Zur Übersicht

Schatten-IT: Die Gefahr der unbekannten Netzwerkgeräte

Sabine Kuch | November 23, 2021 | Network Access Control, NAC, Netzwerksicherheit, Cyber Security, SchattenIT

In jedem Unternehmen existieren inoffizielle Parallelsysteme. Zum einen, weil Mitarbeiter:innen ihre eigenen Endgeräte nutzen, da es eventuell bequemer ist, als die unternehmensinterne Infrastruktur zu nutzen, zum anderen werden viele Apps nicht vom Arbeitgeber angeboten. Somit können in WhatsApp-Chats vertrauliche Informationen ausgetauscht werden oder persönliche Dropboxen benutzt werden. Aber auch clevere Kolleg:innn bauen sich für ihre spezifischen Aufgabenstellungen eigene Apps. Die internen IT-Abteilungen verlieren dadurch entscheidend an Kontrollmöglichkeiten über die IT-Prozesse, denn nur was ich kenne, kann ich auch kontrollieren.

Was ist Schatten-IT?

Der Begriff Schatten-IT beschreibt laut Wikipedia: „informationstechnische Systeme, Prozesse und Organisationseinheiten, die in den Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind. Schatten-IT-Instanzen sind somit weder technisch noch strategisch in das IT-Service-Management der Organisation eingebunden, das heißt weder im (IT-Asset- &) Configuration-Management noch im IT-Serviceportfolio berücksichtigt.“

 

Schatten-IT nimmt durch Cloud-Computing zu

Durch die zunehmende Digitalisierung der Arbeitswelt nutzen immer mehr Unternehmen die Vorzüge von cloudbasierten Dienstleistungen. Schon vor der signifikanten Zunahme von „New Work“ haben Unternehmen in Deutschland die Bedenken gegenüber Cloud-Computing weitgehend abgelegt. In einer Studie von McAffee aus dem Jahr 2020 schätzten 53 Prozent der IT-Verantwortlichen, dass über die Hälfte der Mitarbeiter in ihrem Unternehmen Anwendungen nutzen, von denen die IT-Abteilung nicht in Kenntnis gesetzt wird. Dem Vertrauen in die Sicherheit der Cloud steht die Sorglosigkeit in Bezug auf Anwendungen der Schatten-IT gegenüber.

Die unkalkulierbare Gefahr, die sich durch die Schatten-IT ergibt, kann zu signifikanten wirtschaftlichen und operativen Schäden wie Datenverlusten, Compliance-Verstößen oder Malware-Intrusion führen.

 

IOT bringt mehr Komplexität ins Netzwerk 

Businessman staying and offering stuffs to a shadow businessman

Das macmon-secure-Team sieht im täglichen Kundenkontakt die wachsende Zahl an Schatten-IT-Vorfällen sowohl in kleinen bis mittleren Unternehmen, als auch in Großunternehmen. Dabei fällt auf, dass das Internet der Dinge (IoT) das Risiko durch komplexe Netzwerke sogar noch vergrößert. Immer wieder kommt es zu dem „Aha“-Moment, wenn bei einem Proof of Concept von macmon NAC plötzlich Endgeräte sichtbar werden, von denen die IT-Administratoren keine Informationen hatten.

 

Die Schatten-IT ist kontrollierbar

Einen effektiven Schritt, um Kontrolle über die Schatten-IT zu gewinnen ist die Entwicklung einer Methodik, die zur Vereinfachung der IT- und Koordinierungsprozesse führt. Die präventiven Maßnahmen oder jeder On-Demand-Kampf gegen die Bedrohung durch Schatten-IT-Geräte ist dabei jedoch so vielfältig wie ihr Ursprung und die Ursachen. Im Allgemeinen sind folgende Schritte notwendig, um die Sicherheitsziele zu erreichen und die verborgenen Aktivitäten unbekannter und unerwünschter IT-Prozesse zu bekämpfen.

 

1. Sichtbarkeit gewinnen

Ein vollständiger Überblick über die angeschlossenen Geräte im Netzwerk ist der erste Schritt zur Netzwerksicherheit. Das bedeutet, dass Administratoren eine Übersicht über alle Geräte und Benutzer im Netzwerk benötigen und diese auch ständig überwacht, identifiziert und aktualisiert wird. Die Bedeutung steigt mit der Anzahl mobiler Devices.

 

2. Zugangskontrolle

Conceptual digital image of lock on circuit background

Im nächsten Schritt sollte eine effektive Zugangskontrolle mit dem Vorhandensein eines einheitlichen und automatischen Regelwerks implementiert werden. Mit diesem Tool können im Netzwerk nur Geräte zugelassen werden, die die Erlaubnis der IT-Abteilung haben, ihre Berechtigung nachweisen können, oder erst verifiziert werden müssen. Diese Überprüfung kann entweder automatisch mit Hilfe eines Policy-Servers oder bei Bedarf auch manuell durch verantwortliche Mitarbeiter erfolgen.

Heutzutage wird es immer wichtiger, das Regelwerk anpassen zu können, um den immer vielfältigeren Anforderungen der verschiedenen Abteilungen und Personen gerecht zu werden. So sollte es beispielsweise möglich sein, auf die für die Schatten-IT verantwortlichen Herausforderungen wie dezentrale Organisationsformen, Fusionen und Übernahmen, Autonomiebefugnisse der einzelnen Abteilungen, den Mangel an Fachpersonal und stagnierende IT-Budgets zu reagieren.

 

3. Compliance und regulatorische Überprüfung

Mit der Compliance ist es möglich, den Zugriff basierend auf dem Sicherheitsstatus der Endgeräte zu kontrollieren (auch nach erfolgreicher Authentifizierung im Netzwerk). Die Überprüfung des Compliance-Status sollte entweder über eine zentrale Enforcement-Lösung und eigene Agenten mit vordefinierten Richtlinien oder über die in der IT-Umgebung vorhandenen Lösungen erfolgen.

Die zunehmende Vielfalt der Bedrohungen und unterschiedlichste Sicherheits-Lösungen und Ansätze, führen auch zur zunehmenden Komplexität bei der Bekämpfung der Risiken. Eine zentrale Lösung, die die Integration und Kommunikation mit allen Cyber-Security-Lösungen ermöglicht, sollte im Fokus stehen, um auf verschiedene Arten von Bedrohungen reagieren zu können und zwar gemeinsam, und unter Einhaltung aller Vorschriften und Richtlinien.

 

Gibt es eine Lösung, die auf diese komplexen Anforderungen reagieren kann?

Ja und Nein. Wie bereits erwähnt, gibt es viele Produkte, die versuchen, den besten Weg zur Bekämpfung von Schatten-IT-Geräten und unter den damit verbundenen Risiken und unter Umständen böswilligen Infiltrationen zu finden. Der Punkt ist, dass kein einzelnes Programm darauf ausgelegt ist, alle Aspekte der Schatten-IT und Schwachstellen abzudecken. Es hängt davon ab, wie gut die Kommunikation mit anderen Sicherheits- und IT-Lösungen ist und ob es mit verschiedenen Arten von Integrationen umgehen kann.

macmon secure ist ein führender IT-Sicherheitsanbieter, der diese Herausforderungen schon vor langer Zeit erkannt hat, und zu diesem Zweck über eine breite Palette von Lösungen zur Bewältigung der beschriebenen Risiken verfügt. Dazu gehört die Erlangung des notwendigen Überblicks über alle Geräte im Unternehmen ebenso wie die aktive Kontrolle des Zugriffs auf das Netzwerk und die Überprüfung von Compliance-Richtlinien, einschließlich der richtigen Integrationen, Schnittstellen und technologischen Partnerschaften mit führenden Sicherheits-Produkten und -Unternehmen.

 

macmon NAC für Profis

Grundsätzlich startet macmon NAC den Netzwerkschutz an Zugangspunkten, indem es unautorisierte Geräte auf sehr niedriger Ebene der Netzwerkschichten unter Berücksichtigung aller MAC-Adressen verwaltet und mit weiteren höheren Authentifizierungs- und Autorisierungs-Methoden ausgestattet werden kann. Die oben genannten Sicherheitsanforderungen sind durch verschiedene Arten von Protokollen wie z.B. SNMP oder 802.1x implementierbar und verwenden viele Abfragen und Daten, die entweder von den Endpunkten oder anderen Netzwerkkomponenten stammen.

Darüber hinaus ist es möglich, die Nachprüfung von Geräten durch macmon NAC selbst oder in Zusammenschluss mit anderen Sicherheitslösungen durchzuführen, um die Einhaltung der Compliance auf Netzwerkebene auch nach der einmaligen Autorisierung im Netzwerk durchzusetzen. Dies könnte z.B. die Integration mit IDS/IPS-Systemen, Firewalls, SIEM, Antivirus-Lösungen, Asset- und Patch-Management-Systemen, MDMs oder externen Identitätsquellen usw. umfassen. Hier stellt macmon NAC den Benutzern verschiedene Arten der Integration und Schnittstellen wie z.B. RESTful API zur Verfügung, um macmon mit sehr geringem Aufwand und eingebauten Gadgets mit Lösungen von Drittanbietern zu verbinden.

macmon NAC ist zudem ein herstellerunabhängiges Produkt und arbeitet unabhängig vom Hersteller der Geräte und der Netzwerkinfrastruktur oder deren geographischer, physikalischer oder drahtloser Verbreitung. Bestens ausgestattet mit einem flexiblen Policy-Server und vielen zusätzlichen Add-Ons, um den verschiedenen organisatorischen und professionellen Anforderungen von CSOs von kleinen bis großen Unternehmen gerecht zu werden.

 

JETZT TESTEN ›