Kurz vor Weihnachten wurde JPMorgan in einem einzigartigen Fall zu einer Geldstrafe von 200 Millionen Dollar verurteilt, weil Angestellte nicht genehmigte Anwendungen für die Kommunikation über Finanzstrategien genutzt hatten. Von Insiderhandel, ungedecktem Leerverkauf oder sonstiger Böswilligkeit war keine Rede. Es ging nur darum, dass die Mitarbeiter die Vorschriften mit Hilfe von Schatten-IT umgingen. Nicht, weil sie etwas verschleiern oder verbergen wollten, sondern einfach, weil es ein bequemes Werkzeug war, das sie anderen sanktionierten Produkten vorzogen (von denen JPMorgan sicherlich einige hat).
Die Sichtbarkeit unbekannter und nicht sanktionierter Anwendungen wird schon lange von den Aufsichtsbehörden gefordert und auch vom Center for Internet Security Community empfohlen. Dennoch scheint es, dass neue und bessere Ansätze gefragt sind. Gartner hat External Attack Surface Management, Digital Supply Chain Risk und Identity Threat Detection als die drei wichtigsten Trends für das Jahr 2022 identifiziert, die alle eng mit der Schatten-IT verbunden sind.
„Schatten-IDs“, d.h. nicht verwaltete Mitarbeiteridentitäten und -konten in Diensten von Drittanbietern, werden oft mit einer einfachen Registrierung per E-Mail und Passwort erstellt. CASBs und SSO-Lösungen für Unternehmen sind auf einige wenige genehmigte Anwendungen beschränkt und werden auch auf den meisten Websites und Diensten nicht weit verbreitet. Das bedeutet, dass ein großer Teil der externen Oberfläche einer Organisation – ebenso wie ihre Benutzeridentitäten – völlig unsichtbar sein kann.
Vor allem aber bleiben diese Schatten-IDs auch nach dem Ausscheiden von Mitarbeitern aus dem Unternehmen unkontrolliert. Dies kann zu einem unbefugten Zugriff auf sensible Kundendaten oder andere Cloud-basierte Dienste führen. Von Mitarbeitern erstellte, aber geschäftsbezogene Identitäten sind für die meisten IDM/IAM-Tools ebenfalls unsichtbar. Der Friedhof der vergessenen Konten ehemaliger Mitarbeiter oder nicht mehr genutzter Anwendungen wächst jeden Tag ins Unendliche.
Und manchmal erheben sich die Toten aus ihren Gräbern, wie im Fall der Joint Commission On Public Ethics, deren Altsystem dieses Jahr angegriffen wurde, obwohl es seit 2015 nicht mehr in Betrieb ist. Die Joint Commission On Public Ethics hat ihre alten Nutzer/innen zu Recht benachrichtigt, denn sie wissen, dass die Wiederverwendung von Passwörtern sich über mehrere Jahre hinziehen kann. Wenn also Schatten-IDs zurückgelassen werden, stellen sie ein ständiges Risiko dar, das von niemandem gesehen und verwaltet wird.
Wie kann man über Schatten-IT und Schatten-IDs berichten?
Leider verfehlt die Netzwerküberwachung ihr Ziel, da diese Tools darauf ausgelegt sind, bösartigen Datenverkehr zu filtern, vor Datenlecks zu schützen und kategoriebasierte Regeln für das Surfen zu erstellen. Sie sind jedoch völlig blind für tatsächliche Anmeldungen und können daher nicht zwischen Browsing, privaten Konten und Anmeldungen für Unternehmensanwendungen (oder Phishing-Seiten) unterscheiden. Um Schatten-IDs und Schatten-IT aufzuspüren und zu verwalten, muss eine Überwachung auf Anwendungs- und Kontoebene eingerichtet werden, die eine vertrauenswürdige, globale Wahrheitsquelle für das gesamte Unternehmen schafft.
Durch die Überwachung der geschäftsrelevanten Nutzung von Anmeldeinformationen auf jeder beliebigen Website lassen sich diese Assets aufdecken und eine einheitliche Sicht auf nicht genehmigte oder unerwünschte Anwendungen gewinnen. Inventare von Anwendungen und Konten geben Aufschluss über den tatsächlichen Umfang der im Unternehmen genutzten externen Dienste und Identitäten. Außerdem ermöglichen sie die Überprüfung von Drittanbietern hinsichtlich ihrer Richtlinien, Sicherheits- und Authentifizierungsmaßnahmen und der Art und Weise, wie sie deine Daten verwalten und pflegen.
Es ist unmöglich, all die Viertelmillionen neuer Domains, die jeden Tag weltweit registriert werden, richtig zu kategorisieren, daher ist die Überwachung der Domains, die auf unseren Endpunkten auftauchen, der richtige Ansatz. Als Nebeneffekt gibt die Aufdeckung von Logins auf verdächtigen oder neuen Apps Aufschluss über erfolgreiche Phishing-Angriffe, die am Gateway oder auf dem Client nicht verhindert werden konnten und bei denen die Beschäftigten wichtige Anmeldedaten preisgegeben haben.
Scirge ist ein browserbasiertes Tool, das einen vollständigen Überblick über Schatten-IDs und Schatten-IT, Passworthygiene für Webkonten von Unternehmen und Drittanbietern und sogar Mitarbeiterschulung und -aufklärung in Echtzeit bietet. Außerdem gibt es eine kostenlose Version zur Überprüfung deines Cloud-Footprints, mit der du dir sofort einen Überblick über das Ausmaß der Schatten-IT unter deinen Beschäftigten verschaffen kannst.