Jump to content
StefanWe

Nutzung SaaS Apps im Unternehmen verhindern

Empfohlene Beiträge

Hallo,

 

fachbereiche bauen gerne eine Schatten IT auf um einfach Apps wie Dropbox oder slack nutzen zu können. Das heißt, eigene bzw. Weitere Accounts. Keine Kontrolle durch die IT. 

 

Wie geht ihr bei euch damit um? Wie verhindert ihr die eigenständige Nutzung?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Software Restriction Policy, damit kannst Du Installation der Apps verhindern, die nur ins Benutzerprofil installieren. Es sollte eine von der GF abgenickte Liste von SW geben, alles andere wird rigoros deinstalliert, bzw. die Geräte die solche SW installiert haben, kommen einfach nicht ins Netz.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich fürchte mit einer Software Restriction Policy werden wir nicht besonders weit kommen. Die "bösen" Angebote im Internet, bestes Beispiel sei Salesforce, können ganz einfach über den Browser bedient werden. Die Daten werden über verschlüsselte Verbindungen rauf und runter geladen, was dann im eigenen Netz so landet oder welche Daten umgekehrt bei der Konkurrenz landen, darauf hat der eigenen Admin dann keinen Einfluss mehr. Diese Schatten-IT macht meinen Kunden viel mehr Sorgen als Dropbox.

 

Meiner Ansicht nach, können wir solches Verhalten nur durch ein Data Leackage Prevention verhindern. Ist aber vom Einführungsaufwand so gigantisch, dass eine Kosten-/Nutzen-Rechnung meist dagegen spricht. Als kostenneutralen Ansatz, könnte man in den vorhandenen Verfahren den massenhaften Datenabzug unterbinden, so dass die Schatten-IT nur schlecht mit Produktivdaten gefüttert werden kann.

 

Dropbox und Co. sehe ich eigentlich als beherrschbar an, ein bisschen Software Restriction Policy mit einigen Firewall-Blacklist-Einstellungen sollten hier helfen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Z.B. über die Application Control der Sophos können Web-Anwendungen blockiert oder priorisiert werden. Vielleicht gibts´s was ähnliches auch bei eurer Firewall.

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb MurdocX:

Z.B. über die Application Control der Sophos können Web-Anwendungen blockiert oder priorisiert werden. Vielleicht gibts´s was ähnliches auch bei eurer Firewall.

Ja. Haben eine Palo Alto. Allerdings ist es ein Riesen Aufwand die zig Anwendungen freizugeben/zu blocken. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn es zu viel Aufwand ist, die Anwendungen zu blockieren geht es evtl. so:

 

- Rückendeckung der GF holen, natürlich auch die Restriktionen absegnen lassen

- Benutzer schriftlich darauf hinweisen und Restriktionen ankündigen

- Hinweis an die GF mit Namen und danach Clients/User im AD deaktivieren oder aus dem AD löschen

 

Bei einem frühere AG haben wir das so gemacht, gab zwar manchmal etwas Lärm von Seiten der Anwender, aber hat den Zweck erfüllt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

also, ich würde trotz allem erst mal die Anfoderungen klären, und zwar sowohl die der IT als auch die der Fachabteilungen bzw. der Anwender.

 

Warum sind Admins immer so schnell mit Verbieten und Verhindern?

 

Gruß, Nils

 

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Nils,

 

weil sich hier durchaus Gefahren für das Unternehmen entwickeln können. Z.B. könnten sich Fachbereiche eigene Geschäftsprozesse ausdenken oder ständig irgendwas mit Excel nachrechnen und sich dann beschweren, dass in der  offiziellen Vorgangsbearbeitung immer "etwas anders berechnet wird" usw. Wir haben hier schon Schatten-Excel-Anwendungen inkl nicht supporteten 3270-Zugriff per  VBS.

Und wenn dann was nicht geht, wendet man sich an die IT-Abteilung und tut dann so als müsste man wissen, was sie sich da gebastelt haben.

 

Wenn jemand eine IT-Lösung braucht, ist der 1. Schritt sie anzufordern.

 

Auch ist die unkontrollierte Zugang zu "Online-Festplatten" jeder Art ein Sicherheitsrisiko. 

 

Lösungen gibt es viele, z.B. BlueCoat und (gerade darüber gestolpert)  https://www.zscaler.de/blue-coat-replacement

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dazu muss aber die Geschäftsleitung Stellung beziehen. 

Ansonsten ist man schnell in der Lage die Kollegen an der Arbeit zu hindern, denn anscheinend machen die ja nichts verbotenes. 

Es ist äußerst sinnvoll Verbote technisch auch durchzusetzen, es ist aber nicht Aufgabe der IT Verbote auszusprechen. 

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Stunden schrieb zahni:

Wenn jemand eine IT-Lösung braucht, ist der 1. Schritt sie anzufordern.

 

Auch ist die unkontrollierte Zugang zu "Online-Festplatten" jeder Art ein Sicherheitsrisiko. 

 

Lösungen gibt es viele, z.B. BlueCoat und (gerade darüber gestolpert)  https://www.zscaler.de/blue-coat-replacement

 

Der 1. Schritt wird aber immer gerne vergessen, sowas muss die IT doch wissen welche SW der Anwender braucht.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen.

 

Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden.

 

Gruß, Nils

 

bearbeitet von NilsK
  • Like 2
  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 14 Stunden schrieb NilsK:

Moin,

 

es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen.

 

Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden.

 

Gruß, Nils

 

Ich geb dir vollkommen Recht. Die IT sollte der Unterstützer und Treiber der Innovationen aus den Fachabteilungen sein. 

 

Leider ist dies schwierig umzusetzen, wenn in den Köpfen der Leute drin steckt, lieber selbst machen als mit der IT. 

 

Ja es bedarf Aufklärung in den Fachabteilungen, geht aber nicht von heute auf morgen. Daher die Frage, wie ihr mit dem Thema umgeht. 

Whitelisten ist sicherlich ein Ansatz, aber eben auch mit viel Aufwand. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich bin bei so etwas für verbindliche Regeln und Prozesse welche mit der Geschäftsleitung abgestimmt sind. 

 

Für diese gaben onlineservices muss dann ja auch Ersatz beschafft und betrieben werden. Bei uns läuft z. B. eine owncloud als Dropbox-ersatz. Als doodle-Ersatz gibt es etwas vom DFN etc. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

da stimme ich magheinz zu. Das Thema ist in erster Linie ein organisatorisches, technisch erst weit dahinter. Ein Ansatz, der vorwiegend technisch herangeht mit Sperren usw. wird immer nur der Entwicklung hinterherhinken. Sprecht mit den Leuten. Dann nutzt, wenn noch erforderlich, die passenden Techniken, um solche Dinge zu unterbinden. Dabei werdet ihr feststellen, dass ihr Manches gar nicht sinnvoll bzw. effizient sperren könnt (ein URL-Filter, der Dropbox zu sperren versucht, ist kaum nutzbar, sobald es erlaubte Nutzungsszenarien dafür gibt) - was den ersten Schritt bestätigt.

 

Gruß, Nils

 

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich bin im Grundsatz bei magheinz und Nils. ABER was hier viel zu kurz greift: Brain 2.0 als wirksamste - und viel zu selten eingesetzte - Last line of defense... Was nutzt es, den Zugriff auf Dropbox zu verhindern, wenn per Mail beliebige Anhänge verschickt werden können? Was nutzt eine Data Leakage Prevention auf Computersystemen, wenn jeder MA ein Smartphone mit aktiver Kamera hat? (Ggf. ein privates...) Organsiatorisches "Verhindern und verbieten" gehört für mich in weiten Teilen zu Schlangenöl. Technisches "Verhindern und verbieten" sollte sich auf das Erforderliche beschränken.

Es gibt beeindruckende APT-Tests, in denen bis zu 80% der Anwender mehrfach (!) Sicherheitswarnungen wegklicken.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:


×