Informationstechnologie, die ein Nutzer sich selbst beschafft und ohne Wissen der IT-Verantwortlichen im Kontext seiner beruflichen IT-Infrastruktur nutzt, wird umgangssprachlich gerne als Schatten-IT bezeichnet. Die Bandbreite dieser Schatten-IT reicht vom privaten Email-Account, der genutzt wird, um vertrauliche Daten zur wochenendlichen Bearbeitung auf den heimischen Rechner zu transferieren, über das Tablet mit dem sich die Sitzungsmitschriften doch einfacher erstellen lassen und die dann über das private Cloud-Konto wieder auf den Organisationsrechner wandern, bis hin zum privaten online Chat- und Collaborationaccount mit dem das berufliche Zusammenwirken und der Informationsaustausch über das private Smartphone organisiert werden. Gemeinsam ist diesen Lösungen, dass es sich bei Ihnen fast immer um Cloud-Lösungen handelt, die das gemeinsame Agieren von Nutzern über öffentlich zugängliche Internet-Server realisieren. Diese Schatten-IT wird im Allgemeinen bereits als gefährlich angesehen, denn durch Ihre Nutzung entstehen Abhängigkeiten von unkontrolliert aufgesetzten IT-Lösungen und deren Protagonisten, es werden bestehende Sicherheitsmechanismen außer Kraft gesetzt und es besteht das erhöhte Risiko des unautorisierten Datenabflusses. Besondere Gefahren entstehen, wenn Schatten-IT sich im Umfeld besonders schützenswerter Informationen etabliert hat, denn in diesen hat der Abfluss schützenswerter Informationen besonders schwere Auswirkungen. Des Weiteren ist diese Schatten-IT auch zugleich das bevorzugte Ziel des vom State-Actor betriebenen Hackings und ist damit besonderen Belastungen ausgesetzt.
Trotzdem ist es durchaus bekannt, dass sich gerade im Umfeld der Collaboration und Communication eine Kommunikationskultur etabliert hat, in der sich die spontane Gruppenbildung und der Austausch von Lageinformationen – bis hin zum abfotografierten Bildschirm – als organisationsübergreifende Führungsmittel etabliert haben. Dabei agieren die Protagonisten jedoch nicht im Umfeld fehlender Richtlinien oder fehlender Aufklärung vielmehr ist es eine persönliche Abwägung des operativen Vorteils gegen den Regelverstoß, die den Nutzer dazu bringen, bewusst die Richtlinien der Organisation zu verletzen.
Das Kernproblem ist somit nicht der Regelverstoß des Nutzers, sondern die mangelnde Akzeptanz einer bestehenden oder das Fehlen einer von Nutzer als (Überlebens)notwendig eingeschätzten Lösung. Der Nutzer weist somit die IT-Organisation mit der Nutzung der Schatten-IT also auf eine Fähigkeitslücke in der Gestaltung des IT-Lösungsportfolios hin und stellt somit einen deutlichen Handlungsindikator zum Start eines Digitalisierungsprojektes dar.
Zur Deckung der Fähigkeitslücke im IT-Portfolio ist es also notwendig dem Anwender Lösungen zur Verfügung zu stellen, die diesen DIgitalisierungsbedarf erfüllen und die die Sicherheits- und Architekturanforderungen der Organisation zumindest teilweise erfüllen. Eine Nichterfüllung des Digitalisierungsbedarfes ist keine Option, denn dies würde den Nutzer weiter in die Schatten-IT treiben und weitere, größere Sicherheitsrisiken entstehen lassen. Somit steht die IT-Organisation vor der Herausforderung Lösungen auszuwählen und zu implementieren, die aus Sicht der eigenen Organisation unzureichende Systemeigenschaften besitzen. Um diese Herausforderung zu bewältigen, bieten sich die folgenden Handlungsstrategien an.
Grundsätzliche werden Schatten-IT Lösungen im seltensten Fall auf der privaten IT-Infrastruktur eines Nutzers betrieben, sondern nutzen kommerzielle Dienste. Somit können die Ersatzlösungen in der Regel als Cloudlösung implementiert werden. Dazu können drei Varianten unterschieden werden: die Implementierung in einer abgeschlossenen Umgebung der Organisation – einer „On Premise Cloud“, die Implementierung in einer abgeschlossenen Mandanten-Umgebung eines kommerziellen Cloudanbieters, einer „Private Cloud“ oder es wird die Implementierung eines ausgewählten Anbieters genutzt, eine „Public Cloud“. Die Ablösung einer Schatten-IT erfordert also in jedem Fall die Implementierung einer Multi-Cloud- oder Hybrid-Cloud-Strategie. In der Folge erfordert dies ebenfalls die Implementierung einer Cloud-Security-Strategie um zumindest die wesentlichen Sicherheitsrisiken einer Cloud-Nutzung zu mitigieren.
Als wesentliche exemplarische Risiken in der Betrachtung einer Cloud-Security Strategie sind folgende Risiken zu nennen:
- Der Informationsabfluss an den Cloudprovider
- Der Informationsabfluss an andere Cloudnutzer
- Informationsverlust auf der Übertragungsstrecke
- Die Penetration der eigenen IT über die Cloudlösung
- Die Manipulation von Informationen in der Cloud
- Der ungewünschte Ausfall der Cloudlösung
Werden diese Risiken im Kontext der verschiedenen Nutzungsszenarien „On Premise Cloud“, „Private Cloud“ und „Public Cloud“ betrachtet und hinsichtlich der bekannten exemplarischen Sicherheitstechnologien zur Mitigation der Risiken analysiert ergibt sich die folgende Handlungsmatrix. Diese kann als Vorlage für eine individuell zu gestaltende Cloud-Security-Architektur dienen und sowohl in den betrachtenden Risiken, als auch in der Auswahl der umzusetzenden Maßnahmen erweitert und angepasst werden.
| On Premise Cloud | Private Cloud | Public Cloud | |
| Informationsabfluss an Cloudprovider | n/a | CiR, SLA | SLA |
| Informationsabfluss an Cloudnutzer | MFA | MFA, CMON | MFA, SLA |
| Informationsverlust auf der Übertragungsstrecke | VPN, E2E | E2E, VPN, DLP | E2E, DLP |
| Penetration aus der Cloud | n/a | Monitoring, IPS | Monitoring, IPS, SLA |
| Informationsmanipulation | n/a | VPN | VPN |
| Verfügbarkeit | DDoS Schutz | SLA, DDoS | SLA |
n/a: Risiko nicht relevant
CiR: Crypto in Rest – Verschlüsselung von Spreicherdaten
CMON: Cloud Monitoring – Überwachung von Cloudanwendungen
DDoS Schutz: Distributed Denial of Service Schutz
DLP: Data Loss Prevention
IPS: Intrusion Protection Systems
SLA: Service Level Agreement Verhandlung
VPN: Virtual Private Networks
E2E: Ende zu Ende Verschlüsselung
MFA: Multi Faktor Authentifizierung
Monitoring: Überwachung der lokalen Systeme auf atypisches Verhalten
Im Allgemeinen ist die Implementierung einer Lösung in der „On Premise Cloud“ ist zu bevorzugen, da die Cloudverantwortung in der Hoheit der eigenen IT-Organisation liegt und die restlichen Risiken gut mitigieren oder nicht relevant sind. Im Gegensatz hierzu sind bei der Public Cloud viele Risiken schlecht mitigierbar und müssen über vertragliche Vereinbarungen oder Zertifizierungsanforderungen die hier übergreifend unter dem Stichpunkt SLA zusammengefasst werden, geregelt werden. Die „Private Cloud“ als Zwischenlösung stellt hier eine flexiblere Umgebung dar um individuelle Sicherheitskonfigurationen in Kooperation mit einem Cloudanbieter zu realisieren.
Zusammenfassung
Grundsätzlich ist anzustreben Schatten-IT im Rahmen von Digitalisierungsprojekten durch kontrollierte Lösungen zu ersetzen, auch wenn diese den Sicherheits- und Architekturvorgaben der eigenen Organisation nur bedingt genügen. Die dadurch entstehende hybride Cloudnutzung kann und muss durch Sicherheitstechnologie im Rahmen einer Sicherheitsarchitektur abgesichert werden. In dieser kommen sowohl technologische als auch organisatorische Maßnahmen zum Tragen.