Dropbox, Google Docs und Co. kennen wir alle und sind beliebter denn je. Verständlich, denn die Cloud-basierten Anwendungen erleichtern die (Zusammen-)Arbeit und sind bedienerfreundlicher als manch anderes, unternehmensinternes Tool – sofern diese überhaupt vorhanden sind. Eine kurze Anmeldung genügt und schon kann es losgehen. Sie als IT-Verantwortlicher kennen das Problem: Was auf den ersten Blick vielleicht harmlos aussieht, entpuppt sich als No-Go der Unternehmenssicherheit. Die sogenannte Shadow IT kann mehr Schaden anrichten, als viele denken. Weshalb das so ist und wie Sie den Gefahren der Shadow IT bei Cloud Services entgegensteuern können, erfahren Sie in diesem Artikel.
Viele öffentlich verfügbaren Dienste sind inkompatibel mit Compliance-Vorgaben zur Cyber Security. Besonders bedenklich: In den Nutzungsbedingungen von ca. zwei Dritteln der Cloud Services steht, dass die verwendeten Daten nicht ausschliesslich dem Kunden gehören. Zudem sind nur etwa 20% der Daten beim Provider verschlüsselt, wie zahlreiche Studien belegen. Spätestens jetzt sollten bei Unternehmen (und natürlich auch bei allen Mitarbeitenden) die Alarmglocken läuten. Nehmen Sie Shadow IT also nicht auf die leichte Schulter!
Nutzen vs. Kosten der Shadow IT
Es ist jedoch wenig sinnvoll, alle Cloud Services zu blockieren, da meist auch Business-relevante Applikationen in der Cloud genutzt werden. Ausserdem verbessern sie in der Regel die Produktivität der Mitarbeitenden – und dagegen hat wohl kein Chef etwas einzuwenden. Viele Online Services sehen im ersten Moment jedoch gar nicht nach einem Cloud Service aus. Erst bei genauerem Hinsehen kann man feststellen, dass sich hinter der Eingabemaske ein Cloud Service befindet.
Die Problematik beginnt bereits damit, dass Mitarbeitende ihre persönlichen Daten (und/oder geschäftlichen Zugangsinformationen wie E-Mailadresse und Passwort) zur Anmeldung eingeben. Der Provider sammelt, analysiert und speichert diese Daten. Im schlimmsten Fall werden sie sogar vom Provider für eigene Zwecke genutzt. Ausserdem sind die Daten selbst dann noch in der Cloud, wenn die Mitarbeitenden das Unternehmen verlassen haben. Hier versagt in der Regel jedes noch so gute Identity Management.
Das zweite Problem besteht darin, dass viele Cloud-Anbieter – gerade kleinere – nicht über ausreichende Cyber Security-Schutzmassnahmen verfügen. So können solche Cloud-Dienste Tor für unzählige Malware sein.
Und als Drittes sind, wie bereits beschrieben, die zweifelhaften Nutzungsbedingungen problematisch. All diese (nicht abschliessenden) Punkte können ausserdem Ihre GDPR-Konformität gefährden. Was das konkret bedeutet und welche Sanktionen drohen, können Sie in einem unserer anderen Artikel sowie in unserem GDPR-Leitfaden nachlesen.
Gewinnen Sie den Kampf gegen die Shadow IT
Das alles klingt erstmal abschreckend. Aber keine Angst – es gibt heutzutage Lösungen, die Sie im Kampf gegen die Shadow IT im Bereich Cloud Services unterstützen. Hier empfehlen wir als Experten ganz klar das Shadow IT Module von McAfee Skyhigh. Damit lassen sich in einem Unternehmen über verschiedenste Datenquellen die Zugriffe auf Cloud Services aufdecken und analysieren. Mittlerweile enthält die Skyhigh Datenbank über 25'000 verschiedene Cloud-Service-Anbieter: angefangen vom einfachsten PDF-Konverter oder diversen Online Translators bis hin zu umfangreichen SaaS- oder IaaS-Lösungen.
Skyhigh zeigt in erster Linie, welche Cloud-Dienste von den Mitarbeitenden überhaupt genutzt werden. Über das Dashboard und weiterführende Reportings werden im Detail aufzeigt, welche Risiken damit verbunden sind, mit welchen Massnahmen die Sicherheit optimiert werden kann und nicht zuletzt lassen sich damit Ihre Sicherheitsrichtlinien zentral durchsetzen. Cool, oder?
Risk Scoring als Basis der Cloud-Security
Aber nicht alle genutzten Services sind per se gefährlich. Es gilt, den Fokus auf die relevanten, nicht zulässigen Services zu legen. Aber wie gelingt das? Um an die Daten für die spätere Auswertung zu kommen, wird in einem ersten Schritt im Unternehmen analysiert, welche Log-Quellen relevant sind. Das können Proxy Systeme, Firewalls oder auch direkt SIEM oder Syslog Appliances sein. Aus diesen Log-Quellen werden initial Beispieldaten genutzt, um die Schnittstellen für die weitere Verarbeitung zu definieren.
Für die Analyse im Unternehmen vor Ort benötigen Sie den sogenannten Enterprise Connector, welcher die initiale Aufbereitung der Daten vornimmt, bevor diese zur weiteren Verarbeitung und Analyse zur Skyhigh Cloud gesendet werden.
Sämtliche Daten, welche für die Analyse irrrelevant sind, werden aus den Logs gelöscht. So wird zum Beispiel nicht das «normale» Surfverhalten der Mitarbeitenden untersucht, sondern lediglich dann, wenn eine Cloud-Service-Nutzung stattgefunden hat. Mitarbeitende, welche ohne Anmeldung auf die Website von Dropbox verbinden, gelten deshalb noch nicht als Cloud-Nutzer.
Die anschliessende Analyse der Daten zeigt auf, welche Services zu welcher Zeit und von wem genutzt wurden. Dazu wird zu jedem Service ein Risk Score abgeleitet und falls Daten übermittelt wurden, wie viele. Der Risk Score bestimmt sich aus verschiedensten Kriterien wie zum Beispiel:
- Ist Daten-Sharing mit anderen möglich?
- Gibt es Möglichkeiten, Daten zu verschlüsseln?
- Wie sieht die Zugriffskontrolle aus?
- …und vielen weitere Fragen.
Insgesamt werden 50 verschiedene Kriterien für die Beurteilung des Risk Scores herangezogen.
McAfee Skyhigh, der Security Broker für den Cloud-Zugriff
Die Gewichtung des Risk Scores kann auf die Bedürfnisse des Unternehmens angepasst werden. Akzeptiert das Unternehmen, dass seine Mitarbeitenden Evernote oder Dropbox nutzen, wird das Risiko an den kritischen Aspekten entsprechend angepasst.
Hat das Unternehmen seine Daten gesammelt und analysiert, geht es in einem weiteren Schritt darum, entsprechende Massnahmen einzuleiten. Bei einem PoC oder einem Cloud Access Audit wird dazu ein Report erstellt mit Empfehlungen und Best Practices. Eine weitere Möglichkeit bietet sich mittels einer Closed Loop Remediation an. Dabei wird entweder direkt über eine API-Integration auf das Perimeter-Gerät eine Policy erstellt, die die Zugriffe auf die unerwünschten Cloud-Dienste sperrt. Oder es können URL-Listen erstellt werden, um damit zum Beispiel die Proxy Policy mit einer Custom-Kategorie zu erweitern. Dadurch können Zugriffe gesperrt werden.
Die Reports können auch helfen, eine weiterführende Cloud-Strategie zu entwickeln. So können Sie Standard-Anwendungen etablieren – und Ihre Mitarbeitenden müssen nicht auf unsichere Plattformen ausweichen.
Shadow IT – Wir bringen Licht ins Dunkel
Kontinuierliche Transparenz über all Ihre Cloud Services – klingt zu gut, um wahr zu sein? Wir bieten Sie Ihnen! Mit unserem Cloud Access Audit auf der Basis von Skyhigh erhalten Sie einen detaillierten Einblick über die Cloud-Nutzung und erfahren, welche Risiken mit Ihrer aktuellen Cloud-Nutzung bestehen. Anhand der Ergebnisse erhalten Sie handfeste Empfehlungen, um Ihre Cyber Security noch sicherer zu machen. Sagen Sie Shadow IT den Kampf an und bringen Sie mit Skyhigh Licht ins Dunkel!