IT-Sicherheit : Schatten-IT: Verstehen statt verbieten

Erst eine Videokonferenz, die Notizen landen dann im geteilten Dokument und anschließend diskutieren die Kolleg:innen die Ergebnisse im Chat. Ganz normaler Homeoffice-Alltag in Corona-Zeiten und kaum der Erwähnung wert. Es sei denn, die Konferenzsoftware ist nicht offiziell, die gemeinsam genutzte Tabelle liegt in der privaten Cloud oder der Chat läuft über den Familien-Messenger.

Laut einer Umfrage des IT-Branchenverbands Bitkom hat gut die Hälfte aller Unternehmen hierzulande schon mit der so genannten Schatten-IT, also der unautorisierten Nutzung von Public-Cloud-Diensten wie Dropbox, Google Drive und Microsoft 365 durch Mitarbeitende, zu tun gehabt. Doch die Dunkelziffer dürfte noch deutlich höher liegen, schätzt Nils Britze, zuständig für den Bereich der digitalen Geschäftsprozesse beim Bitkom. „Der Schattenanteil an der Schatten-IT dürfte groß sein.“ Und mit ihm das Risiko für Datendiebstahl, Industriespionage und Vertrauensverlust. Denn zum einen sind die mehr oder weniger offen geteilten Daten nicht geschützt und zum anderen wissen betroffene Unternehmen nicht einmal, wie groß das Ausmaß eines möglichen Leaks tatsächlich ist.

Albtraum für Sicherheitsbeauftragte

„Mitarbeitende sind sich oft gar nicht bewusst, dass sie etwas tun, was die IT-Sicherheit gefährdet“, sagt Michael Wiesner, Cybersicherheitsexperte und White-Hat-Hacker. In der Praxis erlebt er allerdings auch andere – vorsätzliche – Fälle, wie er sagt. Etwa wenn Beschäftigte ganz bewusst auf Whatsapp zurückgriffen, weil ihnen der Weg über die Firmen-IT zu kompliziert sei. Zudem gebe es in jedem Unternehmen bestimmte Abteilungen, die der Nutzung externer Tools und Dienste gegenüber „sehr aufgeschlossen“ seien.

Zum Beispiel das Marketing, der Vertrieb oder die Digitalisierungsspezialisten. Die Motive der Mitarbeitenden dort kann Wiesner nachvollziehen. So arbeiteten Marketingabteilung sehr häufig mit externen Dienstleistern und deren cloudbasierten Tools. Und auch dass der Chief Digital Officer neue digitale Abläufe gerne im laufenden Betrieb testen wolle, sei aus dessen Sicht verständlich. Nur: „Was diesen Kollegen als Notwendigkeit erscheint, ist für IT-Sicherheitsbeauftragte oft ein Albtraum.“

Verantwortung liegt nicht nur bei den Mitarbeitenden

Doch Sicherheitsexperten sehen die Verantwortung für die nicht genehmigte Nutzung von cloudbasierten Diensten nicht allein bei den Mitarbeitenden, sondern bei der Unternehmensführung. Obwohl während der Pandemie rund jede:r viert:e Arbeitnehmer:in vom Homeoffice aus arbeitet, fehlt es häufig an Schulungen und klaren Verhaltensregeln, wie der TÜV-Verband moniert. In einer aktuellen Forsa-Umfrage im Auftrag der technischen Überwachungsvereine kam heraus: Rund 25 Prozent der Beschäftigten im Homeoffice sitzt dort ohne jegliche Vorgaben zur IT-Sicherheit. An einer Schulung, was beim mobilen Arbeiten zu beachten ist, nahmen demnach lediglich 38 Prozent teil. Bei den drei Vierteln, die von ihrem Arbeitgeber klare Regeln bekamen, sind diese oft gleichbedeutend mit Verboten: keine privaten USB-Sticks, keine privaten Cloud-Dienste, keine Nutzung von öffentlichem W-Lan.

Gut so. Oder? Nein, sagt nicht nur Nils Britze vom Bitkom. „Unautorisierte Systeme zu sperren, wenn man sie entdeckt, ist der erste und der richtige Impuls.“ Gleichzeitig gelte es jedoch, eine Alternative für den regelkonformen Einsatz zu finden. Das sieht auch Arne Schönbohm, Chef des Bundesamtes für Sicherheit in der Informationstechnik (BSI), so. „Deswegen ist es für Unternehmen von besonderer Bedeutung, die von den Mitarbeitenden benötigte IT sicher zur Verfügung zu stellen und dauerhaft sicher zu betreiben.“

Der Gedanke dahinter: Beschäftigte nutzen die cloudbasierten Lösungen, weil sie ihnen – subjektiv gesehen – den Arbeitsalltag erleichtern. Wer sie einfach nur verbietet, löst nicht das Problem, sondern schickt es nur in eine nächste Runde. Aufs Verbot folgt die Umgehung des Verbots mithilfe eines anderen Tools oder Dienstes und so fort. Dieser „technische Wildwuchs“, erläutert Schönbohm, führe „sonst zu einer größeren Angriffsfläche und kann so die Unternehmens-IT und damit die Unternehmen selbst einer größeren Gefahr von Cyberangriffen aussetzen“.

Steile Lernkurve bei den Unternehmen

Um diesen Kreislauf zu vermeiden oder zu unterbrechen, sollten Führungskräfte einen Schritt auf die Beschäftigten zugehen, empfiehlt Cybersicherheitsexperte Wiesner. Der Faktor Mensch spiele eine entscheidende Rolle. „Der Einsatz cloudbasierter Tools muss von oben gewollt sein.“ Zusätzlich brauche es jemanden, der zwischen den unterschiedlichen Interessen vermittelt – beispielsweise zwischen IT-Sicherheit und Marketing. Denn: „Business- und damit nutzerorientiertes Denken fällt vielen in der IT und auch in der Informationssicherheit sehr schwer.“ Gleichzeitig müsse Mitarbeitenden klar sein, dass ein vorsätzliches Fehlverhalten Folgen für sie habe. Schulungen seien deshalb ein zentrales Element. „Für die Praxis heißt das: Man muss vieles organisatorisch regeln, aber man kann auch vieles erlauben, wenn man die Beschäftigten einbezieht und ihnen Zusammenhänge erklärt.“

Das Gute zum Schluss: Die Lernkurve der Unternehmen ist steil. „Drei Viertel der Unternehmen, die unautorisierte Systeme entdeckt haben, haben ihren Beschäftigten daraufhin regelkonforme Dienste angeboten“, sagt IT-Verbandsmann Britze. „Das ist der richtige Weg.“ Und wenn das nicht möglich ist, finden sich dennoch praxistaugliche Lösungen, wie Michael Wiesner feststellt. „Bei vielen Unternehmen war es zu Beginn der Pandemie ein Riesenthema, ob Mitarbeitende an einer Zoom-Konferenz teilnehmen dürfen, obwohl das Tool im eigenen Haus nicht eingesetzt wird.“ Inzwischen dürften es die meisten nutzen, wenn sie bestimmte Regeln beachten: Zum Beispiel das Verbot einer Fernsteuerung des eigenen PCs, was oft über Konferenz-Tools möglich ist.

Auch die Betreiber der Cloud-Architekturen haben erkannt, dass sie etwas tun müssen, um Vertrauen zu gewinnen. Immer feinere und genauere Sicherheitseinstellungen führten allerdings auch zu neuen Herausforderungen, beobachten IT-Sicherheitsexperten. Unternehmen können nun zwar beispielsweise Dokumente in der Cloud zusätzlich durch eine Verschlüsselung schützen. „Unter Umständen können Externe von außen dann aber nicht mehr darauf zugreifen“, beschreibt Wiesner. „Hier gibt es noch keine optimale Lösung.“