People

Schlaglicht auf Schatten-Administratoren

Share with your network!

In der heutigen, höchst dynamischen IT-Landschaft setzen die meisten Unternehmen stark auf IT-Systeme, um ihre Abläufe zu optimieren und wettbewerbsfähig zu bleiben. Einige dieser Systeme werden von der IT- und Sicherheitsabteilung verwaltet und abgesichert. Doch immer häufiger werden Systeme eingesetzt, die nicht offiziell genehmigt wurden und daher nicht von den Sicherheitssystemen erfasst werden. Diese ungeschützten Systeme werden auch als Schatten-IT, Schatten-Clouds, Schatten-VPNs und Schatten-Kennwort-Manager bezeichnet.

Der neueste Zugang zu dieser Schatten-Liste sind Schatten-Administratoren. Dabei handelt es sich um Personen, die auf bestimmten IT-Systemen erweiterte Berechtigungen oder Administratorrechte haben – ohne dass diese Berechtigungen formell autorisiert wurden. In diesem Blog-Beitrag zeigen wir, was Schatten-Administratorkonten so riskant macht und was Sie dagegen tun können.

Wer sind Schatten-Administratoren?

Schatten-Administratoren verfügen meist über technische oder funktionsspezifische Kenntnisse und können daher bestimmte Dienste einrichten, konfigurieren oder verwalten. Häufig müssen diese Administratoren dringende geschäftliche Aufgaben erfüllen, besitzen jedoch oft keinen Plan für das langfristige Management. Ebenso halten sie sich eher selten an die unternehmensspezifischen GRC-Anforderungen (Governance, Risiko und Compliance). Aus diesem Grund können ihre Aktionen zu erheblichen Risiken für das Unternehmen führen, insbesondere wenn sie nicht mit bewährten Sicherheitsmethoden oder den GRC-Richtlinien des Unternehmens vertraut sind. Was geschieht, wenn sie Systeme mit vertraulichen Daten verwalten oder kritische Geschäftsprozesse unterstützen?

Warum gibt es Schatten-Administratoren?

Schatten-Administratoren treten meist auf, wenn Mitarbeiter mit den offiziellen Prozessen und Prioritäten bei der Beschaffung und Verwaltung von IT unzufrieden sind. Hier einige typische Beispiele:

  • Langsame Reaktion der IT-Abteilung: Möglicherweise benötigen Abteilungsteams in einem Unternehmen sofort eine IT-Lösung, während die IT-Abteilung gleichzeitig durch schwerfällige Genehmigungsprozesse oder lange Bereitstellungswartezeiten ausgebremst wird.
  • Fehlende Ressourcen: IT-Abteilungen verfügen nicht immer über genügend Kapazitäten, um jede Anfrage zu erfüllen. Das kann dazu führen, dass Angestellte oder ganze Abteilungen die Dinge selbst in die Hand nehmen.
  • Nicht erfüllte Bedürfnisse: Abteilungen und ihre Schatten-Administratoren implementieren oft Services oder Systeme, die ihrer Meinung nach Aufgaben besser erfüllen als die genehmigten und unterstützten Lösungen.
  • Innovation und Agilität: In einigen Fällen möchten Schatten-IT-Administratoren Innovationen einführen. Sie implementieren neue Tools oder Technologien, die dem Unternehmen helfen, umgehen dabei jedoch die offizielle IT-Struktur. Dabei übernehmen sie die Aufgaben des IT-Administrators des nicht genehmigten Systems.

Die Risiken von Schatten-IT-Administratoren

Auch wenn Schatten-IT-Administratoren meist in bester Absicht handeln, gefährden sie mit ihren Aktivitäten möglicherweise das Unternehmen. So können Angreifer diese privilegierten Konten missbrauchen, um zum Beispiel Hintertüren zu installieren, Sicherheitseinstellungen zu ändern, vertrauliche Daten zu exfiltrieren oder Systeme vollständig lahmzulegen. Ebenso erhalten sie die Möglichkeit, ihre Spuren zu verwischen, um eine Erkennung zu vermeiden und die Kontrolle über das kompromittierte System zu behalten.

Auch Active Directory ist durch Schatten-Administratorkonten gefährdet. Bedrohungsakteure können mithilfe von Schatten-Administratorkonten in Active Directory die Kontrolle über den Verzeichnisdienst übernehmen, Kennwörter zurücksetzen und ihre Berechtigungen eskalieren. Mithilfe solcher Konten ist es Angreifern auch möglich, ihre Zugriffsrechte auszuweiten – wozu sie häufig noch nicht einmal auf Exploits zurückgreifen müssen. Schatten-Administratorkonten stellen auch deshalb ein so hohes Risiko dar, weil sie selbst nach einer erfolgten Ausnutzung übersehen werden können.

Der Angriff von Midnight Blizzard auf Microsoft ist ein aktuelles Beispiel für eine Datenschutzverletzung, bei der Schatten-IT und Schatten-Administratorkonten involviert waren.

Sechs Risiken für Unternehmen durch Schatten-Administratoren

In diesen sechs Bereichen können Schatten-Administratoren zu großen Problemen führen.

1. Sicherheitsschwachstellen

Schatten-Administratoren umgehen wichtige Sicherheitsprozesse, die von der IT-Abteilung eingerichtet wurden, was zu folgenden Sicherheitsrisiken führen kann:

  • Unzureichende Zugriffskontrollen: Schatten-Administratoren können sich selbst oder anderen Personen zu weit gefasste Berechtigungen für Anwendungen oder Daten gewähren, was unbefugte Zugriffe oder Hintertüren für kritische Systeme ermöglicht. Das ist nicht nur deshalb ein Problem, weil so keine Kontrolle möglich ist, sondern weil Bedrohungsakteure diese Anwenderkonten übernehmen können.
  • Falsch konfigurierte Systeme: Wenn Schatten-Administratoren keine ordnungsgemäßen Sicherheitskonfigurationen nutzen, sind die betroffenen Systeme möglicherweise unzureichend geschützt, was das Ausnutzungsrisiko durch Angreifer vergrößert.

2. Datenschutzverletzungen und Datenverlust

Viele Schatten-IT-Dienste verarbeiten vertrauliche Informationen, z. B. Finanzdaten, geistiges Eigentum oder Kundendaten. Wenn Schatten-Administratoren diese Daten ohne angemessene Kontrolle verwalten, kann das zu folgenden Risiken führen:

  • Datenlecks: Von Schatten-Administratoren konfigurierte Systeme oder Anwendungen sind möglicherweise nicht ordnungsgemäß verschlüsselt, haben keine ausreichenden Zugriffskontrollen oder werden nicht angemessen überwacht. Das kann zu Datenlecks oder zur nicht autorisierten Weitergabe vertraulicher Informationen führen.
  • Datenverlust: Wenn Schatten-Administratoren ihre Systeme nicht ordnungsgemäß sichern oder sie Daten in unsicheren Umgebungen (z. B. privaten Cloud-Diensten) speichern, laufen die betroffenen Unternehmen Gefahr, im Fall von Systemausfällen oder Cyberangriffen wie Ransomware wichtige Daten zu verlieren.

3. Verstöße gegen Vorschriften

Bei Unternehmen, die Vorschriften wie DSGVO, HIPAA oder SOC 2 einhalten müssen, kann Schatten-IT zu schwerwiegenden Compliance-Verstößen führen. Da bei Schatten-IT-Systemen und -Konten nur selten ebenso gründliche Überprüfungen und Audits durchgeführt werden wie bei offiziellen Systemen, ist die Einhaltung der Sicherheits- oder Datenschutzvorschriften nicht garantiert. Das kann zu folgenden Problemen führen:

  • Gesetzliche oder Geldstrafen: Wenn Unternehmen gegen Vorschriften verstoßen, müssen sie mit Geldstrafen sowie rechtlichen Problemen und Rufschäden rechnen.
  • Fehlende Audit-Protokolle: Schatten-IT-Systeme verfügen oft nicht über die erforderlichen Protokollierungs- oder Überwachungsfunktionen. Dadurch lassen sich Datenbewegungen und -änderungen nur schwer nachverfolgen, was bei Audits oder forensischen Untersuchungen zu Problemen führen kann.

4. Operative Effizienz

Schatten-Administratorkonten können kurzfristig Probleme lösen, doch auf Dauer führen sie aus folgenden Gründen zu ineffektiven Betriebsprozessen:

  • Datensilos: Schatten-Administratoren implementieren häufig Systeme, die sich nur unzureichend in die zentrale IT-Infrastruktur integrieren. Aus diesem Grund sind die Datenspeicher fragmentiert und Daten lassen sich nur schwer abteilungsübergreifend nutzen.
  • Inkonsistente Prozesse: Wenn mehrere Teams mit unterschiedlichen und nicht genehmigten Tools arbeiten, sind die Workflows häufig nicht einheitlich, sodass es für das Unternehmen schwerer ist, Prozesse zu optimieren oder eine einheitliche Übersicht über die Geschäftsabläufe zu erhalten.

5. Erschwerte Reaktion auf Zwischenfälle

Im Falle eines Cyberangriffs oder einer Datenschutzverletzung kann es deutlich länger dauern, bis die IT-Abteilung das Problem identifizieren und reagieren kann, wenn Schatten-Administratoren herangezogen werden müssen. Da Schatten-IT-Dienste und -Konten nur selten dokumentiert oder überwacht werden, sind dem IT-Team möglicherweise nicht alle betroffenen Systeme oder die Personen bekannt, die bei einer Reaktion involviert werden müssen. Diese fehlende Transparenz kann die Reaktion auf Zwischenfälle und Eindämmung erheblich verzögern, was die Schäden durch Sicherheitszwischenfälle vergrößern kann.

6. Höhere Belastung der IT-Mitarbeiter

Wenn Schatten-IT und die zugehörigen Schatten-Administratorkonten entdeckt werden, müssen sie von IT-Teams zeitaufwändig durch einen Onboarding-Prozess geführt werden. Dies umfasst Audits sowie die Absicherung und Integration dieser Systeme in offizielle IT-Systeme und -Prozesse. Diese ungeplanten Aufgaben stellen für das IT-Team eine zusätzliche Arbeitsbelastung dar. Hinzu kommt, dass dadurch wertvolle Ressourcen von wichtigeren Projekten abgezogen werden und gleichzeitig die Betriebskosten steigen.

Schlaglicht auf Schatten-Administratoren

Zur wirksamen Minimierung der Risiken von Schatten-IT-Administratoren sollten IT- und Sicherheitsteams folgende proaktive Strategien umsetzen:

  • Erweiterte Transparenz und Überwachung: Mit Tools wie SSPM (SaaS Security and Posture Management), DLP (Data Loss Prevention) und ITDR (Identity Threat Detection and Response) erhalten Sie einen Überblick über nicht genehmigte Dienste und Schatten-Administratorkonten.
  • Durchsetzung von Zugriffskontrollen: Implementieren Sie PAM (Privileged Access Management) und zentralisierte Authentifizierungsdienste mit MFA (Multifaktor-Authentifizierung) und SSO (Single Sign-On), damit gewährleistet ist, dass nur autorisierte Personen als IT-Administratoren zulässig sind.
  • Erstellung einer klaren IT-Richtlinie: Entwickeln und kommunizieren Sie klare Richtlinien, in denen festgelegt ist, welche IT-Dienste und -Systeme zulässig sind. Außerdem sollten Sie sicherstellen, dass alle Mitarbeiter die potenziellen Risiken von Schatten-IT kennen. Zudem sollte Mitarbeitern ein einfacher Weg zur Verfügung stehen, mit dem sie wichtige geschäftliche IT-Prioritäten zur Sprache bringen können, sodass sie zukünftig nicht auf Schatten-IT zurückgreifen müssen. Bleiben Sie jedoch realistisch: Schatten-IT und die zugehörigen Schatten-Administratorkonten werden auch in Zukunft nicht verschwinden.

Fazit

Obwohl Schatten-Administratoren davon ausgehen, im besten Interesse ihres Unternehmens zu handeln, können sie schwerwiegende Risiken verursachen und die Sicherheit, Compliance und Geschäftsabläufe gefährden. Mit proaktiven Schritten zur Verwaltung und Behebung dieser Risiken können Unternehmen sich besser vor Schäden schützen.

Proofpoint investiert kontinuierlich in die eigenen Produkte und Angebote, damit unsere Kunden ihre Schatten-IT und Schatten-Administratorkonten entdecken und beheben können, bevor der Unternehmensbetrieb beeinträchtigt wird. Dies sind nur zwei unserer Lösungen:

  • Proofpoint Account Takeover Protection warnt bei Nutzung nicht genehmigter und schädlicher Drittanbieter-Anwendungen und beseitigt diese im Rahmen der Erkennung und Reaktion auf Kontoübernahmen.
  • Unsere ITDR-Lösung Proofpoint Identity Threat Defense erkennt und kontrolliert Behebung von Schatten-Administratorkonten in Active Directory und deckt zudem mehrere Cloud-Identitätsanbieter ab.

Proofpoint wird 2025 weitere Neuerungen in diesem Bereich vorstellen. Hier erfahren Sie mehr über unsere Identitätssicherheitslösungen.