Jump to content

Nutzung SaaS Apps im Unternehmen verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich fürchte mit einer Software Restriction Policy werden wir nicht besonders weit kommen. Die "bösen" Angebote im Internet, bestes Beispiel sei Salesforce, können ganz einfach über den Browser bedient werden. Die Daten werden über verschlüsselte Verbindungen rauf und runter geladen, was dann im eigenen Netz so landet oder welche Daten umgekehrt bei der Konkurrenz landen, darauf hat der eigenen Admin dann keinen Einfluss mehr. Diese Schatten-IT macht meinen Kunden viel mehr Sorgen als Dropbox.

 

Meiner Ansicht nach, können wir solches Verhalten nur durch ein Data Leackage Prevention verhindern. Ist aber vom Einführungsaufwand so gigantisch, dass eine Kosten-/Nutzen-Rechnung meist dagegen spricht. Als kostenneutralen Ansatz, könnte man in den vorhandenen Verfahren den massenhaften Datenabzug unterbinden, so dass die Schatten-IT nur schlecht mit Produktivdaten gefüttert werden kann.

 

Dropbox und Co. sehe ich eigentlich als beherrschbar an, ein bisschen Software Restriction Policy mit einigen Firewall-Blacklist-Einstellungen sollten hier helfen.

Link zu diesem Kommentar

Wenn es zu viel Aufwand ist, die Anwendungen zu blockieren geht es evtl. so:

 

- Rückendeckung der GF holen, natürlich auch die Restriktionen absegnen lassen

- Benutzer schriftlich darauf hinweisen und Restriktionen ankündigen

- Hinweis an die GF mit Namen und danach Clients/User im AD deaktivieren oder aus dem AD löschen

 

Bei einem frühere AG haben wir das so gemacht, gab zwar manchmal etwas Lärm von Seiten der Anwender, aber hat den Zweck erfüllt.

Link zu diesem Kommentar

@Nils,

 

weil sich hier durchaus Gefahren für das Unternehmen entwickeln können. Z.B. könnten sich Fachbereiche eigene Geschäftsprozesse ausdenken oder ständig irgendwas mit Excel nachrechnen und sich dann beschweren, dass in der  offiziellen Vorgangsbearbeitung immer "etwas anders berechnet wird" usw. Wir haben hier schon Schatten-Excel-Anwendungen inkl nicht supporteten 3270-Zugriff per  VBS.

Und wenn dann was nicht geht, wendet man sich an die IT-Abteilung und tut dann so als müsste man wissen, was sie sich da gebastelt haben.

 

Wenn jemand eine IT-Lösung braucht, ist der 1. Schritt sie anzufordern.

 

Auch ist die unkontrollierte Zugang zu "Online-Festplatten" jeder Art ein Sicherheitsrisiko. 

 

Lösungen gibt es viele, z.B. BlueCoat und (gerade darüber gestolpert)  https://www.zscaler.de/blue-coat-replacement

 

 

Link zu diesem Kommentar
vor 4 Stunden schrieb zahni:

Wenn jemand eine IT-Lösung braucht, ist der 1. Schritt sie anzufordern.

 

Auch ist die unkontrollierte Zugang zu "Online-Festplatten" jeder Art ein Sicherheitsrisiko. 

 

Lösungen gibt es viele, z.B. BlueCoat und (gerade darüber gestolpert)  https://www.zscaler.de/blue-coat-replacement

 

Der 1. Schritt wird aber immer gerne vergessen, sowas muss die IT doch wissen welche SW der Anwender braucht.

Link zu diesem Kommentar

Moin,

 

es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen.

 

Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden.

 

Gruß, Nils

 

bearbeitet von NilsK
  • Like 2
  • Danke 1
Link zu diesem Kommentar
vor 14 Stunden schrieb NilsK:

Moin,

 

es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen.

 

Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden.

 

Gruß, Nils

 

Ich geb dir vollkommen Recht. Die IT sollte der Unterstützer und Treiber der Innovationen aus den Fachabteilungen sein. 

 

Leider ist dies schwierig umzusetzen, wenn in den Köpfen der Leute drin steckt, lieber selbst machen als mit der IT. 

 

Ja es bedarf Aufklärung in den Fachabteilungen, geht aber nicht von heute auf morgen. Daher die Frage, wie ihr mit dem Thema umgeht. 

Whitelisten ist sicherlich ein Ansatz, aber eben auch mit viel Aufwand. 

Link zu diesem Kommentar

Moin,

 

da stimme ich magheinz zu. Das Thema ist in erster Linie ein organisatorisches, technisch erst weit dahinter. Ein Ansatz, der vorwiegend technisch herangeht mit Sperren usw. wird immer nur der Entwicklung hinterherhinken. Sprecht mit den Leuten. Dann nutzt, wenn noch erforderlich, die passenden Techniken, um solche Dinge zu unterbinden. Dabei werdet ihr feststellen, dass ihr Manches gar nicht sinnvoll bzw. effizient sperren könnt (ein URL-Filter, der Dropbox zu sperren versucht, ist kaum nutzbar, sobald es erlaubte Nutzungsszenarien dafür gibt) - was den ersten Schritt bestätigt.

 

Gruß, Nils

 

Link zu diesem Kommentar

Ich bin im Grundsatz bei magheinz und Nils. ABER was hier viel zu kurz greift: Brain 2.0 als wirksamste - und viel zu selten eingesetzte - Last line of defense... Was nutzt es, den Zugriff auf Dropbox zu verhindern, wenn per Mail beliebige Anhänge verschickt werden können? Was nutzt eine Data Leakage Prevention auf Computersystemen, wenn jeder MA ein Smartphone mit aktiver Kamera hat? (Ggf. ein privates...) Organsiatorisches "Verhindern und verbieten" gehört für mich in weiten Teilen zu Schlangenöl. Technisches "Verhindern und verbieten" sollte sich auf das Erforderliche beschränken.

Es gibt beeindruckende APT-Tests, in denen bis zu 80% der Anwender mehrfach (!) Sicherheitswarnungen wegklicken.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...