Shadow IT: Definition, Risiken und konkrete Lösungen

6 Fallstudien und 9 Tools zur Bekämpfung von Shadow IT
illustration of a man searching for rocks with logo on them
Was ist Shadow IT ?

In Unternehmen bezeichnet Shadow IT (Schatten-IT) die Verwendung von Computersoftware oder -hardware, ohne dass die IT-Abteilung (oder Sicherheitsabteilung) informiert wird.
Zusammenfassung

Shadow IT ist im Jahr 2024 ein Begriff, mit dem vor allem Unternehmen die unkontrollierte Verbreitung von SaaS – im Englischen auch SaaS-Sprawl genannt – anprangern.

In wenigen Worten: Jeder Mitarbeiter kann online zugängliche Software installieren. Sie sind sich jedoch nicht immer der Auswirkungen auf die Sicherheit und Vertraulichkeit der Daten bewusst.

Schatten-IT stellt in der Vergangenheit ein Problem für große Unternehmen (>1000 Mitarbeiter) dar, die umfangreiche Flotten von Software- und Hardwarelizenzen verwalten müssen.

Doch mit dem Aufkommen der Cloud sind auch die kleinsten Unternehmen (50 oder mehr Mitarbeiter) diesem Zwang ausgesetzt. Tatsächlich sammeln sich SaaS-Abonnements ohne Rückverfolgbarkeit an.

Und das Gleiche gilt für das Budget für diese Apps und Online-Tools, das beträchtlich geworden ist!

Wie kann das Budget für diese Softwareabonnements kontrolliert werden? Welche Beispiele für Schatten-IT könnten Unternehmen beunruhigen? Und welchen Risiken können sie ausgesetzt sein?

Hier sind 6 Beispiele für Shadow IT, die LicenseOne bei seinen Kunden identifiziert hat, und die Lösungen, die zu ihrer Begrenzung eingeführt wurden.

Die Risiken der Shadow IT: 6 Beispiele

1 – Dezentralisierter Softwarekauf

Das Abonnementmodell von SaaS ermöglicht einen relativ günstigen Einstieg. Daher werden deren Einkäufe oft als unbedeutend angesehen.

Deshalb werden Mitarbeiteranfragen an ihre Vorgesetzten häufig schnell genehmigt, da es sich nur um "ein paar Dutzend Euro pro Monat" handelt.

Diese Situation wird zu einem Fall von Schatten-IT, wenn es kein Verfahren gibt, um Informationen intern zu verhindern, weiterzugeben und zu verfolgen. Insbesondere von den Sicherheitsverantwortlichen.

Mitarbeiter - manchmal sogar innerhalb desselben Teams - melden sich für Software-Abonnements an, die dasselbe tun (überlappende Funktionalität); und manchmal sogar für identische SaaS, ohne unbedingt zu wissen, dass diese bereits im Unternehmen im Einsatz sind (!)

2 – Teilen von Zugangsdaten (Passwörter/Benutzer)

Viele Softwareunternehmen bieten Preise an, die von der Anzahl der Benutzer abhängen.

Wenn es die Nutzung zulässt, ist es verlockend, allgemeine E-Mail-Adressen und die dazugehörigen Passwörter weiterzugeben.

Die Absicht ist lobenswert, da sie dem Unternehmen eine gewisse Ersparnis bringt: Die gesamte Marketingabteilung nutzt dasselbe Konto unter der Adresse "kommunikation@unternehmen.com".

Das damit verbundene Problem ist jedoch, dass der Zugang nicht mehr kontrolliert wird! Es besteht sogar die Gefahr, dass Unbefugte Zugriff auf die Software erhalten.

Ein Budgetproblem zu lösen, um ein Sicherheitsrisiko zu schaffen... Schlechte Kalkulation.

3 – Senden interner und externer Dateien

E-Mail-Anhänge sind aufgrund ihrer Größe schnell eingeschränkt.

Um diese Begrenzung zu umgehen, nutzen Mitarbeiter häufig Lösungen von Drittanbietern mit temporären öffentlichen Links wie WeTransfer, Smash usw.

Eine weitere Praxis besteht darin, Zugriff auf die Speichertools des Unternehmens zu gewähren. Ob DAM (Digital Asset Management), Dropbox oder Google Drive.

Die Risiken sind vielfältig, da es sich um Unternehmensdaten handelt, die - einmal übertragen - nicht mehr zurückverfolgt werden können.

Einige der oben genannten Tools bieten zwar Optionen für Zugriffsrechte, Wasserzeichen und Tracking, aber es ist dennoch wichtig zu wissen, wer sie verwendet und ob diese bewährten Praktiken eingehalten werden.

4 – Zugriff auf Daten durch Softwarehersteller

Einige SaaS werden grundsätzlich für das Speichern, Bestellen oder Veröffentlichen von Unternehmensdaten verwendet, wie z.B. ein CRM-System, eine Buchhaltungssoftware oder ein Designtool.

In den meisten Fällen benötigen SaaS Zugriff auf Daten, wofür Berechtigungen erforderlich sind und im Falle von personenbezogenen Daten Dritter durch eine DSGVO-Datenverarbeitungsvereinbarung geregelt werden.

Das bedeutet, dass bestimmte Unternehmensdaten den von den Teams genutzten SaaS-Plattformen zur Verfügung gestellt werden. Das zugrunde liegende Risiko entsteht, wenn das IT-Team keine Informationen über den Zugriff und die Rechte auf diese Software hat.

5 – Software-Integrationen

Durch die Integration verschiedener Anwendungen können sie miteinander kommunizieren und Daten austauschen.

Hinzugefügte oder aktualisierte Informationen in einer Datenbank können dann Aktualisierungen, Routinen und Ereignisse in anderen SaaS-Anwendungen im Unternehmen auslösen.

Nicht alle Integrationen erfordern technische Fähigkeiten. Für SaaS-Software, die native Integrationen bietet, ist der Administratorzugriff ausreichend. Um die sichere Datenfreigabe zu gewährleisten, benötigt das SaaS Identifikationsschlüssel (API-Schlüssel), auf die in den Einstellungen zugegriffen werden kann.

Welche Risiken bestehen in diesem Fall?

Sobald die Integration eingerichtet ist, werden Daten übertragen, und die Prozesse können fortgesetzt werden, auch wenn die Person, die die Integration eingerichtet hat, kein Konto mehr hat. Diese Abläufe sind nicht nur schwer nachzuverfolgen, sondern erfordern auch kein Eingreifen oder einen speziellen Status seitens der Benutzer, die sie konfiguriert haben.

6 – Software-Updates/Versionen

Software entwickelt sich weiter durch regelmäßige Updates, um Benutzern neue Funktionen anzubieten und Fehler oder Sicherheitslücken zu beheben. Während der Nutzung oder durch Tests werden Schwachstellen identifiziert.

Mit jedem Update können Herausgeber dank Updates ein höheres Maß an Sicherheit gewährleisten. IT-Dienste kennen das Thema gut, aber nicht alle Benutzer haben das automatische Updateverhalten.

Verzögerungen oder Ausfälle bei Updates können daher die Zugriffssicherheit gefährden, wenn die Lizenzen nicht auf dem neuesten Stand sind.

Lösungen und Tools zur Bekämpfung der Schatten-IT

Trotz der Risiken und Herausforderungen, die Schatten-IT mit sich bringt, ist es wichtig, eine ausgewogene Herangehensweise zu finden, die die Produktivität der Mitarbeiter fördert, aber auch die tatsächliche Nutzung und Kosten für jedes SaaS-Abonnement sicherstellt.

Die Implementierung einer internen SaaS-Verwaltungsrichtlinie kann dabei helfen, Schatten-IT einzudämmen.

Hier sind die 4 Hauptschritte:

  1. Definieren einer einzigen Quelle der Wahrheit für die Kostenverfolgung:
    • Regelmäßig aktualisierte Tabelle
    • Spezielles Projektmanagement-Tool
    • Spezielle Anwendung
  2. Zuweisen von Überwachungsmanagern:
    • Überwachung von Rechnungen und Verlängerungen
    • Verhandlung von Verträgen
  3. Verwalten des Mitarbeiterzugriffs: Onboarding und Offboarding:
    • Verfolgung der Nutzeranzahl
    • Rollen hinzufügen, entfernen und verwalten
  4. Überwachung und Einhaltung gesetzlicher Vorschriften:
    • Datenzuordnung
    • Identifizierung von Drittanbieterintegrationen
    • Validierung der rechtlichen Aspekte mit dem DPO

Es ist wichtig, interne Richtlinien festzulegen, die auf den Kontext des Unternehmens zugeschnitten sind und die finanziellen, regulatorischen und sicherheitsrelevanten Auswirkungen für Mitarbeiter zu klären.

Tools zur Bekämpfung der Schatten-IT

Hier sind einige Tools, die je nach Bedarf eingesetzt werden können:

1. SaaS-Management und App-Erkennung:

  • LicenceOne: Verfolgung von Anwendungen, Kosten und Nutzung in weniger als 15 Minuten
  • Cledara: Zentralisiert Informationen über Kaufkarten für SaaS-Abonnements
  • Trelica: Bietet interne Feedback-Funktionen für Benutzer

2. SaaS-Beschaffung:

  • Vendr: Bietet vorab ausgehandelte Angebote auf seinem Marktplatz
  • Welii.io: Garantiert Einsparungen und ROI durch Verhandlungsservice
  • Sastrify: Zentralisiert Verträge mit Verlagen

3. SaaS-Betrieb:

  • Torii: SSO-Synchronisierung zur Zuordnung von Zugriffen erforderlich
  • BetterCloud: Risikoklassifizierungssystem
  • Coreview: Unterstützt große Unternehmen bei der Verwaltung von Microsoft-Lizenzen

Diese Tools können dabei helfen, die Nutzung und Kosten von SaaS-Abonnements zu überwachen und die Schatten-IT in Unternehmen zu bekämpfen.

Wichtige Punkte bei der Auswahl einer SaaS-Management Plattform

Welche Funktionen sollte ich für mein Unternehmen prorisieren?
Wie berechne ich den ROI für mein Unternehmen?
Auf welche Daten greifen SaaS-Spend-Management-Lösungen über ihre Integration mit Bankkonten zu?
Sollte ich mich mit einer globalen oder speziellen Einkaufsmanagementlösung fü Software-Abonnementkosten ausstatten?