In einer idealen Welt übernehmen IT-Profis das Management der gesamten Unternehmens-IT. Sie stellen allen Mitarbeitenden die nötigen Geräte und Anwendungen bereit, definieren, etablieren und betreiben die zugrundeliegende Server-Infrastruktur. Die User wiederum bestellen über klar definierte Prozesse zentral bei der IT ihre benötigte Hardware, Anwendungen und Cloud-Dienste. Führungskräfte prüfen und autorisieren, die IT-Abteilung ordert, installiert und lizensiert, kontrolliert und sichert ab. In der realen Welt findet dies durchaus so statt. Aber nicht ausschließlich. Es existiert noch ein Paralleluniversum: Über die Hälfte der IT-Verantwortlichen gibt zu, einen Großteil der von Anwendern genutzten Apps nicht zu kennen! [i]

Zunahme der Dark Endpoints

Die Zahl dieser Dark Endpoints, also der Geräte und Anwendungen, die ohne Kenntnis der IT betrieben werden, hat stark zugenommen. Früher betraf das Phänomen eher eine vereinzelte Workstation oder den Entwicklungsserver in einer Fachabteilung. Heute sind es eine ganze Reihe verschiedener Systeme – und vor allem nicht nur Hardware. Zu den möglichen Dark Endpoints zählen insbesondere private Cloud Storages, Applikationen im Betriebsmodell Software als a Service, Portable Apps und Peer-to-Peer-Anwendungen. Sie alle können ohne Einwilligung und Kenntnis der IT betrieben werden.

Warum entgleitet die IT der IT?

Zu den grundsätzlichen Ursachen gehören sowohl technische als auch organisatorische Faktoren. Mit dem Siegeszug des PCs erhielten User Zugriff auf eine relativ einfach zu managende Ressource. Und je einfacher die Geräte in der Bedienung wurden, umso leichter fiel es den Usern, selbst Hand anzulegen, Software zu installieren oder Daten von einem Gerät auf ein anderes zu transferieren. All dies zunehmend außerhalb des Einflussbereichs der IT.

Überall da, wo Mitarbeiter von der IT nicht in der gewünschten Weise bedient wurden und werden, entwickelt sich fruchtbarer Nährboden für Dark Endpoints. Treiber dieser Entwicklung sind daher insbesondere komplexe Bestellprozesse, lange Reaktionszeiten und reduziertes IT-Budget. Anwender setzen ihre persönlichen IT-Wünsche und Anforderungen dann sehr kreativ selbst in die Tat um. Und je besser ihre Fachabteilung finanziell ausgestattet ist, umso mehr Autonomie gewinnt sie – auch was die IT-Ausstattung angeht. Nach aktuellen Schätzungen nutzen zwischen 20 und mehr als 50 Prozent der Mitarbeiterinnen und Mitarbeiter Soft-, Hardware und Cloud-Dienste ohne Wissen der IT-Abteilung![ii]

Selbst ist der User: Aktuelle Trends fördern den Wildwuchs

Cloud-Services, Homeoffice und „bring your own device“ (BYOD) haben die Zunahme an Dark Endpoints in Unternehmen weiter befeuert. Die Gründe sind vielfältig:

• Einfacher Zugang zu Cloud-Diensten: Cloud-Services wie Asana oder Trello als Software als a Service (SaaS) oder Fileserver wie Dropbox sind leicht zugänglich und schnell einsatzbereit. Mitarbeitende können diese Dienste eigenständig nutzen – ohne vorab die IT-Abteilung einzubeziehen.
• Fülle an Mobile Apps: Smartphone und Tablet sind Standard-Arbeitsmittel. Und Apps für mobile Endgeräte gibt es für alles und jedes. Ist ein Device nicht vom Unternehmen entsprechend gesichert und gesperrt, kann dessen Besitzer unkontrolliert herunterladen und installieren, was er möchte.
• Schneller Download von Portable Apps: Über Portable-App-Plattformen lässt sich mit wenigen Klicks portable Software auf dem Rechner ausführen – ohne Admin-Berechtigung und oft kostenlos.
• Veränderte Arbeitsweisen: Remote-Working und BYOD sind an der Tagesordnung. Das macht es umso schwerer zu kontrollieren, welche Geräte und Anwendungen User für ihre berufliche Tätigkeit einsetzen.

Vor allem nicht genehmigte und von Usern eigenmächtig installierte Software ist eine große Gefahr, die potenzielle Schwachstellen birgt. Von Hackern ausgenutzt, folgen Cyberattacken mit unkontrolliertem Datenabfluss, Spionage oder Sabotage.

Wenn User-Komfort zum Sicherheitsrisiko wird

Nicht autorisierte Hardware per se ist kein Sicherheitsrisiko. Sie wird es aber umgehend, wenn darauf keine aktuelle Antivirensoftware oder Firewall läuft, Betriebssystem und Anwendungen nicht aktuell sind, Patches fehlen oder Anwender und Anwenderinnen Cloud Storages, Peer-to-Peer- und Portable Apps ungemanagt nutzen.

Schon autorisierte Software sicher zu managen ist eine Herausforderung. Durchschnittlich 68 Common Vulnerabilities and Exposures täglich im Jahr 2022 sprechen eine deutliche Sprache.[iii] Ganz zu schweigen von Dark Endpoints im Software-Bereich. Häufig übersehen werden vor allem die Portable Apps, die bei Usern sehr populär sind. Aus nachvollziehbarem Grund: Sie lassen sich sofort auf verschiedenen Systemen ausführen. Der Anwender kann den Speicherort der portablen Software frei wählen, die vorausgesetzten Systembibliotheken sind minimiert und spezielle Nutzerrechte wie Admin oder Root nicht notwendig. Durch die Verwendung relativer Pfade oder einer eigenen virtuellen Umgebung, ist portable Software unabhängig von einem festen Installationsort – und deren Nutzung somit durch die zentrale Unternehmens-IT kaum zu verhindern. Installiert ein User Portable Apps, sind Unternehmen deshalb noch anfälliger für:

• Malware-Infektionen: Portable Apps stammen nicht immer von offiziellen Quellen und durchlaufen keine traditionelle Installationsprüfung durch die IT. Damit besteht bereits bei der „Installation“ ein erhöhtes Risiko, dass integrierte Malware mitkommt.
• Sicherheitslücken: Portable Software lässt sich nicht zentral administrieren oder aktualisieren und entgeht somit regelmäßigen Softwareaktualisierungen und Patches.

Wenn Daten unbemerkt in fremde Hände gelangen

Der Verlust von Daten schlägt in unterschiedlichen Gestalten zu. Hardware, von deren Existenz die IT keine Kenntnis hat, wird weder gewartet noch gesichert. Stürzt die Festplatte ab, sind die Daten darauf meistens unwiederbringlich verloren – für Unternehmen wie Mitarbeitende mehr als ärgerlich. Denn die Wiederbeschaffung oder erneute Erstellung von Daten und Dokumenten ist äußerst aufwändig.

Noch kritischer für das Unternehmen sind aber Daten, die unbeabsichtigt oder unbemerkt aus dem Unternehmen abfließen. Gerade deshalb haben inzwischen die meisten Unternehmen den Einsatz von USB-Sticks verboten und Peer-to-Peer-Anwendungen mit Hilfe entsprechender Spezialsoftware unterbunden.

Jedoch: Portable Apps umgehen diese technischen Schutzmaßnahmen und lassen den Datenaustausch über Peer-to-Peer und einen Standard-Internetport weiterhin zu. Dies ermöglicht den unkontrollierten Datenaustausch mit Rechnern außerhalb des Unternehmens, vorbei an Proxy- und Mailfiltern. Und Sicherheitslücken in nicht gemanagten Apps erhöhen das Risiko, Opfer von Ransomware zu werden. Mit den bekannten Auswirkungen verschlüsselter oder gesperrter Daten.

In jedem Fall drohen Unternehmen bei Datenverlust:

• Finanzielle Einbußen: Daten gehören zum Kapital eines Unternehmens. Die Kosten für deren Wiederherstellung, potenzielle Bußgelder oder rechtliche Schritte, wenn vertrauliche Informationen in falsche Hände gelangt sind, kommen Unternehmen teuer zu stehen.
• Reputationsverlust: Datenverlust kann das Vertrauen von Kunden und Geschäftspartnern nachhaltig beeinträchtigen. Denn Grundvoraussetzung für jede Geschäftsbeziehung ist der sensible Umgang mit Daten.
• Betriebsunterbrechungen: Gehen Transaktions- und Auftragsdaten verloren, hat das nicht nur für E-Commerce-Unternehmen oder Finanzdienstleister negative Auswirkungen. Fehlen in der Produktion notwendige Anweisungen, Parameter und Überwachungsdaten, steht unter Umständen alles still.

Wenn Kosten plötzlich explodieren

Das Abgreifen von Passwörtern, Phishing oder ein Datenverlust durch Schadsoftware wird nicht nur immer häufiger, so eine Studie von Verizon, es wird auch immer teurer. Im Vergleich zu einer Untersuchung von vor 2 Jahren haben sich die durchschnittlichen Kosten eines Datendiebstahls von 11.500 US-Dollar auf 26.000 US-Dollar verdoppelt. Die Kosten, so der Verizon Bericht von 2023, können sich allerdings auf bis zu 2,25 Millionen US-Dollar aufsummieren.[iv]

Unternehmen, die eine Cyberversicherung abgeschlossen haben, wähnen sich hier in Sicherheit. Denn diese tritt bei Schäden durch Internetkriminalität, Datendiebstahl und Cyberangriffe ein. Voraussetzung: Ein Unternehmen managt seine gesamte IT-Infrastruktur nachweislich gewissenhaft. Dazu gehören unter anderem Virenschutz, Firewalls, regelmäßige Datensicherung und Backups sowie aktuelle Systeme. Unmöglich zu erfüllen, wenn Dark Endpoints im Unternehmen existieren. Im Schadensfall verweigert die Versicherung dann die Zahlung. Das Unternehmen bleibt auf seinen eigenen Kosten sitzen, muss unter Umständen Kunden und Lieferanten Schadensersatz leisten. Die somit umsonst gezahlten Versicherungsprämien sind da nur der geringste Verlust.

Risiko und Kostenfalle Nummer 2: Verstöße gegen Lizenzvereinbarungen. Einige Portable Apps erfordern Lizenzen, wenn sie nicht privat, sondern beruflich genutzt werden. Gleiches gilt für Software as a Service. Durch Anwender, die dies nicht berücksichtigen, begeht das Unternehmen in beiden Fällen einen Lizenzverstoß. Was zu empfindlichen Strafzahlungen führen kann. In einem von der BSA im Jahr 2016 öffentlich gemachten Fall hatte das Unternehmen virtuelle Rechner im Wert von 200.000 Euro nicht korrekt lizenziert. In einem außergerichtlichen Vergleich musste das Unternehmen zusätzlich zur Nachlizenzierung 150.000 Euro Schadensersatz zahlen.[v]

Offensiv statt defensiv

Einige Unternehmen reagierten aufgrund dieser schwerwiegenden Folgen in der Vergangenheit mit weitreichenden Verboten. Inzwischen hat sich jedoch die Erkenntnis durchgesetzt: Abgesehen von technischen Herausforderungen wirken umfassende Verbote kontraproduktiv auf die Effizienz der Fachbereiche und die Motivation der Mitarbeitenden. Es geht stattdessen darum, sämtliche Endpoints aktiv zu managen – ganz unabhängig davon, wer sie anschafft und ins Netz hängt. Der IT-Abteilung kommt damit eine andere Rolle zu: Sie ist nicht mehr Gatekeeper der Systeme, sondern Hüter der IT Governance, als Partner auf Augenhöhe.

Mit einem Maßnahmenkatalog in 4 Schritten lässt sich ein grundlegender Schutzschirm aufspannen, der die Risiken von Datenverlust und steigenden Kosten durch Dark Endpoints, und speziell durch Portable Apps, reduziert. Er umfasst Inventarisierung, Softwaremanagement, Patchmanagement und kontinuierliches Monitoring.

Software-Werkzeuge zur Inventarisierung ermöglichen heute eine vollständige automatisierte Erkennung und Erfassung sämtlicher Hard- und Software inklusive aller Peripheriegeräte. Diese Tools arbeiten basierend auf Daten aus dem Active Directory, über IP-Range-Scans oder DHCP-Scope- und Lease-Informationen. Doch erst durch den Abgleich mit einem umfassenden Software-Katalog lassen sich erlaubte Software von unerlaubter Software trennen und Portable Apps zuverlässig als solche identifizieren. Die automatisierte De-Installation bzw. Entfernung der Portable Software ist dann der nächste logische Schritt.

Software-Erkennung bietet noch einen weiteren Vorteil: Sie ist die Basis zum Standardisieren von Arbeitsplätzen. Ist erst einmal bekannt, wie viele unterschiedliche Apps für denselben Zweck im Unternehmen genutzt werden, lassen sich diese auf ein Minimum reduzieren. Damit verringert sich der operative Aufwand für das Patch- und Softwaremanagement. Ein klarer Vorteil für IT-Fachabteilung und Anwender. Denn ein reibungsloser, schneller Service bietet weniger Anlass für eigenmächtige Installationen durch Mitarbeitende.

Noch effizienter werden Software- und Patchmanagement, wenn diese Prozesse zentral und automatisiert aufgesetzt werden. Denn dann lassen sich komplette Server- und Desktop-Betriebssysteme regelbasiert und automatisiert selbst auf unterschiedlichen Clients installieren. Was die Reaktionszeit zwischen Veröffentlichung eines Patches und seinem vollständigen Rollout minimiert. Und auch Aufgaben rund um die Bereitstellung von Software und das Einrichten von Geräten können organisiert und automatisiert ausgeführt werden. Das reduziert die Zeit von der Bestellung bis zu deren Bereitstellung. Auch hier gilt: Je einfacher der Prozess für den Anwender, desto geringer das Risiko, dass Mitarbeitenden selbst nach einer schnellen Lösung suchen.

Die Ergebnisse einer kontinuierlichen Inventarisierung bieten die Basis für die tagesaktuelle Analyse von Patch- und Versionsständen. Tools für das Software- und Patchmanagement gleichen Apps und Versionsstände täglich mit einer Sicherheitsdatenbank ab und zeigen mögliche Risiken auf. Solche Analysen schließen die von der IT gemanagten Apps und Betriebssysteme ebenso ein wie Schatten-IT inklusive portabler Anwendungen oder abgekündigte Apps. Notwendige Patches und Updates lassen sich anschließend sofort automatisiert verteilen und verdächtige Software direkt entfernen.

Das kontinuierliche Monitoring der IT-Infrastruktur ist der letzte Schritt. Ideal ist ein Monitoring-System mit aussagekräftigen, übersichtlichen Dashboards, die rechtzeitig vor Gefahren für die IT-Sicherheit warnen und so dazu beitragen, Anwendungen unterbrechungsfrei am Laufen zu halten und Schwachstellen rechtzeitig aufzudecken. Das Monitoring muss aber sämtliche Apps, Free- und Shareware Software sowie nicht genehmigte Devices oder Programme, die nicht den Firmen-Richtlinien entsprechen, einschließen. Zudem sollte es aufzeigen, wo sich Gefahren für Lizenzverstöße verbergen. Positiver Nebeneffekt: Ein solches Monitoring liefert auch Hinweise, wie sich Lizenz- und Wartungskosten einsparen lassen.

Fazit

Mit steigenden Anforderungen, längeren Genehmigungs- und Bereitstellungszeiten und einer Fülle frei verfügbarer Anwendungen auf dem Markt, werden Mitarbeitende auch weiterhin nicht genehmigte Tools eigenmächtig einsetzen. Wenn Unternehmen nicht Prozesse etablieren, um die IT-Bereitstellung automatisiert zu beschleunigen und gleichzeitig Kontrollmechanismen einführen.

Dark Endpoints und deren Risiken lassen sich nicht vermeiden. Sie lassen sich aber in Schach halten, wenn die IT-Infrastruktur kontinuierlich geprüft wird: vollumfänglich, lückenlos und tagesaktuell. Dies gilt für Hardware ebenso wie für Software und Cloud-Dienste. Durch das Zusammenspiel aus regelmäßiger Inventarisierung, einem weitestgehend automatisierten Software- und Patchmanagement und aktivem Monitoring, lässt sich das Risiko von Cyberattacken, Lizenzverstößen und daraus resultierenden Kosten deutlich mindern.

[i] https://www.security-insider.de/gefahren-von-schatten-it-werden-unterschaetzt-a-2bd257afa3e87261ebabb3acc0bdc1c3/

[ii] https://quandarycg.com/shadow-IT-statistics/

https://pr-com.de/company_news/studie-von-forcepoint-massive-schatten-it-in-deutschen-homeoffices-gefaehrdet-die-unternehmens-it/

[iii] https://www.statista.com/statistics/500755/worldwide-common-vulnerabilities-and-exposures/

[iv] https://www.verizon.com/about/news/2023-data-breach-investigations-report

[v] https://www.itespresso.de/2016/01/26/admin-erhaelt-10-000-euro-fuer-hinweise-auf-lizenzvergehen/