Schatten-Daten: Die versteckte Sicherheitsbedrohung

Was sind Schattendaten?

Unter Schattendaten versteht man Daten, die außerhalb der genehmigten IT-Systeme und -Infrastruktur eines Unternehmens erstellt, gespeichert und verwaltet werden. Diese Daten können erstellt werden durch Mitarbeiter nutzen ihre persönlichen Geräte, die Verwendung von Anwendungen und Diensten von Drittanbietern oder sogar das einfache Speichern von Dateien auf lokalen Festplatten oder Cloud-Speicher-Konten ohne Genehmigung.

Das Vorhandensein von Schattendaten kann für Unternehmen ein erhebliches Sicherheitsrisiko darstellen, da es schwierig sein kann, sie zu verfolgen, zu kontrollieren und zu schützen. Schattendaten können auch dazu führen Datenlecks und Datenschutzverletzungen wenn sie sensible oder vertrauliche Informationen enthalten.

Wie kommt es zu Schattendaten?

Schattendaten entstehen, wenn Mitarbeiter Daten außerhalb der genehmigten IT-Systeme und -Infrastruktur eines Unternehmens erstellen, speichern und verwalten. Dies kann aus verschiedenen Gründen geschehen, z. B. aus Bequemlichkeit, Produktivität oder der Verwendung persönlicher Geräte und Anwendungen. Ein Beispiel:

• Mitarbeiter können ihre persönlichen Smartphones, Tablets oder Laptops nutzen, um auf Unternehmensdaten zuzugreifen und diese zu speichern, sei es, um aus der Ferne zu arbeiten oder aus Bequemlichkeit.
• Mitarbeiter verwenden möglicherweise nicht zugelassene Anwendungen von Drittanbietern oder Cloud-Dienste für die Zusammenarbeit, die gemeinsame Nutzung oder die Speicherung von Daten, weil sie diese für bequemer halten oder sich der potenziellen Sicherheitsrisiken nicht bewusst sind.
• Es kann vorkommen, dass Mitarbeiter Dateien ohne entsprechende Berechtigung auf lokalen Festplatten oder in Cloud-Speicherkonten speichern, entweder weil sie eine Sicherungskopie aufbewahren wollen oder weil sie die vom Unternehmen genehmigten Systeme nicht nutzen wollen.

Entschärfung von Schattendaten-Risiken

Zu den Maßnahmen zur Minderung des Risikos von Schattendaten gehören:

1. Festlegung klarer Strategien und Verfahren für die Verwendung von persönlichen Geräten und Anwendungen von Drittanbietern zur Datenverwaltung.
2. Regelmäßige Mitarbeiterschulungen, um das Bewusstsein für die Risiken von Schattendaten und die Bedeutung der Einhaltung von Sicherheitsprotokollen zu schärfen.
3. Implementierung der Datenklassifizierung und Zugangskontrollen um sicherzustellen, dass sensible Informationen ordnungsgemäß gesichert ist und nur befugtem Personal zugänglich ist.
4. Regelmäßige Prüfung und Überwachung der Schattendatennutzung, um potenzielle Sicherheitsrisiken zu erkennen und die Einhaltung der Unternehmensrichtlinien zu gewährleisten.
5. Einsatz von Sicherheitstechnologien wie Verschlüsselung, Firewalls und Anti-Malware-Software zum Schutz der Daten vor unberechtigtem Zugriff, Diebstahl oder Verlust.
6. Zusammenarbeit mit Mitarbeitern bei der Ermittlung und Verwaltung von Schattendatenquellen und Entwicklung von Lösungen zur Bewältigung von Risiken oder Compliance-Problemen.

Schatten-IT vs. Schatten-Daten

Schatten-IT bezieht sich auf die Nutzung nicht genehmigter Hardware, Software oder Cloud-Dienste durch Mitarbeiter ohne das Wissen oder die Genehmigung der IT-Abteilung des Unternehmens. Schatten-IT kann erhebliche Risiken für das Unternehmen mit sich bringen, darunter Sicherheitsschwachstellen, Verstöße gegen die Compliance und Verlust der Kontrolle über Daten.

Schatten-KI Daten hingegen beziehen sich auf die Daten, die außerhalb der genehmigten IT-Systeme und -Infrastruktur eines Unternehmens erstellt, gespeichert und verwaltet werden, wozu auch Daten gehören können, die von Mitarbeitern mithilfe generativer KI in der Schatten-IT erstellt wurden. Schattendaten können ähnliche Risiken für das Unternehmen bergen, darunter Datenschutzverletzungen, Verstöße gegen die Compliance und Rufschädigung.

Obwohl Schatten-IT und Schattendaten eng miteinander verbunden sind, sind sie nicht dasselbe. Schatten-IT kann ein Faktor sein, der zur Entstehung von Schattendaten beiträgt, aber Schattendaten können auch von Mitarbeitern erstellt und verwaltet werden, ohne dass nicht autorisierte Hardware, Software oder Cloud-Dienste verwendet werden. Daher müssen sich Unternehmen sowohl mit Schatten-IT als auch mit Schattendaten befassen, um sicherzustellen, dass sie ihre Daten und IT-Systeme angemessen verwalten und sichern.

Bemerkenswerte Verstöße im Zusammenhang mit Schattendaten

Uber-Datenpanne (2016):

Einbeziehung von Schattendaten: Uber-Mitarbeiter nutzten persönliche Speicherdienste für Datensicherungen des Unternehmens.

Details zum Verstoß: Die Hacker verschafften sich Zugang zu einem privaten GitHub-Repository, das für die Code-Entwicklung verwendet wird, und entdeckten die Anmeldedaten für den AWS-Speicher von Uber. Dadurch konnten sie auf persönliche Daten von 57 Millionen Uber-Nutzern und -Fahrern zugreifen und diese herunterladen.

Equifax-Datenpanne (2017):

Einbeziehung von Schattendaten: Equifax hat es versäumt, Schwachstellen in seinen Webanwendungen zu erkennen und zu beheben, was zu unberechtigtem Zugriff führte.

Details zum Verstoß: Hacker nutzten diese Schwachstellen aus und verschafften sich so Zugang zu sensiblen persönlichen und finanziellen Daten von etwa 143 Millionen Menschen. Der Verstoß wurde durch unzureichende Datensicherheitspraktiken verschärft.

Häufig zu vermeidende IT-Schwachstellen

IT-Abteilungen können mit verschiedenen Herausforderungen konfrontiert werden, die dazu beitragen können, dass sie die Risiken von Schattendaten nicht wirksam bekämpfen können. Einige häufige Gründe für dieses Versagen sind:

• Mangelnde Sensibilisierung: IT-Abteilungen sind sich möglicherweise nicht vollständig über das Ausmaß der Schattendatenpraktiken innerhalb des Unternehmens im Klaren, was es schwierig macht, das Problem zu lösen.
• Eingeschränkte Sichtbarkeit: Schattendaten existieren oft außerhalb der offiziellen IT-Infrastruktur, was es für IT-Teams schwierig macht, sie zu überwachen und zu kontrollieren. Ohne Einblick in diese Praktiken ist es schwierig, sie zu bekämpfen.
• Die Komplexität der Schatten-IT: Schattendaten können ein breites Spektrum an Tools und Diensten umfassen, darunter persönliche Geräte, Cloud-Speicher und nicht genehmigte Software. Die Verwaltung dieser Komplexität kann für IT-Abteilungen überwältigend sein.
• Widerstand der Mitarbeiter: Die Mitarbeiter wehren sich möglicherweise gegen die Bemühungen der IT-Abteilung, ihre Nutzung von Schattendaten-Tools zu kontrollieren oder zu überwachen, da sie dies als Eingriff in ihre Arbeitsgewohnheiten betrachten.
• Ressourcenbeschränkungen: IT-Abteilungen verfügen möglicherweise nicht über die personellen und technischen Ressourcen, um die Risiken von Schattendaten wirksam anzugehen.
• Unzureichende Sicherheitsvorkehrungen: Das Fehlen klarer und durchsetzbarer Sicherheitsrichtlinien kann dazu führen, dass IT-Abteilungen nicht über den notwendigen Rahmen verfügen, um wirksam gegen Schattendatenpraktiken vorzugehen.
• Übersehene Datenklassifizierung: Unternehmen haben ihre Daten möglicherweise nicht richtig klassifiziert, so dass es schwierig ist, zwischen sensiblen und nicht sensiblen Informationen zu unterscheiden.
• Unzureichende Ausbildung: IT-Mitarbeiter verfügen möglicherweise nicht über die erforderlichen Schulungen und Fähigkeiten, um Schattendatenrisiken zu erkennen und wirksam zu bekämpfen.
• Die Risiken werden unterschätzt: IT-Abteilungen unterschätzen möglicherweise die potenziellen Sicherheits- und Compliance-Risiken, die mit Schattendaten verbunden sind, was zu unzureichenden Abhilfemaßnahmen führt.
• Bedenken bezüglich des Datenschutzes: Ein Gleichgewicht zwischen Datensicherheit und Datenschutz kann schwierig sein. IT-Abteilungen zögern vielleicht, die Aktivitäten ihrer Mitarbeiter aus Gründen des Datenschutzes zu genau zu überwachen.

DSPM und Schattendaten

Verwaltung der Datensicherheitsmaßnahmen (DSPM) ist eine Reihe von Praktiken und Tools, die zur Bewertung, Verwaltung und Verbesserung der Datensicherheit eines Unternehmens eingesetzt werden. In Verbindung mit Schattendaten, DSPM hilft Unternehmen bei der Bewältigung der Sicherheitsrisiken, die mit unkontrollierten oder nicht autorisierten Datenpraktiken verbunden sind. Hier ist eine einfache Erklärung, wie DSPM in die Schattendaten integriert wird:

1. Identifizierung von Schattendaten: DSPM-Tools scannen und analysieren die Datenumgebung eines Unternehmens, um Schattendaten zu identifizieren. Dazu gehören Daten, die an nicht autorisierten Orten gespeichert sind oder mit nicht genehmigten Tools und Diensten verwendet werden.
2. Risikobewertung: DSPM bewertet die Sicherheitsrisiken, die mit Schattendaten verbunden sind, einschließlich der Offenlegung von Daten, der Verletzung von Vorschriften und möglicher Verstöße.
3. Angleichung der Politik: Unternehmen passen ihre Datensicherheitsrichtlinien an die DSPM-Ergebnisse an, um Schattendaten einzubeziehen. Dadurch wird sichergestellt, dass die Sicherheitsrichtlinien sowohl offizielle als auch Schattendatenpraktiken abdecken.
4. Warnungen und Abhilfemaßnahmen: DSPM generiert Warnmeldungen und Empfehlungen für den Umgang mit Schattendatenrisiken. Sicherheitsteams können dann Korrekturmaßnahmen ergreifen, um diese Risiken zu mindern, z. B. den unbefugten Zugriff sperren oder Zugriffskontrollen implementieren.
5. Sicherstellung der Einhaltung der Vorschriften: DSPM unterstützt Unternehmen dabei, sicherzustellen, dass ihre Datensicherheitspraktiken, einschließlich derjenigen im Zusammenhang mit Schattendaten, den gesetzlichen Anforderungen und Branchenstandards entsprechen.
6. Kontinuierliche Verbesserung: DSPM ermöglicht es Unternehmen, ihre Datensicherheitslage kontinuierlich zu bewerten und zu verbessern und sich an die sich entwickelnden Bedrohungen und Veränderungen in der Schattendatenlandschaft anzupassen.

BigIDs Ansatz zur Verringerung des Schattendatenrisikos

BigID ist eine Datenerfassungsplattform für Datenschutz, Sicherheitund Steuerung das Lösungen zur Identifizierung, Verwaltung und Sicherung der Daten eines Unternehmens, einschließlich Schattendaten, anbietet. Hier erfahren Sie, wie BigID dazu beitragen kann, das Risiko von Schattendaten zu verringern oder zu vermeiden:

• Entdeckung von Daten: Verwendung fortgeschrittener AI- und ML-KlassifizierungBigID erkennt und klassifiziert automatisch und genau sensible Daten, einschließlich Schattendaten, über On-Premise-Speicher, Cloud-Anwendungen und Endgeräte hinweg. Unternehmen erhalten einen besseren Überblick über ihre Datenlandschaft, erfahren, wo sich ihre sensiblen Daten befinden, und können ihre Datenschutzbemühungen priorisieren.
• Zugang zur Intelligenz: BigIDs Access Intelligence App erkennt übermäßiger Zugang und offengelegte Datenbei der Implementierung eines Null-Vertrauensmodell. Sichern Sie alle übermäßig exponierten Daten und gehen Sie schnell gegen potenzielle Sicherheitsverletzungen oder unbefugten Zugriff vor - und verringern Sie so das Risiko von internen Sicherheitsbedrohungen, Datenlecks und Datenschutzverletzungen.
• Datenbereinigung: BigIDs App zur Datenbereinigung Probleme im Zusammenhang mit risikoreichen, sensiblen und regulierten Daten effektiv anzugehen und zu beheben. Nutzen Sie benutzerdefinierte Workflows, vollständige Prüfprotokolle und Benachrichtigungen, um die Datenbereinigung sicher zu verwalten. Bleiben Sie während des gesamten Sanierungsprozesses mit Warnungen und Benachrichtigungen auf dem Laufenden.
• Risikoanalyse: Die Risikobewertungs-App von BigID bewertet das mit Ihren Schattendaten verbundene Risiko auf der Grundlage von Faktoren wie der Datensensibilität, Zugriffsberechtigungenund Nutzungsmuster. So können Sie Prioritäten beim Datenschutz setzen, Ressourcen effektiv zuweisen und die Einhaltung gesetzlicher Vorschriften nachweisen.

So minimieren Sie das Risiko Ihres Unternehmens und decken Ihre Schattendaten auf. Holen Sie sich noch heute eine 1:1-Demo mit BigID.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.