Denn sie wissen nicht, was sie tun …

Mit der Verfügbarkeit von Cloud Services hat die Schatten-IT in Unternehmen zu einem wahren Höhenflug angesetzt. Kann die IT-Abteilung eine Anwendung nicht auf Knopfdruck bereitstellen, dann sehen sich die User einfach bei externen Anbietern um. [...]

Schatten-IT oder Shadow IT ist ein Phänomen, das in jüngster Zeit bei vielen IT-Verantwortlichen für schlaflose Nächte sorgt. Das Phänomen ist schnell erklärt: Anstatt die von der IT-Abteilung eines Unternehmens zur Verfügung gestellte IT-Infrastruktur (Hardware, Software, Netzwerk, Services) zu verwenden, greifen die Mitarbeiter in den Fachabteilungen auf die Infrastruktur externer Dritter oder auf eigene Endgeräte zurück. Weshalb sie dies tun, soll im Folgenden kurz beschrieben werden, welche Risiken drohen, ebenfalls.

Die Hauptgründe für das Entstehen von Schatten-IT liegen zum einen in den Veränderungen der modernen Arbeitswelt in den letzten fünf bis zehn Jahren. War das Berufsleben noch vor einigen Jahren auf die Geschäfts- und Bürozeiten eines Unternehmens und auf den Arbeitsplatz des Mitarbeiters an einem Schreibtisch in einem Bürogebäude begrenzt, so verschmelzen heute die Grenzen zwischen Berufs- und Privatleben immer mehr. Heute können Mitarbeiter in der Regel überall arbeiten: zu Hause, auf Geschäftsreise, vor Ort beim Kunden. In vielen Unternehmen haben flexible Arbeitsformen den klassischen Büro-Job abgelöst: Home Office bzw. Mobile Office heißt die Devise.

BYOD
Genau an dieser Stelle entstehen erste Gefahren für eine Schatten-IT. Dies beginnt bei der Entscheidung, welche Endgeräte ein Heimarbeiter oder ein Mobile Worker nutzt: die eigenen oder die des Unternehmens? Bring Your Own Device (BYOD) ist ein immer noch kontrovers diskutiertes Thema, denn es wirft die Frage auf, welche Unternehmensdaten und Anwendungen der Mitarbeiter auf seinem privaten Smartphone, Tablet oder Laptop abspeichern und nutzen darf, bzw. die Frage, wer garantiert, dass diese Endgeräte auch professionell vor Viren, Würmern oder dem Zugriff unbefugter Dritter geschützt sind.

Ein zweiter Bereich, der zu Schatten-IT in Unternehmen führen kann, ist die Nutzung sozialer Medien und Plattformen für die betriebliche Kommunikation. Die heutigen Berufseinsteiger sind mit Facebook, Twitter und Co groß geworden. Doch mit dem Berufseinstieg werden aus früheren Schulkameraden auf einmal Kollegen, Geschäftspartner und Kunden. Selbstverständlich bleibt man aber auch in der neuen Funktion oder Rolle weiter über die sozialen Netzwerke miteinander verbunden. Zukünftig werden dann halt nicht mehr nur Urlaubsfotos und Pläne für das nächste Wochenende geteilt, sondern unter Umständen auch Unternehmensinformationen, die damit den Kontrollbereich der Unternehmens-IT verlassen.

Und vom Teilen von Informationen und Dokumenten über soziale Netzwerke ist es nur noch ein kleiner Schritt zum Einsatz von Dropbox, Google Drive oder Apple iCloud. Diese Online-Filesharing-Plattformen besitzen mittlerweile eine weltweite Fangemeinde und können dazu führen, dass unternehmensinterne Dokumente und Unterlagen auf einmal außerhalb des Unternehmens abgelegt und weitergegeben werden. In vielen Ländern haben sich diese Plattformen auch im Unternehmenseinsatz etabliert, sodass gerade Unternehmen, die international tätig sind, sehr schnell mit diesen Plattformen und den damit verbundenen Risiken in Berührung gelangen.

Darüber hinaus gibt es auch einen unternehmensinternen Grund für das Entstehen von Schatten-IT. Es ist den IT-Abteilungen in vielen Unternehmen in den vergangenen Jahren nicht gelungen, mit den Veränderungen in der Arbeitswelt und der rasanten technischen Weiterentwicklung Schritt zu halten. In vielen Unternehmen sind die bisherigen Versuche, ein unternehmensweites Kommunikations- und Dokumentenmanagementsystem zu etablieren, gescheitert. Und selbst wenn es ein solches System im Unternehmen gibt – in der Regel als unternehmensinterne Workgroup-Lösung oder Intranet –, so kann dieses in punkto Performance, Flexibilität und Benutzerfreundlichkeit modernen Filesharing-Plattformen meist nicht das Wasser reichen, sodass ein Umstieg der Mitarbeiter droht.

SCHATTEN-IT WEIT VERBREITET
Schatten-IT bei uns im Unternehmen? Gibt es nicht! Alle jene IT-Verantwortlichen, die das behaupten, sollten sich die folgenden Zahlen ganz genau durchlesen: IDC hat bereits im Jahr 2013 unter 260 IT- und Fachabteilungsleitern aus dem deutschsprachigen Raum mit mindestens 100 Mitarbeitern eine Marktbefragung zum Thema Cloud Computing durchgeführt. Dabei zeigte sich, dass 44 Prozent der Fachbereiche kostenlose oder kostenpflichtige Dienste aus der Cloud nutzen, ohne die IT-Abteilung einzubeziehen. Drei Viertel davon verwenden die Cloud Services zumindest teilweise, ein Viertel sogar sehr intensiv. Die Analysten gehen sogar davon aus, dass die Zahl in der Realität noch höher liegt. Ihre Begründung: Die IT-Abteilungen seien ja nicht involviert und könnten daher auch nicht von der Nutzung wissen: Zudem spricht keiner gern über Schatten-IT.

Laut einer Umfrage des Marktforschungsinstituts Techconsult aus dem vergangenen Jahr nutzen in mehr als jedem zweiten deutschen Unternehmen Fachabteilungen eigenmächtig Cloud Services und entmachten damit die IT-Abteilung. Service Level Agreements werden umgangen oder nicht eingehalten, IT-Support durch die IT-Abteilung ist nicht gewährleistet. Und wie eine Umfrage von BT Ende 2014 ergab, haben auch die IT-Leiter das Phänomen Schatten-IT inzwischen erkannt: 75 Prozent der CIO beobachten eine entsprechende Entwicklung in ihren Unternehmen. Laut einer Studie von Steria Mummert aus dem Sommer 2014 zum Thema Collaborative Working beschäftigt sich zwar der Großteil der befragten Unternehmen mit diesem Thema und verfolgt dabei auch eine unternehmensweite Umsetzung – aber nut vier Prozent planen derzeit konkret eine unternehmensweite Umsetzung. Vernetztes Arbeiten erfolgt derzeit hauptsächlich in den IT-Abteilungen (86 Prozent).

Was also tun? Ein „Schatten-IT-Notfallplan“ soll IT-Verantwortlichen dabei helfen, das Risiko von Schatten-IT im eigenen Unternehmen zu minimieren bzw. zu kontrollieren. Denn wenn es für den Endanwender keinen Grund gibt, sich nach Alternativen umzusehen, wird er dies auch nicht tun, sondern auf von der Unternehmens-IT bereitgestellte Lösungen zurückgreifen.

NOTFALLPLAN FÜR CIO GEGEN SCHATTEN-IT
1. Überprüfen Sie Ihr Unternehmen auf Schatten-IT: Dies kann durch eine Auswertung entsprechender Firewall Logfiles oder Berichte zur Analyse der genutzten Anwendungen, aber auch durch die Kontrolle von Kreditkartenabrechnungen und Rechnungen an Fachabteilungen (z.B. für Cloud Services) erfolgen.
2. Hüten Sie sich vor Vorwürfen gegenüber Kollegen: Das hilft in der Regel wenig, vor allem, wenn sich Kollegen in den Fachabteilungen damit rechtfertigen können, dass die IT-Abteilung keine adäquate Anwendungen und Dienste zur Verfügung stellen kann, und sie somit quasi gezwungen sind, auf externe Dienste umzusteigen.
3. Aufklärung der Anwender: In der Praxis zeigt sich immer wieder, dass sich Anwender gar nicht bewusst sind, auf welch dünnem Eis sie sich beim Einsatz externer Dienste bewegen. Doch Unwissenheit schützt vor Strafe nicht und deshalb sollte es regelmäßige Schulungen zum Thema Schatten-IT und deren Risiken geben.
4. Bieten Sie attraktive Alternativen: Damit nehmen Sie Schatten-IT-Tendenzen den Wind aus den Segeln. Für Collaboration etwa gibt es etliche Alternativen zu Dropbox & Co, die unter der Kontrolle der IT-Abteilung betrieben werden können und dem Endanwender genau dieselbe Funktionalität und Flexibilität bieten.

* Der Autor Peter Weger ist Geschäftsführer von Oodrive Germany.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*