Denn sie wissen nicht, was sie tun …

Mit der Verfügbarkeit von Cloud Services hat die Schatten-IT in Unternehmen zu einem wahren Höhenflug angesetzt. Kann die IT-Abteilung eine Anwendung nicht auf Knopfdruck bereitstellen, dann sehen sich die User einfach bei externen Anbietern um. [...]

Schatten-IT oder Shadow IT ist ein Phänomen, das in jüngster Zeit bei vielen IT-Verantwortlichen für schlaflose Nächte sorgt. Das Phänomen ist schnell erklärt: Anstatt die von der IT-Abteilung eines Unternehmens zur Verfügung gestellte IT-Infrastruktur (Hardware, Software, Netzwerk, Services) zu verwenden, greifen die Mitarbeiter in den Fachabteilungen auf die Infrastruktur externer Dritter oder auf eigene Endgeräte zurück. Weshalb sie dies tun, soll im Folgenden kurz beschrieben werden, welche Risiken drohen, ebenfalls.

Die Hauptgründe für das Entstehen von Schatten-IT liegen zum einen in den Veränderungen der modernen Arbeitswelt in den letzten fünf bis zehn Jahren. War das Berufsleben noch vor einigen Jahren auf die Geschäfts- und Bürozeiten eines Unternehmens und auf den Arbeitsplatz des Mitarbeiters an einem Schreibtisch in einem Bürogebäude begrenzt, so verschmelzen heute die Grenzen zwischen Berufs- und Privatleben immer mehr. Heute können Mitarbeiter in der Regel überall arbeiten: zu Hause, auf Geschäftsreise, vor Ort beim Kunden. In vielen Unternehmen haben flexible Arbeitsformen den klassischen Büro-Job abgelöst: Home Office bzw. Mobile Office heißt die Devise.

BYOD
Genau an dieser Stelle entstehen erste Gefahren für eine Schatten-IT. Dies beginnt bei der Entscheidung, welche Endgeräte ein Heimarbeiter oder ein Mobile Worker nutzt: die eigenen oder die des Unternehmens? Bring Your Own Device (BYOD) ist ein immer noch kontrovers diskutiertes Thema, denn es wirft die Frage auf, welche Unternehmensdaten und Anwendungen der Mitarbeiter auf seinem privaten Smartphone, Tablet oder Laptop abspeichern und nutzen darf, bzw. die Frage, wer garantiert, dass diese Endgeräte auch professionell vor Viren, Würmern oder dem Zugriff unbefugter Dritter geschützt sind.

Ein zweiter Bereich, der zu Schatten-IT in Unternehmen führen kann, ist die Nutzung sozialer Medien und Plattformen für die betriebliche Kommunikation. Die heutigen Berufseinsteiger sind mit Facebook, Twitter und Co groß geworden. Doch mit dem Berufseinstieg werden aus früheren Schulkameraden auf einmal Kollegen, Geschäftspartner und Kunden. Selbstverständlich bleibt man aber auch in der neuen Funktion oder Rolle weiter über die sozialen Netzwerke miteinander verbunden. Zukünftig werden dann halt nicht mehr nur Urlaubsfotos und Pläne für das nächste Wochenende geteilt, sondern unter Umständen auch Unternehmensinformationen, die damit den Kontrollbereich der Unternehmens-IT verlassen.

Und vom Teilen von Informationen und Dokumenten über soziale Netzwerke ist es nur noch ein kleiner Schritt zum Einsatz von Dropbox, Google Drive oder Apple iCloud. Diese Online-Filesharing-Plattformen besitzen mittlerweile eine weltweite Fangemeinde und können dazu führen, dass unternehmensinterne Dokumente und Unterlagen auf einmal außerhalb des Unternehmens abgelegt und weitergegeben werden. In vielen Ländern haben sich diese Plattformen auch im Unternehmenseinsatz etabliert, sodass gerade Unternehmen, die international tätig sind, sehr schnell mit diesen Plattformen und den damit verbundenen Risiken in Berührung gelangen.

Darüber hinaus gibt es auch einen unternehmensinternen Grund für das Entstehen von Schatten-IT. Es ist den IT-Abteilungen in vielen Unternehmen in den vergangenen Jahren nicht gelungen, mit den Veränderungen in der Arbeitswelt und der rasanten technischen Weiterentwicklung Schritt zu halten. In vielen Unternehmen sind die bisherigen Versuche, ein unternehmensweites Kommunikations- und Dokumentenmanagementsystem zu etablieren, gescheitert. Und selbst wenn es ein solches System im Unternehmen gibt – in der Regel als unternehmensinterne Workgroup-Lösung oder Intranet –, so kann dieses in punkto Performance, Flexibilität und Benutzerfreundlichkeit modernen Filesharing-Plattformen meist nicht das Wasser reichen, sodass ein Umstieg der Mitarbeiter droht.

SCHATTEN-IT WEIT VERBREITET
Schatten-IT bei uns im Unternehmen? Gibt es nicht! Alle jene IT-Verantwortlichen, die das behaupten, sollten sich die folgenden Zahlen ganz genau durchlesen: IDC hat bereits im Jahr 2013 unter 260 IT- und Fachabteilungsleitern aus dem deutschsprachigen Raum mit mindestens 100 Mitarbeitern eine Marktbefragung zum Thema Cloud Computing durchgeführt. Dabei zeigte sich, dass 44 Prozent der Fachbereiche kostenlose oder kostenpflichtige Dienste aus der Cloud nutzen, ohne die IT-Abteilung einzubeziehen. Drei Viertel davon verwenden die Cloud Services zumindest teilweise, ein Viertel sogar sehr intensiv. Die Analysten gehen sogar davon aus, dass die Zahl in der Realität noch höher liegt. Ihre Begründung: Die IT-Abteilungen seien ja nicht involviert und könnten daher auch nicht von der Nutzung wissen: Zudem spricht keiner gern über Schatten-IT.

Laut einer Umfrage des Marktforschungsinstituts Techconsult aus dem vergangenen Jahr nutzen in mehr als jedem zweiten deutschen Unternehmen Fachabteilungen eigenmächtig Cloud Services und entmachten damit die IT-Abteilung. Service Level Agreements werden umgangen oder nicht eingehalten, IT-Support durch die IT-Abteilung ist nicht gewährleistet. Und wie eine Umfrage von BT Ende 2014 ergab, haben auch die IT-Leiter das Phänomen Schatten-IT inzwischen erkannt: 75 Prozent der CIO beobachten eine entsprechende Entwicklung in ihren Unternehmen. Laut einer Studie von Steria Mummert aus dem Sommer 2014 zum Thema Collaborative Working beschäftigt sich zwar der Großteil der befragten Unternehmen mit diesem Thema und verfolgt dabei auch eine unternehmensweite Umsetzung – aber nut vier Prozent planen derzeit konkret eine unternehmensweite Umsetzung. Vernetztes Arbeiten erfolgt derzeit hauptsächlich in den IT-Abteilungen (86 Prozent).

Was also tun? Ein „Schatten-IT-Notfallplan“ soll IT-Verantwortlichen dabei helfen, das Risiko von Schatten-IT im eigenen Unternehmen zu minimieren bzw. zu kontrollieren. Denn wenn es für den Endanwender keinen Grund gibt, sich nach Alternativen umzusehen, wird er dies auch nicht tun, sondern auf von der Unternehmens-IT bereitgestellte Lösungen zurückgreifen.

NOTFALLPLAN FÜR CIO GEGEN SCHATTEN-IT
1. Überprüfen Sie Ihr Unternehmen auf Schatten-IT: Dies kann durch eine Auswertung entsprechender Firewall Logfiles oder Berichte zur Analyse der genutzten Anwendungen, aber auch durch die Kontrolle von Kreditkartenabrechnungen und Rechnungen an Fachabteilungen (z.B. für Cloud Services) erfolgen.
2. Hüten Sie sich vor Vorwürfen gegenüber Kollegen: Das hilft in der Regel wenig, vor allem, wenn sich Kollegen in den Fachabteilungen damit rechtfertigen können, dass die IT-Abteilung keine adäquate Anwendungen und Dienste zur Verfügung stellen kann, und sie somit quasi gezwungen sind, auf externe Dienste umzusteigen.
3. Aufklärung der Anwender: In der Praxis zeigt sich immer wieder, dass sich Anwender gar nicht bewusst sind, auf welch dünnem Eis sie sich beim Einsatz externer Dienste bewegen. Doch Unwissenheit schützt vor Strafe nicht und deshalb sollte es regelmäßige Schulungen zum Thema Schatten-IT und deren Risiken geben.
4. Bieten Sie attraktive Alternativen: Damit nehmen Sie Schatten-IT-Tendenzen den Wind aus den Segeln. Für Collaboration etwa gibt es etliche Alternativen zu Dropbox & Co, die unter der Kontrolle der IT-Abteilung betrieben werden können und dem Endanwender genau dieselbe Funktionalität und Flexibilität bieten.

* Der Autor Peter Weger ist Geschäftsführer von Oodrive Germany.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*