Fachabteilungen und Mitarbeiter in Unternehmen nutzen immer häufiger Cloud-Anwendungen oder Geräte ohne Wissen der IT-Abteilung. Schatten-IT ist heute allgegenwärtig und stellt ein erhebliches Sicherheitsrisiko für Unternehmen dar. Doch mithilfe geeigneter Netzwerktechnologien kann man dadurch bedingte Gefahren in den Griff bekommen.

Einige Fachabteilungen kaufen auf eigene Faust Softwarepakete oder Smartphones und Tablets für ihre Mitarbeiter. Gleichzeitig nutzen Arbeitnehmer Cloud-Anwendungen, die sie aus ihrem Privatleben kennen, am Arbeitsplatz. Doch eines ist allen Szenarien gemeinsam: Sie führen ungeprüfte und unautorisierte Lösungen in das Unternehmen ein, die auf sensible persönliche und geschäftliche Daten zugreifen. Das Ergebnis: die gefürchtete „Schatten-IT“.

Entsprechend sind seit jeher Sicherheitsprozesse einzusetzen, die eine ausreichende Kontrolle über die Aktivitäten im Unternehmensnetzwerk ermöglichen. Doch die konkreten Anforderungen verändern sich dabei und eine zuverlässige Absicherung wird im Zeitalter von Cloud, mobilen Anwendungen und dem Internet der Dinge immer schwieriger. Dies belegt die wachsende Zahl erfolgreicher Malware-Infektionen und Sicherheitsvorfälle: Kriminelle nutzen die zunehmende Angriffsfläche aus, um in das Unternehmensnetzwerk einzudringen. So sind in den letzten beiden Jahren gemäß einer aktuellen IDC-Studie bereits zwei Drittel aller deutschen Unternehmen Ziel eines erfolgreichen Cyberangriffs geworden. Laut BKA stieg 2017 der Schaden durch Cyberkriminalität in Deutschland auf 70 Millionen Euro – 20 Millionen mehr als im Vorjahr.

Aufgrund der zunehmenden Anzahl und Vielfalt von Geräten und Anwendungen, die in den Bereich Schatten-IT fallen, müssen Unternehmen das Netzwerk selbst in ihre Sicherheitsstrategie einbinden. Das bedeutet: Identitäts- und Sicherheitsrichtlinien sind konsequent in der gesamten Netzwerkstruktur anzuwenden. Damit werden Schatten-IT-Geräte und -Anwendungen zu einem integrierten und geregelten Bestandteil der Infrastruktur und bleiben nicht mehr außen vor.

Wenn sich also beispielsweise die Finanzabteilung entscheidet, iPads zu kaufen und zu verwenden, um auf SaaS-Finanzanwendungen zuzugreifen, erhalten die Tablets ausschließlich Zugriff auf die Apps, die als Teil des Netzwerks „Finance“ gekennzeichnet sind. Entsprechend können die Microsoft Surface Tablets der Personalabteilung anhand der ihnen zugewiesenen Richtlinien nur Daten von HR-Anwendungen senden und empfangen, aber nicht von den Finanz-Apps. Diese Richtlinien können intelligente Netzwerke weitgehend automatisch erstellen und durchsetzen, wenn die IT-Organisation entsprechende allgemeine Vorgaben festgelegt hat.

Solche Richtlinien sind sozusagen in Code gegossene Absichten, um die Zugriffsrechte für Geräte und die zugehörigen Anwendungen automatisch zu verwalten und zu konfigurieren. Durch die Zuweisung von Richtlinien auf einzelne Geräte oder Gerätegruppen passt sich das Netzwerk automatisch an Änderungen wie Standort, Nutzer und Anzeichen eines Sicherheitsvorfalls an.

Netzwerkbasierte Sicherheitslösungen erlauben es, die Schatten-IT in geregelte Bahnen zu lenken und dabei den nötigen Überblick über die Sicherheitslage zu behalten. Bild: Cisco

Die Kontrolle der Schatten-IT beginnt dabei mit der Lokalisierung und Identifizierung von Geräten und Applikationen bei ihrer Verbindung mit dem Netzwerk. Eine entsprechende Lösung scannt das Netzwerk und katalogisiert an einer zentralen Stelle alle Geräte oder Dienste, die in den Segmenten kabelloses und kabelgebundenes Netzwerk aktiv sind. Sie weist ungeprüften Geräten automatisch Richtlinien zu, die deren Zugangsrechte und ihre Netzanbindung einschränken, bis ihre Legitimität überprüft ist und geeignete Sicherheitsrichtlinien Anwendung finden. Dies verhindert, dass Geräte ohne Kenntnis der IT auf sensible Datenquellen zugreifen.

Im nächsten Schritt kommt das Konzept der Mikrosegmentierung ins Spiel. Dessen Ziel ist es, dass die zugewiesenen Richtlinien dem jeweiligen Gerät über das gesamte Netzwerk folgen – also den Bereichen Campus-Netzwerk, WLAN, WAN und Mobilfunk. Dabei werden die Richtlinien entsprechend den definierten Absichten virtuell segmentiert. So bleibt die Sicherheit für jedes Gerät und jeden Netzwerkbereich permanent gewährleistet – unabhängig davon, wo sich das Gerät befindet.

So können zum Beispiel die von der Finanzabteilung genutzten Tablets überall in einer Campus-Umgebung dem WLAN beitreten. Ihre Zugriffsrechte bleiben aber auf bestimmte Datenquellen beschränkt. Die an das jeweilige Gerät in einem virtuellen Segment angehängten Richtlinien können auch eine höhere Service-Qualität mit Priorität für den Datenverkehr zu den SaaS-Finanzanwendungen gewährleisten, im Vergleich zu einem niedrigeren Service-Level für das Streamen von Videos. Mit dem Internet verbundene Geräte werden ständig auf Malware überwacht. Dabei wird ein infiziertes Gerät automatisch vom Rest des Netzwerks isoliert. Diese Fähigkeit ist besonders wichtig bei Schatten-IT-Geräten, die möglicherweise nicht über aktuelle Sicherheits-Patches verfügen.

Virtuelle Netzwerksegmente

Inzwischen gibt es mehrere Technologien zur Verwaltung der virtuellen, softwaredefinierten Segmentierung, die integriert in einer Gesamtlösung funktionieren. So lassen sich einzelne oder mehrere Geräte zur Erstellung softwaredefinierter Segmente automatisiert mit Sicherheitsrichtlinien versehen (Security Tagging). Die Schatten-IT-Geräte einer Abteilung lassen sich als eine Gruppe kennzeichnen. Das Netzwerk wendet dann Sicherheitsrichtlinien konsistent an, unabhängig davon, wie das Gerät angebunden ist.

Auch bei der Compliance spielt das Security Tagging eine entscheidende Rolle. Es stellt etwa sicher, dass Daten von Zahlungskarten nur mit bestimmten Gerätegruppen in Berührung kommen. Eine weitere Komponente teilt die Geräte in softwaredefinierte Segmente ein, überwacht ihren Zustand, um Infektionen mit Schadprogrammen zu erkennen, und isoliert Geräte und Verbindungen.

Eine weitaus häufigere Form von Schatten-IT im Vergleich zu unautorisierter Hardware oder Software bilden inzwischen Cloud-Services, insbesondere SaaS-Angebote. Aktuelle Umfragen zeigen, dass Unternehmen im Durchschnitt mehr als 1.400 verschiedene Cloud-Services nutzen – die meisten davon ohne Wissen oder Erlaubnis der IT-Abteilung.

Schatten-IT in der Multi-Cloud

Der Public- und Hybrid-Cloud-Einsatz ist ein weiterer Grund, die Schatten-IT in den Griff zu bekommen. Denn obwohl einige Anwendungen harmlos sind, beinhalten sie andere Funktionen wie Filesharing und Storage oder Collaboration. Diese können große Risiken für ein Unternehmen und seine sensiblen Daten darstellen. So öffnet fehlender Einblick in die Cloud-Service-Nutzung eine große Sicherheitslücke.

Will eine Fachabteilung zum Beispiel eine Filesharing-Plattform einsetzen, eine SaaS-CRM-Anwendung abonnieren oder Anwendungen auf AWS ausführen, geschieht dies nicht aus böser Absicht, sondern um die Produktivität und Benutzerfreundlichkeit zu verbessern. Auch die Mitarbeiter selbst sind es aus ihrem Privatleben gewohnt, schnell und einfach Tools zu nutzen, mit denen sie effektiver Aufgaben erledigen oder mit Kollegen und Partnern interagieren können. Auf diese Weise kommen aber natürlich auch sensible Unternehmensdaten mit Clouds von Drittanbietern in Kontakt, deren Sicherheitsmaßnahmen außerhalb der Kontrolle der IT-Abteilung liegen. Daher muss ein intelligentes Netzwerk auch in diesen Fällen Sicherheits- und Zugriffsrichtlinien anwenden und durchsetzen können. Nur durch eine solche Kontrolle lässt sich die Sicherheit und Vertraulichkeit von Daten innerhalb und außerhalb des Unternehmens gewährleisten.

Softwaregesteuerte Segmentierung mittels virtueller Netzwerke ermöglicht die granulare Kontrolle über den zulässigen Datenverkehr im Netz. Bild: Cisco

Für Unternehmen mit Multi-Clouds – ob offiziell genehmigt oder nicht – bietet eine offene Cloud-Management-Plattform eine detaillierte Kontrolle darüber, wie sich Geräte mit Cloud-Angeboten verbinden. Zudem definiert sie, wie sich Daten zwischen Rechenzentren, Public und Private Clouds sowie SaaS-Plattformen übertragen lassen. Die Zuweisung von Richtlinien zur Traffic-Segmentierung für Public und Private Clouds schafft eine umfassende Trennung der Daten auf der Basis geräte- und anwendungsorientierter Topologien. Dies ermöglicht es, die gewünschte Service-Qualität und eine optimale Nutzung zu gewährleisten – sowohl für die erlaubten Technologien als auch für die Schatten-IT.

So identifizieren beispielsweise DPI-Systeme (Deep Packet Inspection) wie eine NBAR-Lösung (Network-Based Application Recognition) Cloud-Apps, die vergleichbar sind zu Microsoft Office 365 etc. Sie sammeln Anwenderdaten zu Link Performance und Applikationsnutzung und führen sie mit Hilfe der Netflow-Technologie den entsprechenden Cloud-Controllern zu. Der schnellste Pfad zu den Apps wird dabei durch Parameter wie Zeit, Paketverlust und Laufzeitschwankung der übertragenden Daten ermittelt.

Fazit

Unternehmen werden immer stärker mit Schatten-IT konfrontiert. Denn Cloud-Apps, Mobilgeräte und kostenlose Dienste sind allgegenwärtig. Statt solche ungeprüften Geräte und Anwendungen zu verbieten, sollte die IT-Abteilung sie in das Sicherheitskonzept integrieren und netzwerkbasiert kontrollieren.

Falko Binder ist Head of Enterprise Networking Architecture Germany bei Cisco, www.cisco.de.