Der blinde Fleck der IT-Sicherheit: Schatten-IT

Die Sorge vor Schatten-IT ist allgegenwärtig: Mitarbeitende laden unbemerkt Apps herunter, nutzen private Geräte für die Arbeit oder versenden geschäftskritische Informationen über WhatsApp. Doch hier sollte nicht das Prinzip „Aus den Augen, aus dem Sinn“ gelten. 

Während die Sicherheitsrisiken, die sich aus solchen Szenarien ergeben, möglicherweise bereits erkannt und adressiert werden, lauert eine subtilere und schwerer zu erkennende Gefahr im Verborgenen: Die Komplexität des IT-Netzwerks.

Wenn Netzwerke immer unübersichtlicher werden, entstehen daraus oft neue Probleme der Schatten-IT: versteckte Schwachstellen, falsch konfigurierte Tools und Sicherheitslücken, die niemand im Blick hat und überwacht.

Wenn IT-Teams keine vollständige Transparenz und Kontrolle über ihre Netzwerkinfrastruktur haben, ist es nur eine Frage der Zeit, bis Angreifer diese Schwachstellen ausnutzen. So wie eine nicht autorisierte App das Smartphone eines Mitarbeitenden gefährden kann, öffnet ein komplexes und unübersichtliches Netzwerk Cyberkriminellen Tür und Tor.

Die dunkle Seite: Schatten-IT versus Schattenkomplexität

Als Schatten-IT werden bekanntermaßen nicht genehmigte Anwendungen und Dienste bezeichnet, die außerhalb der offiziellen Kontrolle eingesetzt werden. Die Komplexität der Schatten-IT kann daher als die Herausforderung betrachtet werden, die sich aus der Anhäufung von mehreren Schichten der Infrastruktur, falsch konfigurierten Sicherheitstools, redundanten Richtlinien und Compliance-Lücken ergibt – und niemand hat den Überblick.

Mit dem Wachstum von Sicherheitsarchitekturen steigt deren Verwaltungsaufwand. Genau hier liegt das Problem: IT- und Sicherheitsteams glauben zwar, dass sie die volle Kontrolle haben, übersehen jedoch die blinden Flecken, die im Laufe der Zeit entstanden sind. Mit anderen Worten, sie wissen also gar nicht mehr, was sie alles nicht wissen. Durch die vielen verschiedenen Regeln, Tools und Einstellungen bleiben Sicherheitslücken verborgen. Diese können Monate – oder sogar Jahre unentdeckt bleiben und stellen somit Einfallstore für Sicherheitsverletzungen dar.

Redundante und widersprüchliche Sicherheitsrichtlinien

Viele große Unternehmen setzen auf eine Vielzahl von Sicherheits- und Überwachungstools, darunter Firewalls, Endpoint-Security-Lösungen, SIEM- und RMM-Systeme und vieles mehr. Deren Einsatz ist an sich kein Problem. Kritisch wird es jedoch, wenn sich Regeln überschneiden und dadurch Inkonsistenzen entstehen. Einige Bereiche können übermäßig abgesichert sein, während andere ungeschützt bleiben. Doch wer behält den Überblick über all diese Regeln?

Ein typisches Beispiel ist ein veraltetes System, das längst hätte abgeschaltet werden sollen, aber aufgrund von Bedenken hinsichtlich möglicher Abhängigkeiten weiter in Betrieb bleibt. Die IT-Teams befürchten, dass das Entfernen alter Server oder Anwendungen geschäftskritische Prozesse beeinträchtigen könnte. Also bleiben sie in Betrieb, oft ohne angemessene Sicherheitsupdates. Die Überlegung lautet in etwa: Hier besteht keine Gefahr, es handelt sich um ein altes System, nur ein Back-up. Doch diese Nachlässigkeit kann sich schnell zu einem gravierenden Sicherheitsrisiko entwickeln.

Ein eklatantes Beispiel für die Gefahren einer mangelhaften Cloud-Konfiguration ereignete sich im März 2020 in Großbritannien. Aufgrund einer Fehlkonfiguration in einem AWS-Cloudspeicher wurden Daten von britischen Bahnreisenden, die das kostenlose WLAN in von Network Rail verwalteten Bahnhöfen nutzten, offengelegt. Die Datenbank war ohne Passwort online zugänglich. Der WLAN-Anbieter ging fälschlicherweise davon aus, dass der Speicher auf interne Zugriffe beschränkt sei und erkannte nicht, dass diese persönlichen Informationen für jedermann einsehbar waren. Später behauptete das Unternehmen, es habe sich lediglich um eine Sicherungskopie der Datenbank gehandelt. Dieser Vorfall verdeutlicht eindrücklich, wie einfache Fehlkonfigurationen zu gravierenden Sicherheitslücken führen können. Er unterstreicht zudem die Notwendigkeit, sämtliche Dateien, Daten und Geräte – unabhängig davon, ob sie aktuell genutzt werden oder nicht – angemessen zu schützen.

Compliance-Lücken aufgrund mangelnder Transparenz

Zahlreiche Unternehmen arbeiten im Rahmen mehrerer Compliance-Frameworks, wie DSGVO, ISO 27001, Cyber Essentials, NIS2 und anderen. Und jedes Jahr kommt ein neues Regelwerk für Cybersicherheit oder Datenschutz hinzu. Dabei erschwert die Komplexität der Systeme die lückenlose Überwachung der tatsächlichen, unternehmensweiten Compliance.

Ein Unternehmen, das mehrere Cloud-Umgebungen nutzt, muss sich mit den jeweils unterschiedlichen Sicherheitskontrollen und Compliance-Standards auseinandersetzen. Ohne einen einheitlichen Ansatz bemerkt das Sicherheitsteam möglicherweise erst bei einer Überprüfung kritische Verstöße. Schlimmer noch: Diese Compliance-Lücken können nicht nur zu hohen Geldstrafen führen, sondern auch den Ruf und das Vertrauen in das Unternehmen erheblich schädigen.

Sicherheitsstrategien angesichts komplexer Schatten-IT und warum sie scheitern können

Sicherheitstools, die in isolierten Systemen arbeiten, verlieren ihre Wirksamkeit. Es mag deshalb auf den ersten Blick solide und verlockend erscheinen, mehrere Sicherheitstools und Frameworks übereinanderzulegen. Doch ohne eine schnell einsetzbare, zentralisierte und skalierbare Übersicht in Echtzeit entstehen durch diese Komplexität gefährliche Lücken.

Manuelle Prozesse sind den dynamischen Bedrohungen nicht gewachsen. IT-Teams, die bereits mit einer Vielzahl von Warnungen, Richtlinien und sich wandelnden Angriffsmustern konfrontiert sind, übersehen leicht kleine Fehlkonfigurationen – und genau darauf haben es Cyberkriminelle abgesehen. 

Besonders Ransomware-Gruppen nutzen diese Schwachstellen aus, indem sie sich ungehindert durch ungesicherte oder ungepatchte Systeme bewegen. Die zunehmende Komplexität moderner IT-Landschaften schafft ein ideales Terrain für Angreifer, die Sicherheitslücken ausnutzen, oft bevor diese überhaupt entdeckt werden.

Licht ins Dunkel der Komplexität bringen

In einer zunehmend komplexen und dynamischen IT-Landschaft wird es immer schwieriger, die Sicherheitsrisiken und -anforderungen umfassend zu betrachten. Um diese Herausforderung zu meistern, ist es notwendig, sich ein klares Bild zu verschaffen und folgende Punkte zu berücksichtigen:

Sichtbarkeit als oberste Priorität: Ohne einen klaren Überblick über die hybride Infrastruktur, Angriffsflächen, Compliance-Status ist eine zuverlässige Einschätzung des Sicherheitsrisikos kaum möglich. Fehlt ein konsolidiertes Überwachungssystem, gleicht die IT-Sicherheitsinfrastruktur einem Möbelbausatz ohne Anleitung und passende Befestigungselemente – es bleibt unklar, wie alles zusammenpasst. Eine zentrale Sicherheitsplattform, die Asset-Management, Compliance-Überwachung und Monitoring vereint, ist daher essenziell.

Automatisierung nutzen: Sobald ein umfassender Überblick gewonnen wurde, kann Automatisierung dabei helfen, Sicherheitsrichtlinien stets auf dem neuesten Stand zu halten und konsistente Vorgaben in Cloud- und On-Premises-Umgebungen zu gewährleisten. So reduzieren automatisiertes Patch-Management und Compliance-Reporting menschliche Fehler in Sicherheitsprozessen, sodass Risiken frühzeitig erkannt und behoben werden können, bevor sie eskalieren.

Sicherheitsarchitekturen vereinfachen: Überflüssige Sicherheitstools sollten identifiziert und entfernt werden. Ein übermäßig komplexes System erschwert die Arbeit, belastet Budgets und schafft neue Sicherheitslücken. Weniger unnötige Komponenten bedeuten weniger potenzielle Schwachstellen, die überprüft und abgesichert werden müssen.

Abschließend ist die regelmäßige Überprüfung von Sicherheitsrichtlinien und -tools entscheidend, um die Effektivität der Sicherheitsarchitektur zu gewährleisten und zu verhindern, dass diese zu einer unübersichtlichen Struktur wird, die mehr Risiken schafft als sie mindert.

Fazit

Komplexität stellt eine Sicherheitsbedrohung dar und sollte auch als solche behandelt werden. Unternehmen investieren oft schnell und beträchtliche Summen in Firewalls, Bedrohungsanalysen und Compliance-Programme, übersehen dabei aber häufig die versteckten Risiken, die von ihrer eigenen Infrastruktur ausgehen.

Eine unübersichtliche und übermäßig komplexe Sicherheitsarchitektur schafft nur zusätzliche Schwachstellen. Ohne einen proaktiven Ansatz zur Vereinfachung und Absicherung von Netzwerken setzen sich Unternehmen der Gefahr von Sicherheitsverletzungen, Compliance-Fehlern und betrieblichen Ineffizienzen aus.

Ähnlich wie Schatten-IT verwaltet werden muss, sollte auch die Schattenkomplexität ans Licht gebracht werden. Denn auch das, was unsichtbar ist, kann großen Schaden anrichten.