Schatten-IT: Wie Mitarbeiter Unternehmen gefährden und was Komfort damit zu tun hat

Meist aus Bequemlichkeit und Zweckdienlichkeit nutzt man seine privaten Geräte und Software-Tools, um aus dem Homeoffice seine Arbeit so effizient wie möglich zu erledigen. [...]

Der VPN-Zugang soll in Unternehmen zu mehr Sicherheit führen. Oftmals ist die Verbindung nicht immer stabil und dann ist der Zugriff aus dem Homeoffice auf das Firmennetzwerk nicht möglich. Was dann? Wieso nicht einfach mit allen Kollegen die zur Arbeit relevanten Dateien und Informationen in einem Cloud-Storage-Anbieter wie Dropbox oder Google Drive speichern, teilen und austauschen. Das Ausdrucken von sensiblen Firmendokumenten auf dem heimischen Netzwerkdrucker sollte auch kein Sicherheitsrisiko darstellen. Was soll schon passieren. Die Kinder interessiert es nicht, was Mama oder Papa für die Arbeit dort ausdrucken.Solche Szenarien waren vor allem im Lauf der vergangenen Monate keine Seltenheit im Arbeitsalltag von vielen Angestellten.

IT-Sicherheitsexperten sprechen dabei von der sogenannten Schatten-IT; die Informationstechnik, die von der IT-Abteilung des Unternehmens abgekoppelt ist und keiner Sicherheitskontrolle unterliegt. Die Nutzung eigener Tools wird von Mitarbeitern oft bequemer wahrgenommen, als die zuständige IT-Abteilung bei Problemen zu kontaktieren. Welche Gefahren die Schatten-IT jedoch birgt und was man daraus lernen kann, erfahren Sie in diesem Artikel.

Mitarbeiter handeln nicht in böser Absicht

Wenn Mitarbeiter auf private Geräte oder Tools zurückgreifen, die von der IT-Abteilung nicht überwacht und upgedatet werden, tun sie dies nicht aus Böswilligkeit, sondern um ihre Arbeit schnell und bequem zu erledigen. Oftmals ergeben sich im Homeoffice Probleme, die man nicht vom Büroarbeitsplatz gewohnt ist. Solchen Situationen rauben den letzten Nerv, damit man seine Arbeit doch irgendwie erledigen kann, nutzt man eben seine privaten Tools und Geräte, von denen man weiß, dass sie wenigstens funktionieren.

Gefahren durch Schatten-IT

Nutzen Mitarbeiter ihre Privat-Geräte oder -Software, bringt das einige Sicherheitsproblematiken mit sich:

• Keine Wartung durch die IT-Abteilung

Während die IT-Abteilung dafür sorgt, dass regelmäßig Sicherheitsupdates automatisch in die Systeme eingespielt werden, wird dies Zuhause oft vernachlässigt. Heimische Computer, Privatgeräte oder Software-Tools werden nicht auf dem aktuellen Stand gehalten, weil Updates als zeitaufwendig empfunden werden. Alte Software enthält jedoch vermehrt Sicherheitslücken, welche im Laufe der Zeit bekannt werden – auch Hacker kennen diese Lücken und können so leicht Schadsoftware integrieren und sich so Zugriff auf die Firmendaten und -dokumente verschaffen. Somit erhöht sich das Risiko, Opfer von Cyberattacken zu werden. 

• Datenschutzrichtlinien werden verletzt

Unternehmen müssen dafür sorgen, dass ihre Daten gemäß der Datenschutzgrundverordnung abgesichert werden. Nutzen Mitarbeiter zum Austausch jedoch ihre privaten Cloud-Storage-Dienste, verletzt dieses Verhalten unter Umständen die Sicherheits-Compliance des Unternehmens. Wenn auf diese Weise Firmen- und Kundendaten in die Hände Dritter gelangen, kann das Unternehmen auch dafür haftbar gemacht werden. Dadurch können nicht nur finanzielle Verluste und Image-Schäden entstehen, sondern auch komplette Produktionsausfälle ausgelöst werden.

Der Arbeitgeber ist in der Pflicht, für Sicherheit zu sorgen

Es ist Aufgabe der Arbeitgeber, ihren Mitarbeitern einen sicheren Arbeitsplatz zur Verfügung zu stellen – auch im Homeoffice. Die Absicherung der IT-Infrastruktur gehört also auch zu jenen Pflichten. Häufig empfinden Mitarbeiter Sicherheitsprozesse jedoch als lästig, z. B. wenn man sich für jede Anwendung ein einzigartiges kryptisches Passwort merken muss. Bei solchen Anforderungen ist es vorprogrammiert, dass die Passwörter physisch oder digital aufgeschrieben werden und per Post-it unter der Tastatur aufbewahrt werden. Damit solche Sicherheitsanforderungen nicht zu Cyberrisiken werden, kann ein sicherer Passwort-Manager Abhilfe leisten. Mit einem Passwort Manager werden komplexe und einzigartige Passwörter auf einen Klick generiert und in der Anwendung gespeichert, so können Mitarbeiter sich automatisch einloggen – ohne sich schwere Passwörter merken zu müssen. Ein Passwort Manager kann Mitarbeitern also mehr Komfort bescheren, da das Merken vieler Passwörter zunichtewird. Ebenso kann ein Passwort Manager zu mehr Komfort in der IT-Abteilung führen, da häufiges „Passwort vergessen“ der Vergangenheit angehört.

Schatten-IT als Chance

Unternehmen können natürlich einfach bestimmte Anwendungen für Mitarbeiter blockieren. Dieses Vorgehen ist jedoch auch nicht zielführend, da Mitarbeiter dann einfach schnell ihre eigenen Tools und Anwendungen nutzen, um produktiv zu sein. Arbeitgeber sollten daher einen offenen Dialog mit ihren Angestellten führen und diese auch zu ihren Vorschlägen und Ideen befragen. So lassen sich unter Umständen sogar Möglichkeiten identifizieren, wie durch neue Tools Prozesse effizienter gestaltet werden können. Wenn diese dann in die Tool-Landschaft des Unternehmens integriert – also aus ihrem Schattendasein herausgeholt werden – profitieren letztendlich alle Beteiligten davon. 

Wenn durch regelmäßige Schulungen ein Bewusstsein für Cybergefahren geschaffen wird und den Mitarbeitern gleichzeitig die richtigen Tools an die Hand gegeben werden, kann der Arbeitsalltag nicht nur vereinfacht und komfortabler werden, auch Schatten-IT hat so keine Chance mehr.

*Der Autor Sascha Martens ist CTO bei Mateso.