Wie erkennt man Shadow IT?

Statt zu versuchen, Shadow IT vollständig zu verbieten, beginnt die Rückgewinnung der Kontrolle mit einem ersten Schritt: dem Erkennen inoffizieller Anwendungen, die im Unternehmen ohne Zustimmung der IT-Abteilung genutzt werden. Dieser Ansatz verbessert die Governance und hilft, potenzielle Probleme frühzeitig zu antizipieren.

Es gibt unterschiedliche Methoden und Techniken, um die Nutzung nicht autorisierter Anwendungen zu erkennen. Welche am besten passt, hängt von der Unternehmensgröße, der Branche und der Sensibilität der verarbeiteten Informationen ab.

In diesem Artikel stellen wir diese Methoden vor, erklären ihre Funktionsweise und diskutieren Vor- und Nachteile, damit Sie die geeignete Option für Ihr Unternehmen auswählen können.

Netzwerkanalyse

Ein technischer Ansatz besteht darin, Netzwerkflüsse – insbesondere HTTP- und DNS-Flüsse – sorgfältig zu analysieren, um die Nutzung externer Web-Anwendungen (SaaS) zu identifizieren.

Diese Analyse ist in bestimmten Plattformen nativ verfügbar:

• Next-Generation Firewalls (NGFW) führen solche Analysen durch und erstellen entsprechende Reports. Hersteller wie Palo Alto und Fortinet haben sich in diesem Bereich durch Performance und Expertise hervorgetan. In Zeiten von Remote Work ist jedoch wichtig zu berücksichtigen, dass der gesamte Traffic nicht zwingend durch die Unternehmens-Firewall läuft.

• Proxies oder CASB (Cloud Access Security Broker) sind speziell für diese Aufgabe gedacht. CASBs bieten neben der Analyse der SaaS-Nutzung oft auch Funktionen, um Zugriffe abzusichern – ein wichtiger Baustein für den Schutz sensibler Daten.

Die Netzwerkanalyse hat dennoch Grenzen: Anwendungen, die über VPNs oder Proxy-Verbindungen genutzt werden, können schwer zu erkennen sein. Ebenso ist es schwierig, Anwendungen zu erfassen, die auf privaten Geräten oder außerhalb des Unternehmensnetzwerks verwendet werden.

SSO-Portal

Immer mehr SaaS-Anwendungen bieten Registrierung und Login über einen Identity Provider an („Sign in with Google/Microsoft“). Wenn diese Identity Provider mit einer Unternehmens-E-Mail-Adresse verknüpft sind, lässt sich häufig die Quell-Anwendung in den „Enterprise Applications“ erkennen. Das ist eine weitere, wertvolle Methode, um SaaS-Anwendungen zu identifizieren.

Auch diese Methode hat Grenzen: Sie erfasst nur Registrierungen, die über SSO erfolgen. Meldet sich ein Nutzer auf anderem Wege an, wird die Anwendung durch diese Methode nicht entdeckt. Trotz dieser Einschränkung ist sie ein hilfreiches Werkzeug im Erkennungs-Arsenal.

Inventar installierter Programme

Workstation-Management-Plattformen ermöglichen oft ein detailliertes Inventar der auf einem Rechner installierten Software. Damit lässt sich die Präsenz bestimmter Programme erkennen – und indirekt die Nutzung von SaaS-Anwendungen, die native Clients anbieten, z. B. Notion oder Slack.

Das ist besonders hilfreich, um unterschiedliche Dienste aufzuspüren, zum Beispiel:

• Dateifreigabe-Dienste, die in kollaborativen Umgebungen zentral sind (z. B. Google Drive, Dropbox).
• Alternative Videokonferenz- und Messaging-Anwendungen für effiziente Kommunikation (z. B. Discord, WhatsApp).
• Produktivitäts-Tools, die Mitarbeitende bei Organisation und Effizienz unterstützen (Kalender, To-do-Listen, Notizen u. a.).

Wenn eine solche Plattform im Unternehmen im Einsatz ist, können auch Endpoint Detection and Response Systeme (EDR) hilfreich sein: Sie erkennen nicht nur Bedrohungen und reagieren darauf, sondern können ebenfalls installierte Anwendungen auf Endgeräten inventarisieren.

Beachten Sie: Ein Software-Inventar kann als invasiv wahrgenommen werden. Es erfordert oft die Installation eines Agents auf Arbeitsplätzen, was Fragen zum Datenschutz aufwirft. Transparente Kommunikation und die Einhaltung geltender Datenschutzvorgaben sind daher entscheidend.

Analyse von Kreditkartentransaktionen

Die Nutzung einer SaaS-Anwendung bedeutet häufig ein Abonnement. Operative Teams, die autonom eine SaaS-Lösung buchen, verwenden dafür oft eine Firmenkreditkarte (SEPA-Lastschriften bedeuten meist mehr Verpflichtung).

Diese Transaktionen lassen sich in Kontoauszügen identifizieren. Es gibt Plattformen, die diese Datenquelle nutzen, um SaaS-Nutzung zu erkennen. Solche Lösungen – häufig als SMP (SaaS Management Platform) bezeichnet – kombinieren dies mit Finanzkonsolidierung und Empfehlungen.

Typische Empfehlungen sind z. B.:

• Reduktion ungenutzter „Seats“ in Abonnements
• Konsolidierung doppelter Abonnements im Unternehmen

Eine große Schwäche dieser Methode: Kostenlose Anwendungen werden nicht erkannt – ebenso wenig Anwendungen, die mit einer privaten Kreditkarte bezahlt werden (z. B. mit Erstattung über Spesenabrechnung).

Beispiel

Bei Freety (200 Mitarbeitende) wird auf der Kreditkartenabrechnung des Kommunikationsteams eine monatliche Abbuchung von 80 Euro entdeckt. Der Buchungstext lautet „Trello Inc.“. Das entspricht der Nutzung von Trello (Projektmanagement) für 8 Nutzer.

Mitarbeiterbefragungen

Oft ist es sinnvoll – teils sogar essenziell –, Mitarbeitende direkt zu fragen, welche Anwendungen sie im Arbeitsalltag nutzen. In der Regel wollen sie diese Information nicht verbergen und liefern wertvolle Details, um eine bestehende Liste (aus den oben genannten Methoden) zu ergänzen oder ein detailliertes Formular auszufüllen.

So lassen sich zusätzliche Informationen erfassen, etwa Kritikalität, Zufriedenheit, sowie ein Application Owner.

Um relevant zu bleiben, kann eine Befragung regelmäßig stattfinden. Ein jährlicher Rhythmus ist für viele Organisationen praktikabel. Zusätzlich kann ein dauerhaftes Meldesystem (z. B. ein Formular) etabliert werden, um neue Tools fortlaufend zu erfassen und das Bild des Applikations-Ökosystems aktuell zu halten.

Fazit

Zur Erkennung von Shadow IT können mehrere Methoden kombiniert werden: Analyse von Netzwerkflüssen (Firewalls/Proxies), Inventar installierter Programme, Analyse von Kreditkartentransaktionen und Mitarbeiterbefragungen. Jede Methode hat Vor- und Nachteile – die passende Auswahl hängt von Größe, Branche und Sensibilität der verarbeiteten Daten ab.