Schatten IT

Verfasst vonClick Coach - Approach the CoachVeröffentlicht inCloud Dienste, Datensicherung, M365, Office 365, Risiken absichern, UeberwachungSchlagwörter:, , , , , , ,

Schatten IT. Das ist wenn Mitarbeitende anfangen eigene Lösungen aufzubauen weil ihre Anforderungen und Wünsche von der zentralen Informatik-Abteilung nicht erfüllt werden können. Ein Beispiel könnten sein, wenn ich anfange meine Daten in Dropbox auszulagern weil ich dann von überall darauf zugreifen kann und es keine Zugriffs-Limitationen gibt ausser vielleicht dem Limit meiner Kreditkarte.

Das tönt ja erstmal gut? Wir können vermeintlich schwerfällige Prozesse umgehen und schnell und ohne andere gross zu involvieren in kurzer Frist etwas nützliches aufbauen. Meistens beginnen solche Sachen klein, man will mal was ausprobieren. Vielleicht hat es auch erstmal eine Art „Test“-Charakter und kann ja dann jederzeit wieder gelöscht werden. Durch die im Vergleich zu zentralen IT Lösungen „Einfachheit“ des Schatten-Dienstes, ist auch die Akzeptanz höher. Schnell kann mal noch einem Kollegen Zugriff geben, ganz an der IT vorbei. Im Internet-Café in den Ferien in Bali noch schnell die Budget-Zahlen herunterladen oder eine Präsentation bearbeiten.

Schatten IT verstösst unter Umständen gegen bestehende Gesetze

Wo ist denn das Problem? Es geht ja alles so super und einfach, warum zu viele kritische Fragen stellen. Aber Achtung: Es werden Risiken ausgeblendet und bewusst oder unbewusst in Kauf genommen. Gibt es eine Datensicherung? Wer hat Zugriff auf diese Daten? Was passiert wenn ein Konto gelöscht werden muss? Kann man nachvollziehen wer die Daten angeschaut oder heruntergeladen hat? Können durch die Hintertür Viren und Malware ins Unternehmen Einzug halten? Die meisten Firmen unterstehen gesetzlichen und regulatorischen Anforderungen. Wenn z.B. Patientendaten nicht besonders geschützt werden und diese ungewollt nach aussen gelangen, dann kann das finanzielle und rechtliche Konsequenzen für die Firma und indirekt auch für den Mitarbeitenden geben.

Soviel zur Problemstellung. Aber wie kann das nun verhindert werden? Einerseits ist es natürlich wichtig, dass die Anforderungen der User frühzeitig in Software Beschaffungen und Lösungs-Design mit berücksichtigt werden, damit nicht am Business vorbei geplant wird. Auch müssen die Zuständigkeiten klar geregelt sein. Schatten IT kann auch entstehen wenn einzelne Abteilungen oder Geschäftsbereiche eigene IT Budgets haben und versuchen sich gegenseitig zu konkurrenzieren. Lösungen, die nichts kosten gibt es nicht daher muss auch das nötige Budget zur Verfügung gestellt werden um Innovation zu unterstützen. Wird die IT als reiner Kostenblock gesehen, dann wird sie sich auch so verhalten.

Innovation kostet – auch bei der IT

Aber wie merke ich überhaupt, dass meine Firma durch Schatten IT Lösungen unterwandert ist und kann ich das in Zahlen benennen? Lässt sich das Problem Schatten IT mit Fakten belegen und ausweisen? Ja, das geht. Eine wichtige Quelle sind dabei Firewall Logs, denn hier sieht man konkret wenn externe Cloud Services regelmässig aufgerufen werden und von wem.

Spannen wir jetzt hier den Bogen zur Microsoft Lösung: „Defender for Cloud Apps“ ist Bestandteil der Defender Familie und kann unter anderem folgendes:

  • Firewall Logs einmalig oder regelmässig einlesen und Cloud Apps erkennen und auswerten
  • Die verwendeten Cloud Apps überwachen und auf ungewöhnliche Aktivitäten hinweisen (z.B. wenn jemand plötzlich grosse Mengen von Daten zu DropBox hochlädt)
  • Den Zugang zu diesen Cloud Apps einschränken oder blockieren

Das funktioniert eben nicht nur mit den eigenen M365 Applikationen sondern Microsoft hat eine aktiv bewirtschaftete Datenbank von tausenden von Cloud Applikationen und hat für jede davon eine Bewertung erstellt.

In einer ersten Phase liest man nun seine bestehenden Firewall Logs ein und lässt diese durch Defender for Cloud Apps auswerten. In einer zweiten Phase kann definiert werden, welche Applikationen zu unsicher sind und gesperrt werden. Oder man lässt einzelne Applikationen zu aber mit Auflagen. Zum Beispiel könnte man die Einschränkung machen, dass Dropbox eben nur noch von Geschäfts-PCs benutzt werden kann damit die Daten nicht im Internet-Café in Bali landen.

Zuletzt noch der Hinweis auf wichtige Links:

  • Der Vorschlagshammer – Bringe dich in die Diskussion ein und stelle Fragen.
  • Das T-Shirt: Damit siehst du nicht nur cool aus sondern unterstützt auch den Blog.

Veröffentlicht von Click Coach - Approach the Coach

I’ve been working in IT for over 20 years, mainly within the Microsoft world. Over the years, I’ve come across the same questions and problems again and again. On my blog, I share tips and tricks on all kinds of IT topics. It’s not meant for IT pros — but they’re welcome to read along too! 😊

Hinterlasse einen Kommentar