Shadow IT ist im Jahr 2024 ein Begriff, mit dem vor allem Unternehmen die unkontrollierte Verbreitung von SaaS – im Englischen auch SaaS-Sprawl genannt – anprangern.
In wenigen Worten: Jeder Mitarbeiter kann online zugängliche Software installieren. Sie sind sich jedoch nicht immer der Auswirkungen auf die Sicherheit und Vertraulichkeit der Daten bewusst.
Schatten-IT stellt in der Vergangenheit ein Problem für große Unternehmen (>1000 Mitarbeiter) dar, die umfangreiche Flotten von Software- und Hardwarelizenzen verwalten müssen.
Doch mit dem Aufkommen der Cloud sind auch die kleinsten Unternehmen (50 oder mehr Mitarbeiter) diesem Zwang ausgesetzt. Tatsächlich sammeln sich SaaS-Abonnements ohne Rückverfolgbarkeit an.
Und das Gleiche gilt für das Budget für diese Apps und Online-Tools, das beträchtlich geworden ist!
Wie kann das Budget für diese Softwareabonnements kontrolliert werden? Welche Beispiele für Schatten-IT könnten Unternehmen beunruhigen? Und welchen Risiken können sie ausgesetzt sein?
Hier sind 6 Beispiele für Shadow IT, die LicenseOne bei seinen Kunden identifiziert hat, und die Lösungen, die zu ihrer Begrenzung eingeführt wurden.
Das Abonnementmodell von SaaS ermöglicht einen relativ günstigen Einstieg. Daher werden deren Einkäufe oft als unbedeutend angesehen.
Deshalb werden Mitarbeiteranfragen an ihre Vorgesetzten häufig schnell genehmigt, da es sich nur um "ein paar Dutzend Euro pro Monat" handelt.
Diese Situation wird zu einem Fall von Schatten-IT, wenn es kein Verfahren gibt, um Informationen intern zu verhindern, weiterzugeben und zu verfolgen. Insbesondere von den Sicherheitsverantwortlichen.
Mitarbeiter - manchmal sogar innerhalb desselben Teams - melden sich für Software-Abonnements an, die dasselbe tun (überlappende Funktionalität); und manchmal sogar für identische SaaS, ohne unbedingt zu wissen, dass diese bereits im Unternehmen im Einsatz sind (!)
Viele Softwareunternehmen bieten Preise an, die von der Anzahl der Benutzer abhängen.
Wenn es die Nutzung zulässt, ist es verlockend, allgemeine E-Mail-Adressen und die dazugehörigen Passwörter weiterzugeben.
Die Absicht ist lobenswert, da sie dem Unternehmen eine gewisse Ersparnis bringt: Die gesamte Marketingabteilung nutzt dasselbe Konto unter der Adresse "kommunikation@unternehmen.com".
Das damit verbundene Problem ist jedoch, dass der Zugang nicht mehr kontrolliert wird! Es besteht sogar die Gefahr, dass Unbefugte Zugriff auf die Software erhalten.
Ein Budgetproblem zu lösen, um ein Sicherheitsrisiko zu schaffen... Schlechte Kalkulation.
E-Mail-Anhänge sind aufgrund ihrer Größe schnell eingeschränkt.
Um diese Begrenzung zu umgehen, nutzen Mitarbeiter häufig Lösungen von Drittanbietern mit temporären öffentlichen Links wie WeTransfer, Smash usw.
Eine weitere Praxis besteht darin, Zugriff auf die Speichertools des Unternehmens zu gewähren. Ob DAM (Digital Asset Management), Dropbox oder Google Drive.
Die Risiken sind vielfältig, da es sich um Unternehmensdaten handelt, die - einmal übertragen - nicht mehr zurückverfolgt werden können.
Einige der oben genannten Tools bieten zwar Optionen für Zugriffsrechte, Wasserzeichen und Tracking, aber es ist dennoch wichtig zu wissen, wer sie verwendet und ob diese bewährten Praktiken eingehalten werden.
Einige SaaS werden grundsätzlich für das Speichern, Bestellen oder Veröffentlichen von Unternehmensdaten verwendet, wie z.B. ein CRM-System, eine Buchhaltungssoftware oder ein Designtool.
In den meisten Fällen benötigen SaaS Zugriff auf Daten, wofür Berechtigungen erforderlich sind und im Falle von personenbezogenen Daten Dritter durch eine DSGVO-Datenverarbeitungsvereinbarung geregelt werden.
Das bedeutet, dass bestimmte Unternehmensdaten den von den Teams genutzten SaaS-Plattformen zur Verfügung gestellt werden. Das zugrunde liegende Risiko entsteht, wenn das IT-Team keine Informationen über den Zugriff und die Rechte auf diese Software hat.
Durch die Integration verschiedener Anwendungen können sie miteinander kommunizieren und Daten austauschen.
Hinzugefügte oder aktualisierte Informationen in einer Datenbank können dann Aktualisierungen, Routinen und Ereignisse in anderen SaaS-Anwendungen im Unternehmen auslösen.
Nicht alle Integrationen erfordern technische Fähigkeiten. Für SaaS-Software, die native Integrationen bietet, ist der Administratorzugriff ausreichend. Um die sichere Datenfreigabe zu gewährleisten, benötigt das SaaS Identifikationsschlüssel (API-Schlüssel), auf die in den Einstellungen zugegriffen werden kann.
Welche Risiken bestehen in diesem Fall?
Sobald die Integration eingerichtet ist, werden Daten übertragen, und die Prozesse können fortgesetzt werden, auch wenn die Person, die die Integration eingerichtet hat, kein Konto mehr hat. Diese Abläufe sind nicht nur schwer nachzuverfolgen, sondern erfordern auch kein Eingreifen oder einen speziellen Status seitens der Benutzer, die sie konfiguriert haben.
Software entwickelt sich weiter durch regelmäßige Updates, um Benutzern neue Funktionen anzubieten und Fehler oder Sicherheitslücken zu beheben. Während der Nutzung oder durch Tests werden Schwachstellen identifiziert.
Mit jedem Update können Herausgeber dank Updates ein höheres Maß an Sicherheit gewährleisten. IT-Dienste kennen das Thema gut, aber nicht alle Benutzer haben das automatische Updateverhalten.
Verzögerungen oder Ausfälle bei Updates können daher die Zugriffssicherheit gefährden, wenn die Lizenzen nicht auf dem neuesten Stand sind.
Trotz der Risiken und Herausforderungen, die Schatten-IT mit sich bringt, ist es wichtig, eine ausgewogene Herangehensweise zu finden, die die Produktivität der Mitarbeiter fördert, aber auch die tatsächliche Nutzung und Kosten für jedes SaaS-Abonnement sicherstellt.
Die Implementierung einer internen SaaS-Verwaltungsrichtlinie kann dabei helfen, Schatten-IT einzudämmen.
Hier sind die 4 Hauptschritte:
Es ist wichtig, interne Richtlinien festzulegen, die auf den Kontext des Unternehmens zugeschnitten sind und die finanziellen, regulatorischen und sicherheitsrelevanten Auswirkungen für Mitarbeiter zu klären.
Hier sind einige Tools, die je nach Bedarf eingesetzt werden können:
Diese Tools können dabei helfen, die Nutzung und Kosten von SaaS-Abonnements zu überwachen und die Schatten-IT in Unternehmen zu bekämpfen.