- Anzeige -


Schatten-IT - mit mobile Touch


Im strengen Sinne betreiben wir derzeit wahrscheinlich alle mehr oder weniger einen Schatten-IT-Betrieb
Um neue Dienste schneller bereitzustellen, entschließt sich manche privat, einen Cloud-Computing-Dienst und Speicher einzurichten

- Anzeigen -





Von Gert-Jan Schenk, Senior Vice President, International, Lookout

Wenn Sie bei Ihrem IT-Leiter das Thema "Schatten-IT" ansprechen, hält er Ihnen vermutlich einen Vortrag dazu, welchen Vorgaben die Mitarbeiter bei der Nutzung von Cloud-Diensten folgen müssen, um das Unternehmen einem möglichst geringen Risiko auszusetzen. Das ist natürlich grundsätzlich richtig. Ohne geeignete Schutzmaßnahmen haben nicht sanktionierte Tools potenziell schwerwiegende Folgen und verursachen unbeabsichtigt Sicherheitslücken. Aber die Zeiten haben sich geändert. Gartner definiert als "Schatten-IT IT-Geräte, Software und Dienste, die sich außerhalb von Ownership oder Kontrolle der IT des Unternehmens befinden." Aktuell arbeiten immer noch und wieder große Teile der Belegschaften remote. Durch diese Veränderungen fallen etliche Aspekte der täglichen Arbeit in eine dieser Kategorien. Vom häuslichen WLAN-Netzwerk bis hin zu privaten Smartphones oder Tablets, die auch im Job verwendet werden – sie alle befinden sich außerhalb des Einflussbereichs der IT-Abteilung.

Wenn man über Schatten-IT schreibt, denken die meisten dabei an klassische Beispiele in Zusammenhang mit einer typischen Büroumgebung. Etwa, wenn jemand aus dem Marketing es nicht geschafft hat, die IT zu überzeugen, einen internen Server für eine neue Software einzurichten. Um neue Dienste schneller bereitzustellen, entschließt sich derjenige privat einen Cloud-Computing-Dienst und Speicher einzurichten. Im Alltag kommt es zudem oft genug vor, dass jemand Dokumente von einem gesperrten Arbeits-Notebook per E-Mail an ein privates Gerät schickt, um das Dokument ohne Einschränkungen ausdrucken zu können.

Das Produktivitätsverhalten hat sich geändert. Das ist die Realität. Mit diesen Veränderungen hat die IT die Kontrolle über viele Aspekte des digitalen Arbeitsplatzes verloren. Wenn die meisten Mitarbeiter nicht mehr in einem Büro arbeiten, ist die perimeterbasierte Sicherheit endgültig obsolet. Wahrscheinlich verwendet jeder dieser Mitarbeiter private Mobilgeräte wie Smartphone und Tablet, um weiterhin produktiv arbeiten zu können. Und das ist nur ein Beispiel dafür, wie sich unsere Arbeitsumgebung in den letzten Monaten verändert hat.

Ich habe kürzlich mit einem unserer Kunden aus dem Einzelhandelsbereich gesprochen.

Er wusste zu berichten, dass die Mitarbeiter organisch und ohne Wissen des Kunden damit begonnen hatten, WhatsApp auf Tablet-PCs und Smartphones zu verwenden. Einfach, um Kunden zu kontaktieren und den Verkauf am Laufen zu halten. Ein klassischer Fall von Schatten-IT, aber mit einem mobilen Touch. Um weiterhin arbeitsfähig zu sein, haben die Mitarbeiter begonnen nicht autorisierte, private Geräte zu verwenden, um potenziell sensible private und finanzielle Daten über eine nicht genehmigte Messaging-App zu senden und zu empfangen. Obwohl die App über eine End-to-End-Verschlüsselung verfügt, halten diese Mitarbeiter jetzt sensible Daten auf ihren privaten Geräten vor. Dabei sollte man nicht außer Acht lassen, dass die meisten von ihnen auch nicht innerhalb eines schützenden Unternehmens-Perimeters arbeiten.

Die Situation zeigt aber noch etwas anderes. Die Kombination aus mobilen Endgeräten und Remote-Working-Szenarien hat eine Umgebung geschaffen, in der Schatten-IT zu einer bevorzugten Arbeitsumgebung werden könnte. Ohne Transparenz fehlt aber die nötige Kontrolle und Einsicht in mobile Bedrohungen.

Neue Sicherheitsstrategien
Im strengen Sinne betreiben wir derzeit wahrscheinlich alle mehr oder weniger einen Schatten-IT-Betrieb. Wenn wir weiterhin überwiegend von zuhause arbeiten, verwendet jeder von uns Netzwerke, die sich der Kontrolle der IT entziehen. Dazu kommen Smartphones, Tablets oder vielleicht Chromebooks - viele dieser Geräte sind privat und nicht von der IT-Abteilung ausgegeben.

Die aktuelle Situation ist deshalb eine große Chance, die Sicherheitsstrategie eines Unternehmens grundlegend zu überdenken. Verbunden natürlich mit der Überlegung wie man die Produktivität am besten gewährleistet. Denn sie ist der letztendliche Treiber für Schatten-IT. Private mobile Endgeräte erlauben es, Jobanforderungen zu erledigen und gleichzeitig den privaten Alltag zu bewältigen. In aller Regel auf ein und demselben Gerät. Trifft ein Unternehmen die entsprechenden Sicherheitsvorkehrungen, kann es seinen Mitarbeitern die nötige Flexibilität geben, ohne beim Schutz des Unternehmens Kompromisse zu machen. (Lookout Mobile Security: ra)

eingetragen: 15.09.20
Newsletterlauf: 11.11.20

Lookout: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Kommentare und Meinungen

  • Verantwortung für die Datensicherheit bewusst sein

    Unzählige Server und Daten wurden an einem französischen Rechenzentrums-Standort durch ein Feuer zerstört. Doch Unternehmen müssen einem solchen Ereignis nicht schutzlos ausgeliefert sein. Im Gegenteil, denn eine strategische Cloud-Migration lässt sich mit Disaster-Recovery- und Backup-Services so absichern, dass kein Geschäftsausfall droht. Am Straßburger Standort eines Cloud-Providers ist am 10. März 2021 eines der vier Rechenzentren komplett abgebrannt. 12.000 Server wurden völlig zerstört, samt Daten von zahlreichen Firmen und Organisationen. Die Brandursache steht noch nicht fest. Klar ist hingegen, dass auch die Unternehmen selbst etwas unternehmen müssen, um auf solche Katastrophenfälle sowie kleinere Störungen vorbereitet zu sein. Im besten Fall ist eine Firma in der Lage, den letzten Stand ihrer Datenbanken, Applikationen und Systeme sofort wieder einzuspielen, damit ihre geschäftskritischen Prozesse weiterlaufen.

  • DSGVO & Gesetzeslage in den USA

    Die Pandemie stellt im Moment einen Katalysator für die Digitalisierung dar. Wie nie zuvor wird von zuhause gearbeitet, gelernt und auch das Privatleben hat in Zeiten von Lockdowns und Ausgangssperren eine Verlagerung hin ins Internet erfahren. Insbesondere Unternehmen sind dazu verpflichtet, ihren Mitarbeitern die Arbeit von zuhause aus zu ermöglichen. Um den reibungslosen Wechsel ins Homeoffice zu gewährleisten, sind Cloud-Dienste hier das Mittel der Wahl - oftmals von US-amerikanischen Tech-Riesen wie Microsoft, Google und AWS. Firmen jedweder Größe setzen auf die "Hyperscaler", weil diese ihnen Sicherheit, Stabilität und Skalierbarkeit versprechen.

  • Public Cloud in der Finanzwelt

    13 europäische Finanzinstitute - darunter Commerzbank und Deutsche Börse - haben die European Cloud User Coalition (ECUC) gebildet, um ein regelkonformes Public-Cloud-Ökosystem zu schaffen. Der zukünftige Übergang stellt Sicherheitshindernisse dar, die über das Netzwerk angegangen werden müssen. Simon Pamplin, technischer Direktor bei Silver Peak, kommentiert die Herausforderung.

  • Vormarsch von Cloud-Native-Technologien

    Cloud Native ist längst kein Nischenthema mehr, das nur für Start-ups relevant ist. Auch im Enterprise-Segment ist Cloud Native inzwischen angekommen. Unternehmen sehen die Vorteile von Anwendungen und Microservices, die sie direkt aus der Cloud beziehen, beziehungsweise die ausschließlich als Cloud Computing-Anwendungen konzipiert sind. Flexibilität, Innovation und Agilität sind nur einige der Vorteile von Cloud Native. Darüber hinaus ebnen diese Technologien den Weg für ein schnelleres Time-to-Market von Produkten und eine Verbesserung des Betriebsergebnisses.

  • Marktplätze setzen sich im B2B-Geschäft durch

    Die Digitalisierung beeinflusst enorm, wie Unternehmen und ihre Kunden miteinander interagieren. Laut Handelsblatt wird alles, was entlang der Lieferkette digitalisiert werden kann, in den kommenden Jahren digitalisiert - inklusive dauerhafter Kundenbeziehungen. Der Corona-Schock hat diese Entwicklung beschleunigt. In der KPMG/Harvey Nash CIO Survey 2020 gaben CIOs an, dass in den vergangenen sechs Monaten mehr Innovation stattgefunden habe als in den zehn Jahren zuvor. Denn neben Homeoffice etc. verändert sich auch die Schnittstelle zu den Kunden und Märkten rasant. Die Art und Weise, in der Kunden Kontakt suchen, kaufen und konsumieren, hat sich seit Frühling 2020 weitgehend in die digitale Welt verlagert - viel schneller, als es die Unternehmen in den Jahren zuvor erlebt haben.

  • Schlüsselgewalt für das Krankenhaus

    In Bayern ticken die Uhren oft ein wenig anders als im Rest der Bundesrepublik. Die föderale Struktur Deutschlands ist auch der Grund, weshalb wir Bayern einen Sonderweg in Sachen Datenschutz eingeschlagen haben. Ein folgenreicher Unterschied ist im Bayerischen Krankenhausgesetz (BayKrG) zu beobachten. Artikel 27 limitiert die Cloud Computing-Nutzung für Krankenhäuser durch besonders strenge Richtlinien, um medizinische Patientendaten vor unberechtigtem Fremdzugriff zu schützen. So dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, sofern das Krankenhaus die Schlüsselgewalt für die Daten wahrt und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des externen Dienstleisters erhält.

  • Public Cloud in der Finanzwelt

    13 europäische Finanzinstitute - darunter Commerzbank und Deutsche Börse - haben die European Cloud User Coalition (ECUC) gebildet, um ein regelkonformes Public-Cloud-Ökosystem zu schaffen. Der zukünftige Übergang stellt Sicherheitshindernisse dar, die über das Netzwerk angegangen werden müssen. Simon Pamplin, technischer Direktor bei Silver Peak, kommentiert die Herausforderung: "Dieser Schritt der größten Banken Europas in Richtung Public Cloud stellt eine positive Veränderung für die Finanzdienstleistungsbranche, ihre Kunden und die Technologieunternehmen dar, die den Übergang unterstützen werden. Ein stärkerer Wettbewerb zwischen Technologieunternehmen wird schließlich Anreize für die Optimierung schaffen und Innovationen für Financial-Cloud-Lösungen vorantreiben."

  • US-Clouds: Jetzt drei Optionen

    Mit der Entscheidung des Europäischen Gerichtshofs (EuGH), das "Privacy Shield"-Abkommen zwischen der EU und den USA zu kippen, drohen deutschen Unternehmen nun Strafzahlungen, wenn sie personenbezogene Daten in US-Clouds speichern. Erstaunlicherweise haben bislang nur wenige Unternehmen auf das Urteil reagiert, das der EuGH schon im Juli dieses Jahres ausgesprochen hatte. Tatsächlich gibt es damit keine Rechtsgrundlage mehr für die Nutzung amerikanischer Cloud Computing-Anbieter, selbst wenn deren Rechenzentren auf europäischem Boden stehen. Und da unwahrscheinlich ist, dass die EU und die USA kurzfristig ein neues Datenschutzabkommen vereinbaren, müssen deutsche Unternehmen jetzt ihre Cloud-Strategien auf den Prüfstand stellen. Sogar die irische Datenschutzbehörde, die unter den EU-Regulierungsbehörden den US-Tech-Giganten normalerweise am freundlichsten gegenübersteht, hat Facebook die Anweisung erteilt, die Übertragung von Benutzerdaten aus der EU in die USA zu stoppen.

  • Regelbuch für die Cloud erarbeiten

    Die Mitgliedsstaaten der Europäischen Union haben eine gemeinsame Erklärung unterzeichnet, wie Cloud Computing-Technologien für die Wirtschaft und die öffentliche Hand in der EU künftig besser gefördert werden sollen. Ziel soll unter anderem sein, Datensouveränität zu stärken und einheitliche Regeln und Standards innerhalb der EU für die Nutzung von Cloud-Technologien zu entwickeln. Mit ihrer gemeinsamen Erklärung beauftragen die Mitgliedsstaaten die EU-Kommission, Cloud-Strategien innerhalb der EU zu vereinheitlichen.

  • Schatten-IT - mit mobile Touch

    Wenn Sie bei Ihrem IT-Leiter das Thema "Schatten-IT" ansprechen, hält er Ihnen vermutlich einen Vortrag dazu, welchen Vorgaben die Mitarbeiter bei der Nutzung von Cloud-Diensten folgen müssen, um das Unternehmen einem möglichst geringen Risiko auszusetzen. Das ist natürlich grundsätzlich richtig. Ohne geeignete Schutzmaßnahmen haben nicht sanktionierte Tools potenziell schwerwiegende Folgen und verursachen unbeabsichtigt Sicherheitslücken. Aber die Zeiten haben sich geändert. Gartner definiert als "Schatten-IT IT-Geräte, Software und Dienste, die sich außerhalb von Ownership oder Kontrolle der IT des Unternehmens befinden." Aktuell arbeiten immer noch und wieder große Teile der Belegschaften remote. Durch diese Veränderungen fallen etliche Aspekte der täglichen Arbeit in eine dieser Kategorien. Vom häuslichen WLAN-Netzwerk bis hin zu privaten Smartphones oder Tablets, die auch im Job verwendet werden - sie alle befinden sich außerhalb des Einflussbereichs der IT-Abteilung.