Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Wir präsentieren: Entdecken von Schatten-IT

16.08.2021

4 min. Lesezeit

Vermutlich nutzt Ihr Team mehr SaaS-Anwendungen, als Ihnen bewusst ist. Das Überprüfen und die Freigabe von Anwendungen durch Administratoren können sich plötzlich als Zeitverschwendung erweisen, wenn Nutzer sich für andere Dienste registrieren und Daten an neuen Orten speichern. Doch ab sofort lassen sich nicht genehmigte Applikationen mit Cloudflare for Teams aufspüren und sperren.

Schatten-IT auf dem Vormarsch

Mit SaaS-Anwendungen können IT-Abteilungen Zeit und Geld sparen. Anstatt zum Hosten von Tools für Server zu zahlen und Personal zur Überwachung, Aktualisierung und Reparatur dieser Werkzeuge in Bereitschaft zu halten, können sich Unternehmen für eine SaaS-Alternativlösung registrieren. Sie benötigen dafür lediglich eine Kreditkarte und müssen sich nie wieder Gedanken über Hosting oder Wartung machen.

Doch genau dieser Komfort schafft hinsichtlich Datenkontrolle ein Problem. Tatsächlich sind solche SaaS-Applikationen außerhalb der Umgebungen angesiedelt, die Ihrer Kontrolle unterliegen. Für Ihr Team ist eine solche Lösung zwar bequem, doch sie stellt unter Umständen auch eine Gefahr dar, weil sensible Daten damit bei Dritten liegen. Die meisten Unternehmen prüfen die verwendeten SaaS-Anwendungen deshalb sorgfältig, um sich zu schützen. In Abhängigkeit von der Branche und den rechtlichen Rahmenbedingungen beurteilen, genehmigen und katalogisieren IT-Abteilungen die von ihnen eingesetzten Applikationen.

Allerdings kann es vorkommen, dass Nutzer diese Kontrollen absichtlich oder versehentlich umgehen. So könnte beispielsweise in einem Unternehmen, das OneDrive nutzt, ein Anwender Arbeitsdateien stattdessen bei Google Drive speichern. Die IT-Abteilung bekommt davon keinen Wind und der Nutzer hält dies womöglich für unbedenklich. Wenn er dann beginnt, Dateien an andere Nutzer im Unternehmen weiterzuleiten, registrieren sich diese vielleicht ebenfalls bei Google Drive. Das kann dazu führen, dass sich sensible Daten plötzlich auf einer nicht genehmigten Anwendung wiederfinden. Man spricht in diesem Fall von „Schatten-IT“. Solche Applikationen umgehen naturgemäß die unternehmenseigenen Kontrollmechanismen.

Aufspüren von Schatten-IT

Cloudflare Gateway leitet den gesamten für das Internet bestimmten Datenverkehr an das Netzwerk von Cloudflare weiter, damit eine präzise Überprüfung der Nutzer durchgeführt und diese so von unbekannten Sicherheitsbedrohungen abgeschirmt werden können. Ab sofort bietet die Lösung Ihrem Team aber noch zusätzliche Sicherheit durch eine unkomplizierte und übersichtliche Darstellung der SaaS-Anwendungen, die innerhalb Ihrer Umgebung im Einsatz sind.

Nach der Aktivierung von Gateway werden alle HTTP-Anfragen des Unternehmens in einem Aktivitätsprotokoll zusammengetragen. Auf diese Weise können sie überprüft und die Sicherheit gewährleistet werden. Darin werden sachdienliche Informationen zu dem Nutzer, der Aktion und der Anfrage hervorgehoben. Erfasst werden unter anderem der Anwendungsname und die Anwendungsart. In unserem Beispiel fällt die Anwendungsart unter die Kategorien „Zusammenarbeit“ und „Online-Besprechung“. Bei der Applikation handelt es sich um Google Drive.

Gateway analysiert dann die HTTP-Anfrage im Aktivitätsprotokoll und macht die Schatten-IT sichtbar, indem die auf den ersten Blick willkürlich zusammengewürfelt erscheinenden Applikationen so kategorisiert und gruppiert werden, dass sich daraus nützliche Erkenntnisse gewinnen lassen – ohne, dass Ihr Team noch Hand anlegen muss.

Wir präsentieren: Entdecken von Schatten-IT

Diese Cloudflare-Funktion zur Erkennung von Schatten-IT katalogisiert zunächst alle Anwendungen, die in einem Unternehmen genutzt werden. Sie läuft anfangs im „Beobachtungs“-Modus, in dem zwar alle Applikationen analysiert werden, zuerst aber als „nicht überprüft“ eingestuft werden.

Ihr Team kann sich dann die Liste der Anwendungen ansehen und diese mit wenigen Klicks als „genehmigt“ oder „nicht genehmigt“ kennzeichnen. Das funktioniert sowohl per Einfach- als auch per Mehrfachauswahl.

Auf diese Weise können sich die Administratoren problemlos einen Überblick über die wichtigsten zugelassenen und nicht genehmigten Applikationen verschaffen, auf die ihre Nutzer zugreifen – und sich damit ein besseres Bild von ihrem Sicherheitsniveau machen. In der Detailansicht haben sie die Möglichkeit, per Massenauswahl mehrere gerade erst aufgespürte Anwendungen gleichzeitig zu verschieben. Außerdem können sie dort nach Anwendungsart filtern, um Redundanzen im Unternehmen leicht zu erkennen.

Wir wollten künftig auch schnell anzeigen, wenn ein Unternehmen eine Anwendung einsetzt, die von Cloudflare Access bereits abgesichert wurde. Diese Angaben finden sich unter der Rubrik „Abgesichert“. Wenn eine Applikation nicht durch Access abgesichert wurde, kann dieser Vorgang mit Access for SaaS eingeleitet werden. (Wir haben diese Woche zwei relevante neue Tutorials veröffentlicht!)

Wird eine Anwendung als „Nicht genehmigt“ gekennzeichnet, bedeutet das nicht, dass sie von Cloudflare for Teams direkt gesperrt wird. Uns ist bewusst, dass manche Unternehmen eine Applikation erst als „Nicht genehmigt“ markieren und dann Rücksprache mit dem Nutzer halten müssen, bevor der Zugang vollständig blockiert wird. Wenn Ihr Team alles geklärt hat, können Sie gegebenenfalls eine Gateway-Regel zur Zugriffssperrung anwenden.

Einsparen von IT-Kosten

Wir freuen uns, dazu beitragen zu können, dass nicht zugelassene Anwendungen IT-Teams keine Kopfschmerzen mehr bereiten. Wir haben aber auch mit Abteilungen gesprochen, die fürchten, für bestimmte genehmigte Applikationen zu viel auszugeben.

Auch dafür möchten wir eine Lösung anbieten. Mit der heute eingeführten Version können die Nutzer gezählt werden, die während verschiedener Zeiträume auf eine bestimmte Anwendung zugreifen. IT-Abteilungen können anhand dieser Daten die Nutzung mit den verfügbaren Lizenzen abgleichen und gegebenenfalls entsprechende Anpassungen vornehmen.

Weil dieses Feature bislang nicht zur Verfügung stand, hat die Frage, ob Nutzer Kontrollen umgehen und auf diese Weise Einfallstore für Angriffe schaffen, vielen Administratoren und unseren IT-Mitarbeitenden schlaflose Nächte bereitet. Viele Administratoren spüren auch die finanziellen Auswirken, weil sie für die Beschaffung der Softwarelizenzen des gesamten Unternehmens zuständig sind. Mit der Funktion zur Erkennung von Schatten-IT geben wir Ihrem Team die Möglichkeit, der Nutzung beliebter Anwendungen vorzugreifen und innerhalb des Beschaffungsverfahrens schon früher mit der Prüfung zu beginnen.

Das kommt als Nächstes?

Wir freuen uns, diese neue Funktion nun bereitstellen zu können, und sind schon gespannt, wie Sie sie nutzen werden. Zum Einstieg können Sie mit dem Cloudflare for Teams-Client HTTP-Filterung für Ihr Unternehmen implementieren. Für die Zukunft geplant ist auch die Möglichkeit einer automatischen Sperrung nicht genehmigter Applikationen in Gateway. Wir sind aber auch sehr neugierig, was Sie sich noch von diesem Produkt erwarten.

Wir schützen ganze Firmennetzwerke, helfen Kunden dabei, Internet-Anwendungen effizient zu entwickeln, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten und unterstützen Sie bei Ihrer Umstellung auf Zero-Trust.

Besuchen Sie 1.1.1.1 von einem beliebigen Gerät aus und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Weitere Informationen über unsere Mission, ein besseres Internet zu schaffen, finden Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Teams Dashboard (DE)Cloudflare Zero Trust (DE)Zero Trust (DE)Product News (DE)Security (DE)Deutsch

Folgen auf X

Abe Carryl|@mrlincolnlogs
Cloudflare|@cloudflare