Als Schatten-IT wird Soft- und Hardware bezeichnet, die ohne Kontrolle der IT-Verwaltung im Unternehmen zum Einsatz kommt. Obwohl meist erstmal keine böse Absicht dahinter steckt, können von ihr verschiedene Gefahren ausgehen, denn es kann zu Kontrollverlusten und Sicherheitsproblemen kommen.
Suche
Besonders problematisch ist, dass die Entstehung von Schatten-IT ein schleichender und kaum wahrnehmbarer Prozess ist. Bis die Aufmerksamkeit der IT-Abteilung darauf fällt, kann es schon zu Schäden gekommen sein. Unternehmen sollten daher so früh wie möglich reagieren.
Typische Formen von Schatten-IT in Unternehmen
Die IT Unternehmenssicherheit ist das zentrale Thema für Firmen, die im digitalen Bereich tätig sind. Mit ihr steht und fällt die gesamte Unternehmensstrategie, denn IT-Zwischenfälle können im schlimmsten Fall das Aus für einen Betrieb bedeuten.
Schleichende Gefahr geht von Schatten-IT aus, die oft unbemerkt Einzug ins Unternehmen hält. Seit der ständigen Weiterentwicklung von Cloud- und SaaS-Services ist das Risiko deutlich gestiegen.
Hier kommt eine Auswahl der gängigsten Fälle von Schatten-IT, die oft über lange Zeit unbemerkt bleiben:
- Messenger: Slack, Telegram, Zoom, WhatsApp sind Kommunikationskanäle, die sowohl privat als auch dienstlich genutzt werden können. Bringen Mitarbeiter die Software „mit" ins Büro und nutzen sie außerhalb der IT-Überwachung, ist von Schatten-IT die Rede.
- Cloudspeicher: Problematisch sind auch per Cloud gespeicherte Dateien, die von externer Quelle aufgerufen werden. Hier sind zum Beispiel Dokumenten-Software wie Google Docs, aber auch Cloudspeicher wie Microsoft OneDrive, Dropbox und Google Drive zu nennen. Durch den möglichen Zugriff von überall ist es der IT nicht mehr möglich, für eine konsequente Überwachung zu sorgen.
Viele Mitarbeiter verwenden derartige Software bereits und bringen sie dann mit an ihren Arbeitsplatz. Manchmal erfolgt die Einladung auch seitens Arbeitspartnern oder Kunden. Gemeinsame Arbeiten über Dokumenten-Clouds sind keine Seltenheit und im Geschäftsleben durchaus praktisch.
Ein zweiter Risikofaktor entsteht durch die Nutzung persönlicher Endgeräte. Das Smartphone, der heimische Laptop – von überall ist der Fernzugriff auf in der Cloud gespeicherte Unterlagen möglich.
Die Risiken schon Schatten-IT: Welche Konsequenzen müssen Unternehmen befürchten?
Ein Blick auf die steigende Zahl der Cyberattacken reicht aus, um zu erkennen, dass jedes Unternehmen auf IT-Security angewiesen ist. Das ist nur dann möglich, wenn die verwendete Software durch die IT-Abteilung genehmigt und überwacht wird.
Bei Schatten-IT ist das nicht der Fall, da Mitarbeiter diese ohne Bekanntgabe einschleusen und so ein Sicherheitsrisiko mitbringen. Dabei steckt in den meisten Fällen keine negative Absicht dahinter.
Die genutzte Technik wird sinnvoll eingesetzt und erleichtert mitunter sogar den Workflow. Das Problem dahinter ist, dass die IT-Abteilung keinen Schutz gewähren kann, weil sie über die Nutzung der Software nicht im Bilde ist.
Das führt zu verschiedenen Problemen, gegen die Unternehmen schnellstmöglich vorgehen müssen:
- Mangelnde Effizienz: Nicht jede Software passt in die vorhandene IT-Infrastruktur. Durch Inkompatibilitäten kann die Arbeitseffizienz reduziert werden. Verlassen sich mehrere Teammitglieder auf Schattensoftware, können Veränderungen an den Netzressourcen zu Problemen führen. Da die IT-Abteilung keine Kenntnis zur Nutzung hat, wird sie die Software bei Änderungen nicht berücksichtigen. Fallen Messenger oder Clouddienst dann plötzlich aus, haben die Mitarbeiter ein echtes Zeitproblem.
- Datenschutzverletzungen: Nicht autorisierte IT-Lösungen können gegen Compliance-Richtlinien und die DSGVO verstoßen. Werden die personenbezogenen Daten von Kunden auf nicht genehmigten Drittgeräten (z.B. Smartphone des Mitarbeiters) gespeichert, hat das Unternehmen keine Kontrolle darüber. Ein nicht sachgemäßer und DSGVO-konformer Datenumgang wird dann sehr schnell zum Unternehmensproblem.
- Sicherheitsrisiken: Da Schatten-IT nicht durch die regulären Sicherheitsprotokolle der IT-Abteilung abgedeckt sind, steigt das Risiko von Gefahren. Unautorisierte Software macht den Betrieb anfälliger für Datenlecks und Cyberangriffe, insbesondere weil keine Kontrolle möglich ist. Fehlende Updates oder mangelnde Kompatibilität sind Einfallstore für Schadsoftware und ein gefährliches Risiko.
Schatten-IT bekämpfen und ins Unternehmen integrieren
Die IT-Abteilungen kämpfen mit Personalmangel und genau hier entstehen Probleme. Viele KMUs haben keine vollständige IT-Security-Abteilung hinter sich und sind den modernen Gefahren mit mangelhaftem Schutz ausgesetzt.
Kommt jetzt ein großer Anteil an Schatten-IT hinzu, droht ein Kontrollverlust. Dabei ist zu beachten, dass die Verursacher des Problems (in der Regel Mitarbeiter), nicht mit boshafter Absicht handeln. Die meisten Schatten-IT-Softwares sind sinnvolle Helfer im Arbeitsalltag, allerdings mit fehlendem Schutz.
Um Schatten-IT zu verhindern, ist Kommunikation der wichtigste Schlüssel. Klare Richtlinien im Unternehmen machen Mitarbeitern klar, welche IT-Lösungen zulässig sind und was tabu ist. Viele Angestellte wissen gar nicht, dass die Nutzung von nicht autorisierten Softwares ein Problem ist und erleichtern damit nur die Arbeit. Wenn IT-Abteilung und Mitarbeiter miteinander kommunizieren und kooperieren, lässt sich das Thema Schatten-IT schnell eindämmen.
Steigert eine Software nachweislich den Arbeitsworkflow und wird von Mitarbeitern sehr geschätzt, ist ein generelles Verbot nicht zielführend. Besser ist es, die sichere Integration durch die IT-Abteilung zu ermöglichen und so aus Schatten-IT eine regulär nutzbare Software zu machen. Kommt es zu Kompatibilitätsproblemen, kann die IT-Abteilung Alternativen anbieten und Lösungen finden, die für beide Seiten akzeptabel sind.
Nicht nur unautorisierte Software, sondern auch nicht kontrollierte Zugriffe auf Unternehmensressourcen sind problematisch . An dieser Stelle ist es entscheidend, robuste Zugangskontrollen zu implementieren. Der Zugriff auf Cloudserver und andere Ressourcen darf ausschließlich von genehmigten Geräten (z.B. PC im Büro) erfolgen, um die sensiblen Daten des Unternehmens zu schützen.
Handelt ein Mitarbeiter fahrlässig und verstößt so in seiner Freizeit gegen die Compliance- oder Datenschutzrichtlinien, haftet das Unternehmen. Hier reicht schon das offen liegende Handy, das Drittpersonen einen Einblick auf Kundendaten bietet.
Fazit: Schatten-IT kann Fluch und Segen sein!
Nicht jede Schatten-IT ist prinzipiell schlecht. Softwares werden oft effizient eingesetzt und steigern sogar die Arbeitsleistung. Problematisch ist die fehlende Kontrolle durch die IT-Abteilung. Regelmäßige Audits helfen dabei, nicht autorisierte IT zu erkennen und zu eliminieren.
Haben sich Systeme allerdings bewährt, ist eine andere Herangehensweise sinnvoll. An dieser Stelle wäre es im Sinne von Mitarbeitern und Unternehmen, eine sichere Nutzung zu diskutieren. Je offener IT-Abteilung und andere Teams miteinander kommunizieren, desto geringer ist die Gefahr von Schatten-IT und ihren Folgen.
brc/news.de