware-Skripte ausführten.
• Ergebnis: Persönlich identifizierbare Informationen (PII), einschließlich Namen, E-Mail-Adressen und Telefonnummern, wurden im Dark Web verkauft, wodurch Benutzer potenziellen Phishing-Angriffen und Identitätsdiebstahl ausgesetzt waren.

Dieser Fall unterstreicht die Gefahren, die von nicht genehmigten Apps ausgehen, die mit sensiblen Kundendaten umgehen. Ohne IT-Überprüfung können Apps wie Truecaller Schwachstellen aufweisen, die zu schwerwiegenden Datenschutzverletzungen führen.

Docker's Credential Breach

• Opfer: 190.000 Entwickler
• Ausgabe: Eine Datenpanne ermöglichte es Hackern, Benutzeranmeldeinformationen zu stehlen, was es Cyberkriminellen möglicherweise ermöglichte, die auf der Plattform erstellten Anwendungen zu verändern oder zu kompromittieren.
• Ergebnis: Die Sicherheitsverletzung gefährdet die Daten der Entwickler und stellt ein Risiko für die von ihnen entwickelten Anwendungen dar, was wiederum Auswirkungen auf die Endnutzer haben könnte.

Dieser Verstoß macht deutlich, dass selbst in Entwicklungsumgebungen, in denen Sicherheit oberste Priorität haben sollte, nicht autorisierte Anwendungen existieren können. Ohne IT-Überwachung können Entwicklungstools wie Docker zu großflächigen Schwachstellen führen.

Historische Datenpanne bei Yahoo

• Opfer: 3 Milliarden Nutzer
• Ausgabe: Bei einer Reihe von Datenschutzverletzungen zwischen 2012 und 2016 wurden aufgrund von Phishing-Angriffen und schlechten Sicherheitspraktiken personenbezogene Daten preisgegeben.
• Ergebnis: Yahoo musste sich mit $117,5 Millionen begnügen und verlor seine Position als führender Anbieter von Webdiensten, was zeigt, wie Sicherheitslücken zu langfristigen finanziellen und rufschädigenden Schäden führen können.

In diesem Fall ermöglichten es schwache Sicherheitsprotokolle Cyberkriminellen, Schwachstellen in der Schatten-IT auszunutzen, was zu einer der größten Datenschutzverletzungen der Geschichte führte.

Die fünf gefährlichsten Arten von Schatten-IT

Neben diesen Beispielen aus der Praxis birgt nicht zugelassene Software Risiken in mehreren Schlüsselbereichen:

• Schwachstellen-Management. Nicht zugelassene Anwendungen werden häufig nicht ordnungsgemäß auf Schwachstellen gescannt und mit Patches verwaltet. Ohne IT-Aufsicht können diese Anwendungen wichtige Sicherheitsupdates verpassen, was sie zu bevorzugten Zielen für Cyberkriminelle macht.
• Identitäts- und Zugriffsmanagement (IAM). Nicht autorisierte Software kann zu nicht verwalteten Benutzerkonten führen, darunter auch verwaiste Konten von ehemaligen Mitarbeitern. Diese unautorisierten Konten schaffen Möglichkeiten für unbefugten Zugriff und erhöhen das Risiko von Insider-Bedrohungen und externen Verstößen.
• Privileged Access Management (PAM). Nicht konforme Anwendungen können Mitarbeitern ohne Wissen der IT-Abteilung privilegierten Zugriff gewähren. Dies kann zu übermäßigen Berechtigungen für Benutzer führen, die diese nicht benötigen, was die Wahrscheinlichkeit von Sicherheitsverletzungen erhöht.
• Datenverlust und Verstöße gegen die Vorschriften. Viele nicht zugelassene Anwendungen entsprechen nicht den Sicherheitsrichtlinien des Unternehmens oder gesetzlichen Standards wie GDPR und HIPAA. Dies kann zu einem unsachgemäßen Umgang mit sensiblen Daten führen, was Geldstrafen, Datenverluste und Rufschädigung zur Folge hat.
• Risiken der automatischen Erneuerung. Viele nicht autorisierte Anwendungen verfügen über automatische Verlängerungsfunktionen, die unbemerkt bleiben und unnötige Kosten verursachen können. Ohne IT-Überwachung zahlen Unternehmen möglicherweise weiterhin für Dienste, die nicht mehr genutzt werden, und vergeuden so wertvolle finanzielle Ressourcen.

Wie man Schatten-IT erkennt und verhindert

Das Aufspüren und Verwalten von nicht konformen Technologien ist entscheidend für die Sicherheit und Konformität der Daten Ihres Unternehmens. Nicht zugelassene Tools können leicht in den täglichen Betrieb eindringen, was zu Sicherheitslücken und finanzieller Verschwendung führt. Hier erfahren Sie, wie Sie nicht genehmigte Software in Ihrem Unternehmen erkennen und verhindern können.

Regelmäßige Software-Audits. Beginnen Sie damit, alle im Unternehmen verwendete Software zu überprüfen. Dieser Prozess hilft dabei, alle nicht genehmigten Anwendungen aufzuspüren, die Mitarbeiter ohne die Zustimmung der IT-Abteilung heruntergeladen haben. Regelmäßige Überprüfungen halten die Liste der Tools auf dem neuesten Stand und ermöglichen es den IT-Teams, alle genutzten Anwendungen zu verfolgen.

Mitarbeiter informieren und einbeziehen. Mitarbeiter greifen oft auf nicht genehmigte Anwendungen zurück, wenn sie das Gefühl haben, dass die vom Unternehmen genehmigten Tools ihren Anforderungen nicht gerecht werden. Es ist wichtig, die Mitarbeiter über die Risiken nicht genehmigter Software aufzuklären. Vergewissern Sie sich, dass sie die Folgen von Datenschutzverletzungen und Verstößen gegen die Vorschriften verstehen, und ermutigen Sie sie, sich mit der IT-Abteilung zu beraten, bevor sie neue Tools einführen. Eine klare Kommunikation kann den Drang, nach nicht genehmigten Lösungen zu suchen, deutlich verringern.

Verwenden Sie SaaS-Verwaltungstools. B2B SaaS-Verwaltungssoftware bietet Echtzeittransparenz über alle vom Unternehmen genutzten Anwendungen. Tools wie Spendbase for Chrome verfolgen die App-Nutzung, wenn sich Mitarbeiter mit ihren Unternehmenskonten anmelden, und zeigen nicht autorisierte Software sofort an. Auf diese Weise können IT-Teams unzulässige Technologie sofort verwalten und Risiken verhindern, bevor sie eskalieren. 

Spendbase bietet auch Einblicke in die App-Akzeptanz und hilft Ihnen bei der Entscheidung über die Verlängerung oder Kündigung von Abonnements auf der Grundlage der tatsächlichen Nutzungsdaten.

Durch regelmäßige Audits, eine offene Kommunikation mit den Mitarbeitern und den Einsatz von Tools wie Spendbase for Chrome können Sie Schatten-IT effektiv aufspüren und verhindern, so dass Ihr Unternehmen sicher und gesetzeskonform bleibt.