Gajus - Fotolia

F

Schatten-IT: Welche Sicherheitsrisiken birgt ein persönlicher E-Mail-Server?

Eine Schatten-IT unter Verwendung persönlicher Software, eigener E-Mail-Server oder nicht genehmigter Cloud-Anwendungen birgt viele Risiken.

Die US- Präsidentschaftskandidatin Hillary Clinton ist ins Kreuzfeuer der Kritik geraten, da sie für die Ausführung ihres Berufs einen persönlichen E-Mail-Server und kein Regierungskonto benutzt hat. Ich verstehe natürlich, dass das für die Staatssicherheit problematisch ist. Können Unternehmen aus dem Fall Hillary Clinton etwas lernen? Gibt es Kontrollmechanismen für die IT-Sicherheit, mit denen sich die Verwendung persönlicher E-Mail-Server verhindern lässt?

Die meisten Unternehmen leiden unter der sogenannten Schatten-IT. Dabei umgehen einzelne Personen oder sogar ganze Teams die Richtlinien der IT-Abteilung und verwenden nicht autorisierte Cloud-Services oder installieren ihre eigene Software. Im Cloud Adoption Practices & Priorities Survey Report 2014 der Cloud Security Alliance ist zu lesen, dass fast 72 Prozent der IT-Leiter nicht wussten, wie viele Schatten-IT-Apps sich in ihrem Unternehmen befinden.

Der Fall Hillary Clinton und die Benutzung eines persönlichen E-Mail-Servers für die Kommunikation von Regierungsangelegenheiten zeigt sehr gut, welche Probleme die Schatten-IT auslösen kann. Streng geheime Informationen wurden über ein Netzwerk kommuniziert, das sehr wahrscheinlich nicht die Anforderungen für diese Art an Dokumenten erfüllt. Weitere Probleme an dieser Stelle sind Archivierung und E-Discovery (Offenlegungspflicht von Daten). Die meisten Unternehmen müssen die E-Mails für eine bestimmte Zeit archivieren. An dieser Stelle kommt es ein bisschen darauf an, in welchem Umfeld sie tätig sind. Haben Angestellte E-Mails und Dokumente über diverse persönliche E-Mail-Server und -Konten verteilt, ist E-Discovery ein Ding der Unmöglichkeit.

Wollen Firmen eine angemessene Sicherheitsstrategie erstellen, dann müssen sie natürlich über den Speicherort der Daten im Bilde sein. Cloud Computing erschwert diese Aufgabe und Schatten-IT macht sie unmöglich. Wenn Sie herausfinden wollen, welche Cloud-Anwendungen Ihre Angestellten verwenden, erledigen Sie das am besten mit einem automatisierten Tool. Zum Beispiel gibt es Cloud Discovery von CipherCloud. Das Tool sucht nach allen Anwendungen in der Cloud, auf die von einem Unternehmen aus zugegriffen wird und bewertet deren Risiken. Advanced Discovery von Netskope und Cloud App Discovery von Skyfence sind weitere nützliche Tools. Damit erhält ein Administrator den Überblick hinsichtlich der Nutzung von autorisierten und unautorisierten Anwendungen in der Cloud.

Das Aufspüren privater E-Mail-Server ist allerdings nicht so einfach. Aus diesem Grund muss man das Problem anders angehen. Ein hauptsächlicher Grund für die Nutzung von Schatten-IT ist Bequemlichkeit. Deswegen sollten Unternehmen eine Prozedur festlegen, mit der Abteilungen, Teams und Einzelpersonen Anfragen für die Nutzung alternativer Services oder Systeme stellen können. Etablieren Sie die Richtlinien mit Umsicht, damit es nicht wie ein Befehl von oben nach unten aussieht. Verstehen Menschen, warum sie etwas tun sollen, dann ist die Wahrscheinlichkeit der Einhaltung einer Policy eher gegeben. Stellen Sie also die Risiken heraus, die Schatten-IT für die Firma und die Angestellten mit sich bringt. Zu strenge Regeln können sich aber als Bumerang erweisen, weil die Mitarbeiter sie umgehen. Setzen Sie sich deswegen mit jeder Anfrage fair auseinander. Ist sie berechtigt, dann versuchen Sie zumindest einen Kompromiss zu finden.

Weiterhin sollten Unternehmen absolut sichergehen, dass sich die Mitarbeiter über disziplinarische Konsequenzen bei Nichteinhaltung im Klaren sind. In Schulungen zum Thema IT-Sicherheit stellen Sie die Risiken der Schatten-IT klar heraus. Ein persönlicher E-Mail-Server hat keine der Schutzmaßnahmen – auch die physischen sind hier gemeint – eines Unternehmensservers, der sich am eigenen Standort befindet. Ein persönlicher E-Mail-Server verstößt möglicherweise gegen rechtliche Vorgaben und Konformitätsanforderungen.

Haben Sie das Gefühl, dass Ihre Firma durch Schatten-IT bedroht ist, dann bieten Sie den Angestellten eine Amnestie an. Somit kann sich jeder melden und muss sich nicht vor Konsequenzen fürchten. Auf diese Weise bekommen Sie die Schatten-IT hoffentlich unter Kontrolle und können Maßnahmen einleiten, damit die Sache nicht wieder ausufert.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close