Schatten-IT: Wie Mitarbeiter Unternehmen gefährden und was Komfort damit zu tun hat

Meist aus Bequemlichkeit und Zweckdienlichkeit nutzt man seine privaten Geräte und Software-Tools, um aus dem Homeoffice seine Arbeit so effizient wie möglich zu erledigen. [...]

Die Nutzung eigener Tools wird von Mitarbeitern oft bequemer wahrgenommen, als die zuständige IT-Abteilung bei Problemen zu kontaktieren. (c) Pixabay

Der VPN-Zugang soll in Unternehmen zu mehr Sicherheit führen. Oftmals ist die Verbindung nicht immer stabil und dann ist der Zugriff aus dem Homeoffice auf das Firmennetzwerk nicht möglich. Was dann? Wieso nicht einfach mit allen Kollegen die zur Arbeit relevanten Dateien und Informationen in einem Cloud-Storage-Anbieter wie Dropbox oder Google Drive speichern, teilen und austauschen. Das Ausdrucken von sensiblen Firmendokumenten auf dem heimischen Netzwerkdrucker sollte auch kein Sicherheitsrisiko darstellen. Was soll schon passieren. Die Kinder interessiert es nicht, was Mama oder Papa für die Arbeit dort ausdrucken.Solche Szenarien waren vor allem im Lauf der vergangenen Monate keine Seltenheit im Arbeitsalltag von vielen Angestellten.

IT-Sicherheitsexperten sprechen dabei von der sogenannten Schatten-IT; die Informationstechnik, die von der IT-Abteilung des Unternehmens abgekoppelt ist und keiner Sicherheitskontrolle unterliegt. Die Nutzung eigener Tools wird von Mitarbeitern oft bequemer wahrgenommen, als die zuständige IT-Abteilung bei Problemen zu kontaktieren. Welche Gefahren die Schatten-IT jedoch birgt und was man daraus lernen kann, erfahren Sie in diesem Artikel.

Mitarbeiter handeln nicht in böser Absicht

Wenn Mitarbeiter auf private Geräte oder Tools zurückgreifen, die von der IT-Abteilung nicht überwacht und upgedatet werden, tun sie dies nicht aus Böswilligkeit, sondern um ihre Arbeit schnell und bequem zu erledigen. Oftmals ergeben sich im Homeoffice Probleme, die man nicht vom Büroarbeitsplatz gewohnt ist. Solchen Situationen rauben den letzten Nerv, damit man seine Arbeit doch irgendwie erledigen kann, nutzt man eben seine privaten Tools und Geräte, von denen man weiß, dass sie wenigstens funktionieren.

Gefahren durch Schatten-IT

Nutzen Mitarbeiter ihre Privat-Geräte oder -Software, bringt das einige Sicherheitsproblematiken mit sich:

  • Keine Wartung durch die IT-Abteilung

Während die IT-Abteilung dafür sorgt, dass regelmäßig Sicherheitsupdates automatisch in die Systeme eingespielt werden, wird dies Zuhause oft vernachlässigt. Heimische Computer, Privatgeräte oder Software-Tools werden nicht auf dem aktuellen Stand gehalten, weil Updates als zeitaufwendig empfunden werden. Alte Software enthält jedoch vermehrt Sicherheitslücken, welche im Laufe der Zeit bekannt werden – auch Hacker kennen diese Lücken und können so leicht Schadsoftware integrieren und sich so Zugriff auf die Firmendaten und -dokumente verschaffen. Somit erhöht sich das Risiko, Opfer von Cyberattacken zu werden. 

  • Datenschutzrichtlinien werden verletzt

Unternehmen müssen dafür sorgen, dass ihre Daten gemäß der Datenschutzgrundverordnung abgesichert werden. Nutzen Mitarbeiter zum Austausch jedoch ihre privaten Cloud-Storage-Dienste, verletzt dieses Verhalten unter Umständen die Sicherheits-Compliance des Unternehmens. Wenn auf diese Weise Firmen- und Kundendaten in die Hände Dritter gelangen, kann das Unternehmen auch dafür haftbar gemacht werden. Dadurch können nicht nur finanzielle Verluste und Image-Schäden entstehen, sondern auch komplette Produktionsausfälle ausgelöst werden.

Der Arbeitgeber ist in der Pflicht, für Sicherheit zu sorgen

Es ist Aufgabe der Arbeitgeber, ihren Mitarbeitern einen sicheren Arbeitsplatz zur Verfügung zu stellen – auch im Homeoffice. Die Absicherung der IT-Infrastruktur gehört also auch zu jenen Pflichten. Häufig empfinden Mitarbeiter Sicherheitsprozesse jedoch als lästig, z. B. wenn man sich für jede Anwendung ein einzigartiges kryptisches Passwort merken muss. Bei solchen Anforderungen ist es vorprogrammiert, dass die Passwörter physisch oder digital aufgeschrieben werden und per Post-it unter der Tastatur aufbewahrt werden. Damit solche Sicherheitsanforderungen nicht zu Cyberrisiken werden, kann ein sicherer Passwort-Manager Abhilfe leisten. Mit einem Passwort Manager werden komplexe und einzigartige Passwörter auf einen Klick generiert und in der Anwendung gespeichert, so können Mitarbeiter sich automatisch einloggen – ohne sich schwere Passwörter merken zu müssen. Ein Passwort Manager kann Mitarbeitern also mehr Komfort bescheren, da das Merken vieler Passwörter zunichtewird. Ebenso kann ein Passwort Manager zu mehr Komfort in der IT-Abteilung führen, da häufiges „Passwort vergessen“ der Vergangenheit angehört.

Schatten-IT als Chance

Unternehmen können natürlich einfach bestimmte Anwendungen für Mitarbeiter blockieren. Dieses Vorgehen ist jedoch auch nicht zielführend, da Mitarbeiter dann einfach schnell ihre eigenen Tools und Anwendungen nutzen, um produktiv zu sein. Arbeitgeber sollten daher einen offenen Dialog mit ihren Angestellten führen und diese auch zu ihren Vorschlägen und Ideen befragen. So lassen sich unter Umständen sogar Möglichkeiten identifizieren, wie durch neue Tools Prozesse effizienter gestaltet werden können. Wenn diese dann in die Tool-Landschaft des Unternehmens integriert – also aus ihrem Schattendasein herausgeholt werden – profitieren letztendlich alle Beteiligten davon. 

Wenn durch regelmäßige Schulungen ein Bewusstsein für Cybergefahren geschaffen wird und den Mitarbeitern gleichzeitig die richtigen Tools an die Hand gegeben werden, kann der Arbeitsalltag nicht nur vereinfacht und komfortabler werden, auch Schatten-IT hat so keine Chance mehr.

*Der Autor Sascha Martens ist CTO bei Mateso.


Mehr Artikel

News

6 Grundsätze für eine KI-taugliche Datenbasis

Wer Künstliche Intelligenz nutzen will, muss über eine vertrauenswürdige Datengrundlage verfügen. Daten sind das Lebenselixier von KI-Systemen und bestimmen maßgeblich die Qualität und Zuverlässigkeit der Ergebnisse. Nur so können KI-Modelle robust, anpassungsfähig und vertrauenswürdig arbeiten. […]

News

Cybersicherheitsbudgets werden falsch priorisiert

Der ICS/OT Cybersecurity Budget Report 2025 von OPSWAT deckt erhebliche Lücken in den Cybersicherheitsbudgets sowie einen Anstieg von ICS/OT-fokussierten Angriffen auf. Ferner wird deutlich, wie durch eine unzureichende Finanzierung, falsch gesetzte Prioritäten und uneinheitliche Abwehrmaßnahmen kritische Infrastrukturen immer raffinierteren Bedrohungen ausgesetzt sind. […]

News

Nach dem Hype: Diese vier KI-Trends werden 2025 weiterhin prägen

Die vergangenen zwei Jahre haben einen regelrechten KI-Boom erlebt. Insbesondere generative Modelle (GenAI) haben sich rasant weiterentwickelt und etablieren sich zunehmend als feste Größe in den Arbeitsprozessen von Organisationen weltweit. Angesichts dieser Dynamik fragen sich nun viele Unternehmen, welche Entwicklungen das Jahr 2025 bestimmen werden und welche Potenziale sich daraus ergeben. […]

News

Generative KI als Sicherheitsrisiko

Eine neue Studie von Netskope zeigt einen 30-fachen Anstieg der Daten, die von Unternehmensanwendern im letzten Jahr an GenAI-Apps (generative KI) gesendet wurden. Dazu gehören sensible Daten wie Quellcode, regulierte Daten, Passwörter und Schlüssel sowie geistiges Eigentum. Dies erhöht das Risiko von kostspieligen Sicherheitsverletzungen, Compliance-Verstößen und Diebstahl geistigen Eigentums erheblich. […]

1 Comment

  1. Also ich für meinen Teil habe den Firmenlaptop benutzt.
    Weil wenn dann wegen Überbelastung der CPU, RAM oder Festplatte mein eingenes Notebook kaputt gegangen wäre, hätte ich mich schön geärgert.
    Ich habe auch ein Bedürfnis meine persönlichen Geräten von jenen für die Arbeit zu trennen.
    Zudem war mir klar, dass die Firma eventuell mitüberwacht was ich gerade tue, da hätte ich nicht wollen, dass man meine privaten Daten einsehen kann (selbst mit mehreren Paritionen denke ich wenn es nicht verschiedene Festplatten oder Drives gewesen wären, wäre das gegangen).
    Das man allerdings Schatten-IT zu privaten Geräten sagt ist mir neu.
    Wieder was gelernt.

Leave a Reply

Your email address will not be published.


*