Startseite > Security > Die Ära der Amateur-Programmierer meistern

Facetten der Schatten-IT

Die Ära der Amateur-Programmierer meistern

6. Oktober 2023, 12:30 Uhr | Autor: Andrew Rose / Redaktion: Diana Künstler

Wenn Mitarbeiter eigenständig IT-Lösungen außerhalb der offiziellen Unternehmensstrukturen nutzen, birgt das nicht nur Risiken – sondern auch Chancen. Vor allem wenn man kreative Mitarbeiter als „Hobbyprogrammierer“ befähigt, eigene technologische Lösungen zu entwickeln.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Was ist unter Schatten-IT zu verstehen?
Wie beziehungsweise warum kommt es zum Entstehen von Schatten-IT?
Was sind die Gefahren von Schatten-IT?
Wie wird sich die Schatten-IT weiterentwickeln?
Vor welchen Herausforderungen stellt die „Demokratisierte Entwicklung“ Security-Verantwortliche eines Unternehmens?
Welche Maßnahmen sollten IT-Sicherheitsverantwortliche mit Blick auf die Schulung von Amateur-Programmierern ergreifen?
Auf welche Prinzipien sollten Organisationen (anstatt restriktiver Standards) setzen?

Die Digitalisierung hat Unternehmen enorme Effizienzgewinne gebracht. Eine gesteigerte Verarbeitungsgeschwindigkeit, verbesserte Online-Zugänglichkeit und zunehmende Agilität haben es den Organisationen ermöglicht, riesige Data Lakes zu füllen, aus denen ihre Datenwissenschaftler neue Erkenntnisse mit Mehrwert schöpfen können. Diese Entwicklung vollzog sich zunächst unter traditionellen Vorzeichen und innerhalb streng kontrollierter Grenzen: Die Entwickler mussten offizielle Entwicklungs-/Testnetzwerke mit standardisierten Hardwareplattformen und strengen Änderungskontrollen verwenden.

Inzwischen ergänzen Organisationen ihre betrieblichen Kerntechnologien mit einer Reihe von Cloud-Diensten und SaaS-Lösungen. Diese Cloud-Revolution hat die Entwicklungsdynamik verändert: Geschäftseinheiten und Abteilungen fühlen sich nun befugt, interne Kontrollen zu umgehen und sich direkt an Lieferanten zu wenden, um eigene IT-Lösungen ohne Rücksprache mit dem Unternehmen zu nutzen. So entstand der Begriff „Schatten-IT“.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Schatten-IT

Der Einsatz technischer Lösungen, die sich der Kontrolle des jeweiligen Unternehmens entziehen, birgt manche Risiken. Das wird Mitarbeiter allerdings nicht davon abhalten, ins Internet zu gehen, um Ergänzungen ihrer IT-Tools zu erwerben, sobald sie Defizite der Technologie feststellen, die ihnen vom Arbeitgeber zur Verfügung gestellt wird – zum Beispiel das Fehlen einer Instant-Messaging-App oder einer Projektplanungslösung. Manchmal geschieht dies mit Genehmigung der IT-Abteilung, aber viel häufiger werden diese IT-Dienstleistungsverträge außerhalb geltender interner Prozesse abgeschlossen.

Schatten-IT hat zwei Seiten. Einerseits birgt sie die Gefahr unkontrollierter Datenströme, potenzieller Datenlecks und -verluste sowie die Abhängigkeit des Unternehmens von unbekannten Technologien. Andererseits handelt es sich dabei um die deutlichste Form des Feedbacks zur vorhandenen Technologie, das eine IT-Abteilung erhalten kann: Es gibt Tools und Dienste, die die Benutzer benötigen und aus denen sie einen Nutzen ziehen, die ihnen sonst nicht zur Verfügung stehen.

Die Zunahme dieser unkontrollierten Systeme bereitet CISOs Kopfzerbrechen. Sie haben Mühe, diese Lösungen zu identifizieren, zu klassifizieren und zu kontrollieren – manchmal gehen sie sogar so weit, Spesenabrechnungen nach Zahlungen für nicht registrierte Cloud-Dienste zu durchforsten.

Demokratisierte Entwicklung

Daten gehören zu den wichtigsten Unternehmensaktiva, und oft sind es intelligente, kreative Benutzer, die neuartige Möglichkeiten zur Verbindung von Datenbeständen, Systemen und Prozessen finden, um einen einzigartigen Mehrwert zu schaffen. Darum ist es nur logisch, diese Kreativität zu fördern. Das bedeutet, dass diese kreativen Mitarbeiter in die Lage versetzt werden müssen, zu Low-Level-Entwicklern zu werden, die auf der Grundlage ihrer etablierten Zugriffsrechte auf Dienste und Datenbestände im gesamten Unternehmen Werte schaffen können. Hierfür müssen sie vereinfachte Low-Code-Tooling-Lösungen und Automatisierungs-Engines ohne lange Entwicklungszyklen und ohne Beteiligung der IT-Abteilung nutzen können. So werden Geschäftseinheiten und Abteilungen in die Lage versetzt, ihre eigenen Technologielösungen zu entwickeln.

Aus geschäftlicher Sicht klingt das ideal, aber mit der Brille eines Security-Experten betrachtet führt dies zu einem weiteren großen Problem, das durch die zunehmende Geschwindigkeit der Geschäftsabläufe verursacht wird. Trotz all ihrer Nachteile bestand die Schatten-IT bisher größtenteils aus kommerziell verfügbaren Cloud-Diensten, von denen man (bis zu einem gewissen Grad) erwarten kann, dass sie zumindest ein Mindestmaß an Sicherheit und Resilienz bieten und regelmäßig gewartet werden.

„Demokratisierte Entwicklung“ weist keine dieser Eigenschaften auf. Vielmehr können Hobby-Programmierer potenziell geschäftskritische Prozesse und Dienste erstellen, ohne dass es eine Möglichkeit gibt, in die Sicherheitsmechanismen einzugreifen und sie zu überwachen.

Wie also kann können die IT-Sicherheitsverantwortlichen diese nächste Stufe der Unternehmensflexibilität bewältigen?

Amateure unter Kontrolle

IT-Sicherheitsverantwortliche können versucht sein, das Sicherheitsteam in jeden Arbeitsablauf einzubinden, aber das konterkariert das gesamte Modell. Stattdessen sollten sie sich auf die folgenden Maßnahmen konzentrieren:

Schulungen
Bevor ein Benutzer Zugang zu den Coding-Tools und -Funktionen erhält, sollte er ein Anmeldeverfahren durchlaufen, in dem er über die Sicherheitsgrundsätze informiert wird. Diese Schulung sollte die Grundlagen der Programmierung wie Versions- und Sicherheitskontrollen beinhalten, die zur Kontrolle des Outputs eingesetzt werden. Den so geschulten Amateur-Programmierern sollte ein Team erfahrener Entwickler zur Seit gestellt werden, die sie bei komplexen Aufgaben, architektonischen Entscheidungen und kritischen Projekten berät. Es gilt, die Zusammenarbeit und Kommunikation zwischen Amateuren und professionellen Entwicklern zu fördern, um die Abstimmung und den Wissensaustausch zu gewährleisten. Besonders talentierte Amateure sollten besonders gefördert und motiviert werden.

Prinzipien
Die Erfahrung lehrt, dass technisch Kreative es hassen, sich durch allzu strikte Sicherheitsstandards einschränken zu lassen, und dass die Einhaltung solcher Standards schnell zu einer Belastung für ein Team wird. Statt auf restriktive Standards sollten Organisationen auf Prinzipien setzen. Diese Prinzipien werden sich von Unternehmen zu Unternehmen unterscheiden; können jedoch in vier Bereiche gegliedert werden:

Architektonisch: Architektonisch sollten alle Anwendungen Zero-Trust-Prinzipien folgen, Benutzer müssen alle Anwendungen und die Anwendungslogik dokumentieren, und alle Anwendungen und Automatisierungen müssen in einem zentralen Register erfasst werden.
Zugriff: Es gilt sicherzustellen, dass der Weg zum Amateur-Programmierer kontrolliert wird, sodass die zugehörigen Tools nur für entsprechend eingearbeitetes Personal verfügbar sind. Unternehmen sollten Modelle für die Benennung von Konten und Prozessen, Zuständigkeiten und Berechtigungen vorgeben. Die Zulässigkeit des Zugriffs durch Dritte sollte klar geregelt sein.
Daten: Klare Vorgaben, welche Datentypen ohne zusätzliche Genehmigung verwendet werden können und welche die Genehmigung des Dateneigentümers erfordern. Output-Daten müssen korrekt klassifiziert und nach internen Standards behandelt werden. Alle Datentransformationen müssen wiederholbar sein, um sicherzustellen, dass jegliche Datenabhängigkeit im Falle eines Systemausfalls überwunden werden kann. Idealerweise sollte die Datenzugriffsphase durch die Schaffung von APIs geregelt werden, um eine Art Baukasten zu schaffen, den Amateure zur Vereinfachung ihrer Arbeit nutzen können.
Dienste: Ein standardisierter Satz von Tools und Plattformen, die zentral vom Unternehmen oder von vertrauenswürdigen Anbietern gewartet werden, um die Anhäufung von Fehlerquellen zu minimieren. Die Entwickler müssen wissen, dass neue Dienste bei der IT-Abteilung zu registrieren sind, um zentralisierten Support zu erhalten, wenn das erstellte System/der erstellte Dienst für den Geschäftsablauf wichtig geworden ist. Zusätzlich zur Service-Registrierung müssen Geschäftseinheiten und Abteilungen alle innovativen Technologien identifizieren, die auf lokaler Ebene entwickelt und implementiert wurden, indem sie ihre Pläne für den kontinuierlichen betrieb und die Wiederherstellung im Ernstfall alle sechs Monate aktualisieren. So wird sichergestellt, dass neue Systeme nicht übersehen werden.

Der Weg ist klar, aber nicht leicht

Das klingt zugegebenermaßen sehr anspruchsvoll. Wenn man das Ganze mit etwas Abstand betrachtet, wird jedoch klar, dass unabhängig von der Taktik zusätzliche Arbeit für die IT-Sicherheitsverantwortlichen anfällt. Entweder sie investieren in die Kontrolle der Entwicklung und Verwaltung dieser flexiblen Systemressourcen oder investieren später deutlich mehr Zeit und Ressourcen für die Beseitigung von Datenverlusten und die Behebung von Fehlern. Wie bei so vielen Sicherheitsentscheidungen ist die richtige Entscheidung leicht zu erkennen, der Weg zur Umsetzung kann aber steinig sein.

Andrew Rose, Resident CISO bei Proofpoint