StefanWe 14 Geschrieben 3. Januar 2019 Melden Teilen Geschrieben 3. Januar 2019 Hallo, fachbereiche bauen gerne eine Schatten IT auf um einfach Apps wie Dropbox oder slack nutzen zu können. Das heißt, eigene bzw. Weitere Accounts. Keine Kontrolle durch die IT. Wie geht ihr bei euch damit um? Wie verhindert ihr die eigenständige Nutzung? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 3. Januar 2019 Melden Teilen Geschrieben 3. Januar 2019 Software Restriction Policy, damit kannst Du Installation der Apps verhindern, die nur ins Benutzerprofil installieren. Es sollte eine von der GF abgenickte Liste von SW geben, alles andere wird rigoros deinstalliert, bzw. die Geräte die solche SW installiert haben, kommen einfach nicht ins Netz. Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 Ich fürchte mit einer Software Restriction Policy werden wir nicht besonders weit kommen. Die "bösen" Angebote im Internet, bestes Beispiel sei Salesforce, können ganz einfach über den Browser bedient werden. Die Daten werden über verschlüsselte Verbindungen rauf und runter geladen, was dann im eigenen Netz so landet oder welche Daten umgekehrt bei der Konkurrenz landen, darauf hat der eigenen Admin dann keinen Einfluss mehr. Diese Schatten-IT macht meinen Kunden viel mehr Sorgen als Dropbox. Meiner Ansicht nach, können wir solches Verhalten nur durch ein Data Leackage Prevention verhindern. Ist aber vom Einführungsaufwand so gigantisch, dass eine Kosten-/Nutzen-Rechnung meist dagegen spricht. Als kostenneutralen Ansatz, könnte man in den vorhandenen Verfahren den massenhaften Datenabzug unterbinden, so dass die Schatten-IT nur schlecht mit Produktivdaten gefüttert werden kann. Dropbox und Co. sehe ich eigentlich als beherrschbar an, ein bisschen Software Restriction Policy mit einigen Firewall-Blacklist-Einstellungen sollten hier helfen. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 Z.B. über die Application Control der Sophos können Web-Anwendungen blockiert oder priorisiert werden. Vielleicht gibts´s was ähnliches auch bei eurer Firewall. 1 Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 4. Januar 2019 Autor Melden Teilen Geschrieben 4. Januar 2019 vor 2 Stunden schrieb MurdocX: Z.B. über die Application Control der Sophos können Web-Anwendungen blockiert oder priorisiert werden. Vielleicht gibts´s was ähnliches auch bei eurer Firewall. Ja. Haben eine Palo Alto. Allerdings ist es ein Riesen Aufwand die zig Anwendungen freizugeben/zu blocken. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 Wenn es zu viel Aufwand ist, die Anwendungen zu blockieren geht es evtl. so: - Rückendeckung der GF holen, natürlich auch die Restriktionen absegnen lassen - Benutzer schriftlich darauf hinweisen und Restriktionen ankündigen - Hinweis an die GF mit Namen und danach Clients/User im AD deaktivieren oder aus dem AD löschen Bei einem frühere AG haben wir das so gemacht, gab zwar manchmal etwas Lärm von Seiten der Anwender, aber hat den Zweck erfüllt. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 Moin, also, ich würde trotz allem erst mal die Anfoderungen klären, und zwar sowohl die der IT als auch die der Fachabteilungen bzw. der Anwender. Warum sind Admins immer so schnell mit Verbieten und Verhindern? Gruß, Nils 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 @Nils, weil sich hier durchaus Gefahren für das Unternehmen entwickeln können. Z.B. könnten sich Fachbereiche eigene Geschäftsprozesse ausdenken oder ständig irgendwas mit Excel nachrechnen und sich dann beschweren, dass in der offiziellen Vorgangsbearbeitung immer "etwas anders berechnet wird" usw. Wir haben hier schon Schatten-Excel-Anwendungen inkl nicht supporteten 3270-Zugriff per VBS. Und wenn dann was nicht geht, wendet man sich an die IT-Abteilung und tut dann so als müsste man wissen, was sie sich da gebastelt haben. Wenn jemand eine IT-Lösung braucht, ist der 1. Schritt sie anzufordern. Auch ist die unkontrollierte Zugang zu "Online-Festplatten" jeder Art ein Sicherheitsrisiko. Lösungen gibt es viele, z.B. BlueCoat und (gerade darüber gestolpert) https://www.zscaler.de/blue-coat-replacement Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 Dazu muss aber die Geschäftsleitung Stellung beziehen. Ansonsten ist man schnell in der Lage die Kollegen an der Arbeit zu hindern, denn anscheinend machen die ja nichts verbotenes. Es ist äußerst sinnvoll Verbote technisch auch durchzusetzen, es ist aber nicht Aufgabe der IT Verbote auszusprechen. 1 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 vor 4 Stunden schrieb zahni: Wenn jemand eine IT-Lösung braucht, ist der 1. Schritt sie anzufordern. Auch ist die unkontrollierte Zugang zu "Online-Festplatten" jeder Art ein Sicherheitsrisiko. Lösungen gibt es viele, z.B. BlueCoat und (gerade darüber gestolpert) https://www.zscaler.de/blue-coat-replacement Der 1. Schritt wird aber immer gerne vergessen, sowas muss die IT doch wissen welche SW der Anwender braucht. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Januar 2019 Melden Teilen Geschrieben 4. Januar 2019 (bearbeitet) Moin, es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen. Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden. Gruß, Nils bearbeitet 4. Januar 2019 von NilsK 2 1 Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 5. Januar 2019 Autor Melden Teilen Geschrieben 5. Januar 2019 vor 14 Stunden schrieb NilsK: Moin, es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen. Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden. Gruß, Nils Ich geb dir vollkommen Recht. Die IT sollte der Unterstützer und Treiber der Innovationen aus den Fachabteilungen sein. Leider ist dies schwierig umzusetzen, wenn in den Köpfen der Leute drin steckt, lieber selbst machen als mit der IT. Ja es bedarf Aufklärung in den Fachabteilungen, geht aber nicht von heute auf morgen. Daher die Frage, wie ihr mit dem Thema umgeht. Whitelisten ist sicherlich ein Ansatz, aber eben auch mit viel Aufwand. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. Januar 2019 Melden Teilen Geschrieben 5. Januar 2019 Ich bin bei so etwas für verbindliche Regeln und Prozesse welche mit der Geschäftsleitung abgestimmt sind. Für diese gaben onlineservices muss dann ja auch Ersatz beschafft und betrieben werden. Bei uns läuft z. B. eine owncloud als Dropbox-ersatz. Als doodle-Ersatz gibt es etwas vom DFN etc. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 5. Januar 2019 Melden Teilen Geschrieben 5. Januar 2019 Moin, da stimme ich magheinz zu. Das Thema ist in erster Linie ein organisatorisches, technisch erst weit dahinter. Ein Ansatz, der vorwiegend technisch herangeht mit Sperren usw. wird immer nur der Entwicklung hinterherhinken. Sprecht mit den Leuten. Dann nutzt, wenn noch erforderlich, die passenden Techniken, um solche Dinge zu unterbinden. Dabei werdet ihr feststellen, dass ihr Manches gar nicht sinnvoll bzw. effizient sperren könnt (ein URL-Filter, der Dropbox zu sperren versucht, ist kaum nutzbar, sobald es erlaubte Nutzungsszenarien dafür gibt) - was den ersten Schritt bestätigt. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 5. Januar 2019 Melden Teilen Geschrieben 5. Januar 2019 Ich bin im Grundsatz bei magheinz und Nils. ABER was hier viel zu kurz greift: Brain 2.0 als wirksamste - und viel zu selten eingesetzte - Last line of defense... Was nutzt es, den Zugriff auf Dropbox zu verhindern, wenn per Mail beliebige Anhänge verschickt werden können? Was nutzt eine Data Leakage Prevention auf Computersystemen, wenn jeder MA ein Smartphone mit aktiver Kamera hat? (Ggf. ein privates...) Organsiatorisches "Verhindern und verbieten" gehört für mich in weiten Teilen zu Schlangenöl. Technisches "Verhindern und verbieten" sollte sich auf das Erforderliche beschränken. Es gibt beeindruckende APT-Tests, in denen bis zu 80% der Anwender mehrfach (!) Sicherheitswarnungen wegklicken. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.