Schatten-IT in Unternehmen bildet sich dann, wenn die bestehenden IT-Tools und -Prozesse nicht den Anforderungen der Benutzer: innen gerecht werden. Hinzu kommt, dass IT-Abteilungen eine ständig wachsende Zahl von Geräten und Konten überwachen muss. Den Überblick zu bewahren, ist eine herausfordernde Aufgabe. Häufig sind schwerwiegende Sicherheitsprobleme und steigende Kosten die Folgen der nicht autorisierten Nutzung von IT-Ressourcen wie Apps, Programme, Hardware oder Cloud-Diensten und -Tools. Die Everest Group stellt fest, dass über die Hälfte der gesamten IT-Ausgaben in grossen Unternehmen von Schatten-IT verursacht werden. In einer Forcepoint-Umfrage geben 63 Prozent der Teilnehmenden an, private Endgeräte zu nutzen, um auf Dokumente und Dienste ihres Arbeitgebenden zuzugreifen. Private E-Mail- oder File-Sharing-Cloud-Dienste werden von 55 Prozent für Arbeitszwecke verwendet. McAfee befragte 500 IT-Führungskräfte in Deutschland und kommt zu dem Ergebnis, dass mehr als die Hälfte der Mitarbeitenden in Unternehmen Anwendungen benutzen, ohne dass die IT-Abteilung davon weiss. Hinzukommen 41 Prozent der Befragten, die unerlaubte Cloud-Services einsetzen. In aller Regel sind sich Anwender:innen über die Sicherheitsrisiken, die dadurch entstehen, überhaupt nicht im Klaren. Doch auch IT-Abteilungen tragen zu Schatten-IT bei: Häufig werden kurzfristige Entscheidungen über IT-Lösungen getroffen, damit die Produktivität der Mitarbeitenden nicht leidet und der Betrieb reibungslos läuft. Beispielsweise werden mehrere, isolierte Produkte eingekauft oder Software sogar doppelt angeschafft. Die häufigsten Gründe für Schatten-IT in Unternehmen Mitarbeitenden fehlen die Werkzeuge und Ressourcen, die sie benötigen Mitarbeitenden sind die Cybersicherheitsrisiken nicht bekannt Fehlende IT-Richtlinien und Genehmigungsverfahren (oder sie sind nicht bekannt) Wachsende Anzahl vernetzter Geräte Nicht verwaltete Browser, die sensible Anmeldedaten, Kennwörter und Kreditkarteninformationen speichern Entwickler und DevOps-Teams müssen schnell und effizient arbeiten. Deshalb wird häufig Sicherheit der Geschwindigkeit geopfert. Was tun gegen Schatten-IT? IT-Sicherheitsteams stehen vor der gewaltigen Aufgabe, Licht ins Dunkel zu bringen, um Sicherheitsanforderungen und Datenschutz mit Produktivitätsanforderungen in Einklang zu bringen. Was können Sie dafür tun? Im Austausch mit Fachabteilungen und Mitarbeitenden erhalten Sie einen Überblick, welche Schattenanwendungen bereits genutzt werden. Wenn Sie ein möglichst vollständiges Bild vorliegen haben, prüfen Sie die gefundenen Ergebnisse hinsichtlich Sicherheit und Effizienz und analysieren Sie, welche Anwendungen oder Prozesse beibehalten werden können, oder wo Sie für adäquaten Ersatz sorgen müssen. Legen Sie IT-Richtlinien und Genehmigungsverfahren fest, die einfach und im Unternehmen bekannt sind. Die bisherigen Ausführungen machen deutlich, dass Zero-Trust-Modelle für Informationssicherheit an Bedeutung gewinnen. Auf technischer Ebene bedeutet dies, dass Sie die Effektivität der MFA-Implementierung sicherstellen, Anmeldedaten mit höherem Risiko in einem PAM-System schützen und gerade ausreichenden Zugang zulassen sollten. Einschränkungen sind Benutzer:innen häufig ein Dorn im Auge. Deshalb kommunizieren Sie transparent, dass weniger Privilegien im Interesse jedes Mitarbeitenden sind und die Reduktion von Privilegien im gesamten Unternehmen stattfindet. Machen Sie sich die Mühe, den Benutzer:innen zu erklären, wo Sie Sicherheits- und Compliance-Risiken sehen. Begleiten Sie sie auch bei der Umstellung auf neue Tools und Dienste. Mitarbeitende sollten verstehen, was Schatten-IT ist und welche Risiken sie mit sich bringt. Nur so können Sie nachhaltig verhindern, dass sie sich um eigene praktikable Lösungen bemühen.

Düsseldorf, 6. Oktober  2022 – 57 % der befragten IT-Entscheider in Deutschland wollen Finanzhilfen, die sie im Rahmen des Aufbau- und Resilienzplans der EU erhalten, in die Sicherheit investieren. So lautet ein zentrales Ergebnis einer neuen Untersuchung von CyberArk. Die EU stellt den Mitgliedstaaten im Hinblick auf die wirtschaftlichen und sozialen Auswirkungen der Corona-Pandemie mehr als 700 Milliarden Euro in Form von Darlehen und Finanzhilfen zur Verfügung. Gefördert werden sollen vor allem Maßnahmen in den Bereichen Klimaneutralität und digitaler Wandel. Sicherheitsexperte CyberArk stellt in der neuen Studie „Identity Security Threat Landscape“ die Frage, in welchen Segmenten die Unternehmen in der Digitalen Transformation Investitionen tätigen wollen. Dabei zeigt sich, dass mit 57 % die Mehrheit der deutschen Unternehmen Security als Priorität sieht. 45 % nennen den Ausbau digitaler Angebote und je 43 % die Etablierung hybrider Arbeitsmodelle und die Digitalisierung zentraler Betriebsprozesse. Cyber Security ist ohnehin das dominante Thema bei Investitionen in die IT. Ebenfalls 57 % der befragten Unternehmen in Deutschland haben hier in den letzten zwölf Monaten neue Schutzmaßnahmen ergriffen. Unternehmen reagieren damit auf die steigenden Sicherheitsbedrohungen. Große Gefahren sehen sie dabei vielfach in den unbekannten und nicht verwalteten Identitäten, die in immer größerer Zahl vorhanden sind. Schließlich führt die zunehmende Digitalisierung zu einer höheren Anzahl an Interaktionen zwischen Menschen, Applikationen und Prozessen – und damit auch zu mehr digitalen Identitäten. Für 34 % stellen dabei die Endgeräte der Mitarbeiter – seien es Destop-PCs, Notebooks oder mobile Geräte – das größte Sicherheitsrisiko dar. Die Gefahrenlage betrachtet die deutliche Mehrheit der Befragten als kritisch. So meinen 67 %, dass sie den Zugriff von Hackern auf wichtige Unternehmenssysteme und -daten nicht zuverlässig verhindern können. Und 65 % halten das eigene Unternehmen gegen zielgerichtete Angriffe etwa durch Phishing-E-Mails für nicht ausreichend gewappnet. Bei den Sicherheitsmaßnahmen, die Unternehmen ergreifen wollen, nimmt die Zero-Trust-Strategie eine prominente Rolle ein. Dabei geht es in erster Linie um den Einsatz von Identitätssicherheitstools, die den Benutzer vor dem Verbindungsaufbau zum Netzwerk identifizieren und validieren. Darüber hinaus haben auch Lösungen für die Anwendungs- und Workload-Sicherheit eine hohe Priorität. Dies betrifft alle Workloads, die mit Anwendungen, digitalen Prozessen oder der Nutzung von Public-Cloud-Ressourcen verbunden sind. „Die Angriffsfläche, die Unternehmen Hackern bieten, wird immer größer. Die zunehmende Digitale Transformation oder Cloud-Nutzung sind dafür nur zwei Gründe. Sie führen unweigerlich zu einer höheren Anzahl digitaler Identitäten, die Unternehmen nur mit einem umfassenden Identity-Security-Ansatz zuverlässig sichern können“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk. „Ein wichtiger Baustein ist dabei das Zero-Trust-Prinzip, das eine Verifizierung sämtlicher Akteure und Prozesse beinhaltet, die eine Verbindung zu kritischen Systemen herstellen wollen. Unsere Untersuchung zeigt, dass Unternehmen die große Bedeutung von Zero Trust auch erkennen. Es bleibt zu hoffen, dass der Einsicht nun Taten folgen.“ Über die Untersuchung Der „2022 Identity Security Threat Landscape Report“ beleuchtet die Ergebnisse einer Untersuchung, die das Marktforschungsunternehmen Vanson Bourne im Auftrag von CyberArk durchgeführt hat. Befragt wurden 1.750 IT-Security-Entscheider in Deutschland, Frankreich, Großbritannien, Italien, Spanien, Australien, Brasilien, Mexiko, Israel, Japan, Singapur und den USA. Download des Reports unter https://www.cyberark.com/ISTL22​ Diese Presseinformation ist im Internet unter https://pr-com.de/companies/cyberark/ abrufbar.