Sie sind hier: Startseite » Markt » Tipps und Hinweise

Vom Workaround zum Schatten-Account


Wenn Produktivität ein Sicherheitsrisiko wird
Privater Cloud-Speicher für schnellen Datenaustausch


Von Thomas Müller-Martin, Field Strategist DACH bei Omada

Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe. In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals "kreative" Lösungen, um trotzdem weiterarbeiten zu können. Diese "Workarounds" entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.

Abkürzungen für Mitarbeiter sind Schnellstraßen für Hacker
Ob der Versand vertraulicher Daten über private Filesharing-Dienste, das Teilen von Passwörtern per Chat oder der Einsatz nicht genehmigter Tools: Improvisierte Lösungen sind aus Sicht der Mitarbeiter manchmal schneller als offizielle Freigaben durch die IT-Abteilung oder Führungskräfte. Doch wenn Mitarbeiter und Führungskräfte hier abkürzen, bieten sie Hackern an, das gleiche zu tun, denn: Wer Sicherheitsvorgaben umgeht, vergrößert auch die Angriffsfläche des Unternehmens.

Doch was ist mit "Abkürzungen" gemeint? Zwei Beispiele machen die Gefahrenquelle klarer:

Geteilte Administrator-Accounts
In Projekten mit engem Zeitplan passiert es häufig, dass mehrere Teammitglieder ein einziges Administrator-Konto nutzen, weil das Anlegen individueller Berechtigungen vermeintlich zu lange dauert.

Das Sicherheitsrisiko: Die Nutzung geteilter Konten zerstört die Nachvollziehbarkeit ("Wer hat was wann getan?") und macht Anomalie-Erkennung fast unmöglich. Für Hacker ist das ein gefundenes Fressen: Werden Passwörter zwischen Kollegen im Klartext geteilt, sind diese einfacher abzufangen, und werden seltener gewechselt. Einmal gekapert, können Angreifer unter diesem Sammelkonto länger unentdeckt agieren. Kommt es dann zu einem Sicherheitsvorfall, lässt sich die Verantwortung nicht zuordnen.

Privater Cloud-Speicher für schnellen Datenaustausch
Wenn externe Partner kurzfristig Zugriff auf große Dateien brauchen, greifen Mitarbeiter oft zu privaten Cloud-Diensten wie Dropbox oder Google Drive, statt auf den freizugebenden, aber geschützten Unternehmensspeicher zu warten.

Das Sicherheitsrisiko: Der Transfer findet komplett außerhalb der Identitäts- und Zugriffskontrolle des Unternehmens statt. Keine Richtlinien, keine Rezertifizierung, keine automatisierte Rechteentziehung. Daten verbleiben unter Umständen dauerhaft im privaten Account und damit außerhalb des Geltungsbereichs der Sicherheits- und Compliance-Vorgaben.

Besonders problematisch wird es, wenn Praktiken wie die beiden genannten zur Gewohnheit werden. Zudem darf man nicht vergessen: Es ist ausgesprochen unwahrscheinlich, dass lediglich ein Mitarbeiter diese Beispiele von "Schatten-IT" praktiziert. Oft gibt es vielfältige Arten von Workarounds in Eigenregie, die sich von Mitarbeiter zu Mitarbeiter unterscheiden. So kumulieren sich Gefahrenquellen. Aus Sicht der IT-Sicherheit sind diese Vorgehensweisen ein blinder Fleck: Sie tauchen in keinem offiziellen Prozessdiagramm auf, bleiben in Zugriffsprotokollen unsichtbar und entziehen sich gängigen Kontrollmechanismen.

Warum Zeitdruck ein Einfallstor ist
Cyberkriminelle wissen, wie sehr moderne Organisationen auf Geschwindigkeit angewiesen sind. Sie nutzen menschliche Faktoren gezielt aus: Über Social Engineering, Phishing und den so erbeuteten Missbrauch legitimer Zugangsdaten. Ein kompromittiertes Mitarbeiterkonto, das durch einen Workaround zusätzliche Berechtigungen erhalten hat, kann in kürzester Zeit massiven Schaden anrichten. Studien zeigen, dass der Missbrauch von Identitäten längst zu den häufigsten Einfallstoren für Angriffe zählt.

Traditionell galt in vielen Unternehmen: Je strenger die Sicherheitsvorgaben, desto langsamer die Prozesse. Diese Sichtweise ist überholt. Moderne Ansätze in der Identity Governance and Administration (IGA) zeigen, dass Sicherheit und Effizienz kein Widerspruch sein müssen.

Automatisierte Genehmigungs-Workflows, rollenbasierte Zugriffskonzepte und kontextabhängige Freigaben machen es möglich, Zugriffe schnell und kontrolliert zu vergeben. Dafür braucht es keine monatelangen Rollendefinitionen oder langwierigen manuellen Prüfungen mehr. Automatisierte Zugriffsprozesse reduzieren nicht nur den administrativen Aufwand, sondern nehmen Mitarbeitern auch den Anreiz, eigene, unsichere Lösungen zu suchen. So führen gute Absichten auch nicht zu unabsichtlichen Sicherheitslücken.

Das Risiko ungenutzter Berechtigungen
Ein weiteres Problem: Einmal erteilte Zugriffsrechte werden oft nicht wieder entzogen. Viele sogenannte "verwaiste Konten" mit vielen und ggf. privilegierten Berechtigungen bleiben ungenutzt, werden vergessen und stellen damit ein Sicherheitsrisiko dar. In einem hektischen Arbeitsumfeld führt das schnell zu einer schleichenden Berechtigungsausweitung im Dunkeln. Regelmäßige Überprüfungen und automatisierte Rezertifizierungen sind deshalb kein bürokratischer Luxus, sondern notwendige Prävention.

Reaktive Sicherheitsstrategien greifen deshalb oft zu spät. Wer erst nach einem Vorfall prüft, welche Konten kompromittiert wurden, hat den Schaden meist schon erlitten. IGA ermöglicht es, Risiken im Zugriffsumfeld in Echtzeit zu erkennen und proaktiv zu handeln – etwa, wenn ein Mitarbeiter plötzlich auf Systeme zugreift, die nicht zu seinem Aufgabenbereich gehören.

Kulturfrage Sicherheit
Technologie allein löst das Problem nicht. Unternehmen müssen eine Kultur fördern, in der Sicherheit nicht als Hindernis, sondern als selbstverständlicher Teil der Arbeit verstanden wird. Dazu gehört, dass Prozesse so gestaltet sind, dass Mitarbeiter keinen Grund haben, sie zu umgehen. Nur wenn IT, Fachbereiche und Sicherheitsverantwortliche gemeinsam daran arbeiten, lassen sich Workarounds auflösen, bevor sie entstehen.

Denn Workarounds sind oft ein Symptom für ineffiziente oder überkomplexe Prozesse. Sie machen Unternehmen nicht schneller, sondern angreifbarer. Wer sie verhindern will, muss Sicherheit und Geschwindigkeit als gleichrangige Ziele behandeln, Mitarbeiter fragen, was sie für ihre Arbeit brauchen, und den Zugang zu Systemen so gestalten, dass er ebenso reibungslos wie kontrolliert ist.

Abteilungswechsel, Beförderungen und Projekte gehören zum Alltag eines jeden Unternehmens. Passen sich Berechtigungen automatisch an neue Aufgabenbereiche an, arbeiten Mitarbeiter produktiver. Die administrative Last von Rezertifizierungen und Genehmigungen im Management wird reduziert, und es gibt weniger Tickets in der IT. Sicherheitsvorfällen wird aktiv vorgebeugt.

Die aktive Gestaltung von Identity Management erlaubt Synergieeffekte, zur gleichzeitigen Steigerung von Produktivität und Sicherheit. Neue Technologien und Ansätze lösen diesen klassischen Balanceakt, und machen gelebte Cybersecurity zu einem strategischen Vorteil für Unternehmen. (Omada: ra)

Newsletterlauf: 21.09.22

Omada: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Wie sich Teamarbeit im KI-Zeitalter verändert

    Liefertermine wackeln, Teams arbeiten unter Dauerlast, Know-how verschwindet in der Rente: In vielen Industrieunternehmen gehört der Ausnahmezustand zum Betriebsalltag. Gleichzeitig soll die Zusammenarbeit in Produktion, Qualitätskontrolle und Wartung immer schneller, präziser und vernetzter werden. Wie das KI-gestützt gelingen kann, zeigt der Softwarehersteller Augmentir an sechs konkreten Praxisbeispielen.

  • Vom Workaround zum Schatten-Account

    Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe. In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals "kreative" Lösungen, um trotzdem weiterarbeiten zu können. Diese "Workarounds" entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.

  • KI in der Cloud sicher nutzen

    Keine Technologie hat die menschliche Arbeit so schnell und weitreichend verändert wie Künstliche Intelligenz. Dabei gibt es bei der Integration in Unternehmensprozesse derzeit keine Tür, die man KI-basierter Technologie nicht aufhält. Mit einer wachsenden Anzahl von KI-Agenten, LLMs und KI-basierter Software gibt es für jedes Problem einen Anwendungsfall. Die Cloud ist mit ihrer immensen Rechenleistung und Skalierbarkeit ein Motor dieser Veränderung und Grundlage für die KI-Bereitstellung.

  • Clever skalieren auf Basis bestehender Strukturen

    Da Generative AI zunehmend Teil unseres Alltags wird, befinden wir uns in einer KI-Phase, die sich durch außerordentliche Fähigkeiten und enormen Konsum auszeichnet. Was anfangs auf einer theoretischen Ebene stattgefunden hat, ist inzwischen messbar - und zwar bis zur kleinsten Einheit. Aktuelle Untersuchungen von Mistral AI und Google deuten darauf hin, dass die Folgen einer einzigen Interaktion vernachlässigbar sind: Bruchteile eines Watts, einige Tropfen Wasser und ein Kohlenstoffausstoß, der etwa dem entspricht, was beim Streamen eines Videos unter einer Minute verbraucht wird.

  • Von Cloud-First zu Cloud-Smart

    Die zunehmende Vernetzung von IT- und OT-Systemen bedeutet für die Fertigungsindustrie neue Sicherheitsrisiken. Ein moderner Cloud-Smart-Ansatz verbindet Innovation mit effektiven Sicherheitslösungen, um diesen Herausforderungen gerecht zu werden. Die industrielle Digitalisierung stellt die Fertigungsindustrie heute vor neue Herausforderungen - insbesondere in puncto Sicherheit.

  • Technik statt Vertrauen

    Die andauernden Turbulenzen in den USA seit Amtsantritt von Donald Trump, die konsequente Kürzung von Mitteln für Datenschutz und die Kontrolle staatlicher Überwachungsprogramme verdeutlichen: Wer als Behörde oder Institution höchste Datensicherheit garantieren muss, kann nicht auf US-amerikanische Unternehmen oder deren europäische Töchter setzen.

  • Risiko von SaaS-zu-SaaS-Integrationen

    Ein SaaS-Sicherheitsalbtraum für IT-Manager in aller Welt wurde kürzlich wahr: Hacker nutzten legitime OAuth-Tokens aus der Drift-Chatbot-Integration von Salesloft mit Salesforce, um unbemerkt Kundendaten von der beliebten CRM-Plattform zu exfiltrieren. Der ausgeklügelte Angriff deckt einen kritischen toten Winkel auf, von dem die meisten Sicherheits-Teams nicht einmal wissen, dass sie von ihm betroffen sind.

  • Kostenfallen erkennen und vermeiden

    Remote Work, Cloud Computing und mobile Endgeräte haben die Arbeitswelt grundlegend verändert. Mitarbeiter erwarten heute, von überall aus auf ihre Anwendungen und Daten zugreifen zu können. Virtuelle Desktop-Lösungen machen diese Flexibilität möglich, indem sie Desktop-Umgebungen und Anwendungen über das Netzwerk eines Unternehmens bereitstellen. Doch der Markt für solche Lösungen ist komplex und vielfältig. IT-Entscheider stehen vor der Herausforderung, aus dem Angebot die passende Lösung zu identifizieren, die sowohl technische Anforderungen als auch wirtschaftliche Ziele erfüllt.

  • Übergang in die neue Systemlandschaft

    Der Umstieg auf SAP S/4HANA ist bei vielen Unternehmen bereits in vollem Gange oder steht unmittelbar bevor. Wer in diesem Zusammenhang seine Archivierungsstrategie überdenkt, kann wertvolle Zeit, Kosten und Aufwand sparen. Die Archivierungsexperten von kgs haben zehn zentrale Aspekte zusammengestellt, die dabei helfen, den Übergang in die neue Systemlandschaft effizient und zukunftssicher zu gestalten.

  • Die Zukunft braucht offene KI-Infrastrukturen

    KI ist mehr als ein ominöses Hinterzimmer-Experiment. Die Technologie ist eine treibende Kraft, wenn es um Produkte, Entscheidungen und Nutzererfahrungen über jegliche Wirtschaftsbereiche hinaus geht. Mittlerweile stellen Unternehmen jedoch die Inferenz in den Mittelpunkt ihrer KI-Implementierungen. Hier können die Modelle ihren eigentlichen Mehrwert unter Beweis stellen - unter anderem in Form von Antworten auf drängende Fragen, Vorhersagen und Content-Generierung. Der Anstieg des Inferenz-Bedarfs bringt jedoch eine entscheidende Herausforderung mit sich. Bei Inferenzen handelt es sich nämlich nicht um einzelne Workloads.

Wie sich Teamarbeit im KI-Zeitalter verändert KI in der Cloud sicher nutzen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen