Schatten-IT kann definiert werden als Hard- oder Software, die ohne Genehmigung oder Wissen der IT-Abteilung im Unternehmen eingesetzt wird – und das geschieht immer öfter. Grund dafür sind vor allem die Trends hin zu mehr Cloud-Computing und Bring Your Own Device (BYOD). Mitarbeiter nutzen beispielsweise externe Cloudspeicher wie Dropbox oder loggen sich mit privaten Endgeräten im Firmennetzwerk ein. Solche privaten oder nicht genehmigten Netzwerkgeräte einzusetzen, erfolgt nicht aus Böswilligkeit. Häufig sind die öffentlichen Services bequemer anzuwenden oder das Prozedere, ein Gerät bei der IT absegnen zu lassen, aus der Sicht des Mitarbeiters einfach zu aufwändig. Typische Anwendungsbereiche der Schatten-IT betreffen beispielsweise Social-Media, File-Sharing oder Datenspeicherung.
Die folgenden Zahlen verdeutlichen, in welchem Maße Shadow-IT bereits verbreitet ist. So gaben 76 % der 2016 vom Verband der Internetwirtschaft e. V. „eco“ befragten 580 IT-Experten zu Protokoll, dass Schatten-IT in ihrem Unternehmen zum Einsatz kommt. Nur 16 % sind der Ansicht, in ihrem Unternehmen gebe es keine Schatten-IT. Doch bleibt es nicht beim Damoklesschwert der Bedrohung: In einer Vanson-Bourne-Studie im Auftrag von Tenable räumten 39 % der Befragten ein, durch Angriffe auf Schatten-IT sogar Daten verloren zu haben.
Dabei ergeben sich durchaus auch Chancen durch Schatten-IT, etwa effizienter zu arbeiten oder sich Innovationen ins Haus zu holen, die Prozesse und Abläufe optimieren. So kann das gemeinsame Bearbeiten von Dokumenten über GoogleDocs einfacher zu handhaben sein. Wer befürchtet, dass das berufliche Postfach des Anderen für eine größere Datei zu klein ist, greift vielleicht zu privat genutzten File-Hosting-Anbietern wie WeTransfer. Dennoch stehen den möglichen Chancen gewaltige Risiken entgegen. Es gilt: Was die IT nicht sieht, kann die IT auch nicht sichern. Die andere Seite der Medaille sind Gefahren, wie die Verletzung von Governance- und Compliance-Regeln, wenn Firmendaten auf öffentliche Clouds ausgelagert werden. Darüber hinaus ergeben sich neue Angriffspunkte für Cyberkriminelle und Malware, weil etwa Applikationen Dritter nicht den Sicherheitsrichtlinien des Unternehmens entsprechen. Ferner sind auch Probleme beim Backup von Daten oder der Disaster-Recovery nicht auszuschließen. Schließlich können nicht genehmigte Services beispielsweise die Bandbreite des Netzwerks übermäßig belasten und damit Arbeitsabläufe stören.
Zwar gleicht kein Chemiewerk dem anderen und die Betreiber halten Details ihrer Produktion geheim. Sobald Angreifer aber Kontrollsysteme einmal übernommen haben, können sie enormen Schaden anrichten. So kann eine ausgefallene Kühlanlage dafür sorgen, dass Rohre unrettbar verstopfen, andere Angriffe können mit Manipulationen die Kosten erhöhen oder die Produktionsqualität beeinträchtigen und damit enormen finanziellen Schaden anrichten: Liegt der Marktpreis für reines Paracetamol beispielsweise bei 640 000 Euro pro Kilogramm, sinkt er bei einem Reinheitsgrad von 98 % bereits auf 78 Euro.
Wir erleben also einen grundsätzlichen Wandel in der IT, ausgelöst und vorangetrieben durch Software-as-a-Service (SaaS) und BYOD. Neue Bedrohungen ergeben sich ebenso schnell, wie alte entdeckt werden. Sicherheitsanbieter stellen deshalb die berechtigte Frage: Ist die bisherige Verteidigung via „Defense-in-depth“, also einem Verteidigungsring aus verschiedenen Technologien, wie Anti-Viren-Software, Firewalls usw., nicht gescheitert oder zum Scheitern verurteilt? Ist nicht vielmehr ein neuer Ansatz nötig, der die gegenwärtigen Sicherheitsprogramme transformiert, mit der Evolution der IT Schritt hält und eine flexiblere Umgebung schafft? Drei Schritte charakterisieren ein modernes Vorgehen.
Kontinuierlicher Einblick
Was unsichtbar oder unbekannt ist, kann nicht gesichert werden. Deshalb ist es notwendig, alle Endgeräte, Anwendungen usw. zu erfassen. Oftmals stoßen die klassischen Sicherheitslösungen dabei an eine Grenze: Sie sind auf periodisches Vulnerability-Scanning und nicht auf kontinuierliches Netzwerk-Monitoring in Echtzeit ausgelegt. Deshalb sind sie häufig nicht in der Lage, beispielsweise kurzzeitig eingeloggte Geräte zu erfassen, die sich über den Tag hinweg im Netzwerk an- und abmelden. Diese Art des Scannens, egal ob sie monatlich, wöchentlich oder täglich erfolgt, bietet immer nur eine Momentaufnahme – das Netzwerk ist während der restlichen Zeit ungeschützt. Eine Alternative zu herkömmlichen, periodischen Scans sind passive Schwachstellen-Scans, die kontinuierlich alle Geräte, Services und Anwendungen im Netzwerk ermitteln. Mit diesen passiven Scan-Möglichkeiten können Unternehmen aktive und passive Scans eingriffsfrei durchführen. Somit werden kurzzeitig eingeloggte Laptops, private Mobilgeräte oder unerwünschte Cloud-Applikationen entdeckt und identifiziert. Sind diese erfasst, können weitere Schritte unternommen werden.
Kontext erfassen und verstehen
Der nächste Schritt besteht darin, die erfassten Netzwerkgeräte laufend zu überprüfen, um zu erkennen, wie sie interagieren. Wird der Datenverkehr erfasst, können mögliche Schwachstellen identifiziert werden: Wo findet ein Austausch von Datenpaketen statt? An welcher Stelle drohen Daten verloren zu gehen, etwa, weil sie auf öffentlichen Clouds abgelegt werden? Einer der besten Wege, die Sicherheitsstrategie eines Unternehmens in den richtigen Kontext zu bringen, ist es, sie entsprechend der Branchenrichtlinien und Rahmenwerke zu gestalten. Orientierung bietet hier der IT-Sicherheitsstandard IEC 62443. Er stellt eine Grundlage dar, auf der Unternehmen potenzielle Schwachstellen entdecken und dann Gegenmaßnahmen ergreifen können. Der Standard beruht auf der US ISA-99-Norm – allerdings richtet sie sich nicht explizit an die Chemiebranche, sondern deckt industrielle Automatisierungs- und Kontrollsysteme ab. Diese Regelwerke setzen zudem nicht voraus, dass ein Unternehmen perfekte Sicherheit bietet. Sie helfen aber den IT-Sicherheitsprofis dabei, ihre Konzepte mit Rahmenbedingungen im Hinterkopf zu erarbeiten. Gemäß den Rahmenwerken zu agieren ermöglicht es Unternehmen außerdem, die Kontrollen ihres Netzwerks objektiv zu beurteilen und eine Response-Strategie zu entwerfen, die den jeweiligen Erfordernissen am besten entspricht.
Mitarbeiter schulen
In Zeiten einer wachsenden Vielfalt und Zahl von Bedrohungen und gleichzeitig beschränkten personellen sowie technischen Ressourcen, müssen Unternehmen den Ressourceneinsatz priorisieren. Es stellt sich die Frage, welche Netzwerkressourcen die Sicherheit bedrohen. Ohne aber zuvor den Kontext erfasst zu haben, ist es für die IT schwierig, dies festzulegen. Ist die Umgebung zu laut, gehen die wichtigen Zwischentöne verloren. Sicherheitsregelwerke sind auch deshalb hilfreich, weil sie es Unternehmen erlauben, ihre Sicherheitsprozedere zu priorisieren. So können Redundanzen und komplexe Vorgänge aufgedeckt werden, die wertvolle Ressourcen binden. Ein anderer Knackpunkt ist die Aufmerksamkeit der Mitarbeiter. Diese zu den Themen BYOD und unzulässiger Cloud-Anwendungen zu schulen, steigert das Verantwortungsbewusstsein und kann dabei helfen, die Auswüchse der Schattengewächse zurückzuschneiden.
Gehen Unternehmen nach diesem Muster vor, haben sie gute Chancen, Licht ins Dunkel zu bringen und potenzielle Bedrohungen wegen ungenehmigter Mobilgeräte und von Cloud-Anwendungen zu beseitigen. Werden zugleich die Mitarbeiter für die Thematik Schatten-IT sensibilisiert und im Umgang mit Dritt-Software, externen Services und BYOD geschult, können Firmen von den Vorteilen der modernen Zeiten profitieren und ihre Sicherheits- und Geschäftsziele erreichen.
Suchwort: cav0617tenablenetworksecurity
Autor Jens Freitag
Sales Engineer DACH, Tenable Network Security
