Die verborgenen Gefahren der Schatten-IT für die Cloud-Sicherheit

27. Juli 2018 | Von | Kategorie: Blog, IT

Schatten-IT hat sich in den letzten Jahren aufgrund falsch ausgerichteter Ziele zwischen den Teams und der flüssigen Natur von DevOps herausgebildet. Schatten-IT kann zwar kurzfristige Ziele für die von ihr bedienten Geschäftseinheiten erreichen, ist aber für die langfristige Stabilität von Organisationen schädlich. Unternehmen werden dabei trotz ihrer guten Absichten einem größeren Sicherheitsrisiko ausgesetzt. In diesem Beitrag untersuchen wir, wie Entwicklung, Sicherheit und Betrieb zusammenarbeiten können, um die Notwendigkeit von Schatten-IT zu vermeiden.

Wie Schatten-IT entsteht

Einfach ausgedrückt entsteht Schatten-IT, wenn die Anreize einer Geschäftseinheit nicht mit denen einer anderen übereinstimmen. Dies führt dazu, dass Mitarbeiter technische Entscheidungen treffen, die kurzfristig Nutzen bringen, aber auch einen unbeabsichtigten negativen Nebeneffekt für die Sicherheit haben können. Ein weiterer Auslöser für das Entstehen einer Schatten-IT können moderne Konzepte wie BYOD, CYOD und COPE (https://oneclick-cloud.com/de/blog/trends/byod-cyod-und-cope/ ) sein.

Beispielsweise kann es Aufgabe des Betriebs sein, die Produktionssysteme mit einer bestimmten Verfügbarkeit zu betreiben und die Compliance in den Liefersystemen aufrechtzuerhalten.

In der Zwischenzeit könnte ein Entwickler damit beauftragt werden, den Termin für eine Vertriebsanforderung oder ein Roadmap-Ziel einzuhalten.

Wenn der Entwickler nicht in der Lage ist, diese Fristen mit den aktuellen Systemen des Betriebs einzuhalten, kann er seine eigenen Systeme auf einem Knoten außerhalb der offiziellen Unternehmenssysteme starten. Dies führt zu potenziellen Sicherheitsproblemen, aber auch zu Finanz- und Eigentumsfragen.

Da die oben beschriebenen Entwickler und Betriebsteams keine gemeinsamen Ziele verfolgen, teilen sie auch keine gemeinsamen Ressourcen. Deshalb versuchen die Entwickler oft, „die Lücke zu schließen“ und eigene Lösungen zu schaffen, um die Arbeit irgendwie zu erledigen.

Ist das schädlich für das Unternehmen? Das ist es in der Tat. So kommt die Schatten-IT ins Spiel.

Das Gute gegen das Böse: Schatten-IT

Das Problem mit der Schatten-IT ist, dass das defekte System, das es überhaupt erst entstehen lässt, genau das ist, was Hacker für ihre Angriffe (https://rp-online.de/digitales/internet/so-schuetzen-sie-sich-vor-hacker-angriffen_iid-23687249 ) ausnutzen.

Zum Beispiel könnte eine starke Passwortsicherheitspolitik (http://www.chip.de/artikel/Passwort-aendern-Kostenlos-sichere-Passwoerter-erstellen-2_140002299.html ) die Ziele einer Geschäftseinheit erreichen, indem sie eine höhere Rate der Passwort-Rotation erreicht. Dies hat jedoch eine unbeabsichtigte Folge. Um die Passwort-Updates zu vereinfachen, können Benutzer Passwörter erstellen, die leichter zu merken und zu hacken sind. Oder, wenn sie keine Schulung zur Verwendung eines Passwortmanagementsystems erhalten, können die Passwörter auf Papier notiert und an einem unsicheren Ort aufbewahrt werden, wie direkt auf dem Schreibtisch. Das widerspricht dem Ziel, sie überhaupt zu verändern.

Die Politik der Passwort-Rotation wäre mit guten Absichten gemacht worden und ist offensichtlich ein guter Anfang. Aber ohne gemeinsame Ziele und eine unternehmensweite Überprüfung ist es leicht zu erkennen, wie es tatsächlich mehr schaden als nützen könnte, wenn diese Programme in einem Silo implementiert werden.

Eliminierung der Schatten-IT und Ausrichtung der Teams

Letztlich geht es bei Schatten-IT darum, technische oder sicherheitstechnische Maßnahmen ohne Rücksicht auf deren Auswirkungen auf die Sicherheit umzusetzen. Um diese riskante Praxis zu vermeiden, sollten die folgenden praktischen Tipps beachtet werden, um eine Angleichung zu erreichen und den Bedarf an Schatten-IT im Unternehmen zu reduzieren.

  • Verantwortlichkeit. Jemand muss bestimmt werden, dessen Aufgabe es ist, die Sicherheitsbemühungen zu leiten. Für größere Teams kann dies der CISO oder der Sicherheitsmanager des Unternehmens sein. Für kleinere Teams kann es jemand von der IT oder DevOps sein. In jedem Fall ist es wichtig, dass die gesamte Kommunikation und die Entscheidungen für sicherheitsrelevante Angelegenheiten über diese Person laufen.
  • Konsistente Tools – Entwickler, Sicherheitsteams, Produktmanagement und Betrieb sollten dieselben Tools zum Testen, Entwickeln, Sichern oder Skalieren von Code verwenden. Ein gemeinsames Toolset beseitigt Kommunikationsbarrieren und vereinfacht Änderungen. Außerdem können Sicherheitsteams direkt zum Code für Änderungen beitragen (anstatt diese an Operationen zu delegieren), da sie das gleiche Toolset auf ihren Computern haben.
  • Kommunikation – Wenn es um die Lösung von Sicherheitsproblemen geht, ist teamübergreifende Zusammenarbeit von großer Bedeutung. Dies verhindert die Schaffung falscher Anreize und die Notwendigkeit von Shadow IT. Es ist die Aufgabe des Sicherheitsleiters, Silos zu überbrücken und diese Gespräche zu führen.
  • Prozesse – Menschen, Prozesse und Technologie sind die magische Kombination für eine erfolgreiche Sicherheitsorganisation. Wenn es um Prozesse geht, ist die Automatisierung entscheidend. Eine effektive Möglichkeit, Sicherheitsprozesse zu rationalisieren, besteht unter anderem in der Automatisierung von Konfigurationsaudits, Sicherheitsupdates und Schwachstellen-Scans. Auf diese Weise können wichtige Prozesse schneller ablaufen und die Sicherheit gestärkt werden.
  • Leverage Security Software – Wenn Sicherheit in jeden Aspekt der IT-Infrastruktur integriert werden kann, entsteht vollständige Transparenz, ohne das Team zu verlangsamen. Wenn die Sicherheitstools auf der Host-Ebene eingebettet sind, können sie potenzielle Probleme erkennen, die durch Dinge wie Schatten-IT verursacht werden. Dies der beste Weg, um die Kontrolle über eine IT-Umgebung zu behalten und den Sicherheitsbedrohungen aus der Cloud immer einen Schritt voraus zu sein.

Mit diesen Maßnahmen, die sich in der Praxis ohne viel Aufwand umsetzen lassen, kann die Entstehung einer Schatten-IT wirksam und nachhaltig vermieden werden.

 

Werbung

Kommentare sind geschlossen