Schatten-IT: Hinter dem Rücken der IT

Die Cloud macht's möglich: 80 Prozent aller Angestellten verwenden für ihre Arbeit nicht genehmigte Apps. [...]

„Diese eine App, die ich auch privat verwende, wäre für die Arbeit, die im Job gerade ansteht, enorm hilfreich. Blöd, dass die hauseigene IT-Abteilung so eine Anwendung nicht bereitstellt. Ich könnte zwar den Wunsch nach so einer App anbringen, aber das würde dann wieder Monate dauern, bis die schwer überforderte IT das umgesetzt hat. Und ich brauche die Ergebnisse sofort. Was soll’s – verwende ich meine App. Auch wenn ich weiß, dass die IT-Abteilung den Einsatz nicht autorisierter Apps für Unternehmenszwecke eigentlich verbietet. Aber die Arbeit geht damit so viel schneller.“

So ähnlich sieht das Dilemma aus, in dem viele Mitarbeiter heute stecken. Solche Anwendungen, die nicht von der IT-Abteilung genehmigt sind, werden als Schatten-IT bezeichnet. Mit der breiten und unkomplizierten Verfügbarkeit von Apps – insbesondere die Cloud ermöglicht relativ leichten Zugang zu SaaS-Anwendungen – können sich die Mitarbeiter auch ohne Hilfe der IT-Abteilung mit nützlichen IT-Tools ausrüsten. Und das tun sie auch. Ohne die IT-Abteilung zu informieren oder deren Genehmigung einzuholen: Laut einer von Frost & Sullivan im Auftrag von McAfee durchgeführten Untersuchung nutzen mehr als 80 Prozent der befragten Mitarbeiter während der Arbeit nicht genehmigte SaaS-Anwendungen.

Fast 35 Prozent aller SaaS-Anwendungen, die in Unternehmen genutzt werden, sind somit nicht genehmigt und fallen in den Bereich der Schatten-IT. Spitzenreiter ist dabei Microsoft Office 365, dicht gefolgt von Zoho, LinkedIn und Facebook. 15 Prozent der Anwender haben sich dabei bereits die Finger verbrannt und ein Sicherheits-, Zugriffs- oder Haftungsereignis bei der Nutzung von nicht genehmigten SaaS-Anwendungen erlebt. Trotzdem wird weiter Schatten-IT verwendet. Und zwar, weil „man damit IT-Abläufe umgehen kann“ (39 Prozent) bzw. „die Arbeit nicht durch IT-Restriktionen erschwert wird“ (18 Prozent). Die IT-Abteilungen zeigen in diesem Zusammenhang wenig Vorbildwirkung: IT-Mitarbeiter, die eigentlich IT-Richtlinien durchsetzen sollten, haben mehr ungenehmigte SaaS-Anwendungen im Einsatz als Mitarbeiter anderer Abteilungen.

So hilfreich Schatten-Anwendungen im Einzelfall auch sind, können sie doch auch eine Bedrohung darstellen. „Nicht genehmigte SaaS-Anwendungen sind mit Risiken verbunden, insbesondere in Bezug auf Sicherheit, Rechtskonformität und Verfügbarkeit“, sagt Lynda Stadtmueller von Frost & Sullivan. „Technisch nicht versierte Mitarbeiter wählen möglicherweise SaaS-Anbieter oder Konfigurationen aus, die nicht die Unternehmensstandards für Datenschutz und Verschlüsselung erfüllen. Sie bemerken möglicherweise nicht, dass die Nutzung derartiger Anwendungen den Bestimmungen für vertrauliche Kundendaten zuwiderläuft und das Unternehmen dem Haftungsrisiko für Sicherheitslücken aussetzt.“

Was aber veranlasst die Mitarbeiter, gegen Bestimmungen zu handeln und nicht genehmigte Anwendungen zu implementieren? Häufig geschieht das nicht mit böser Absicht – oft versuchen Mitarbeiter nur, ihre Arbeit besser zu erledigen oder zu vereinfachen. „Wenn über 80 Prozent der Mitarbeiter zugeben, dass sie nicht genehmigte SaaS-Anwendungen bei der Arbeit nutzen, müssen Unternehmen den Zugriff auf Anwendungen ermöglichen, mit denen Mitarbeiter produktiver sein können“, kommentiert Pat Calhoun, General Manager Network Security bei McAfee. Angesichts der zunehmenden Nutzung von SaaS-Anwendungen empfiehlt er Unternehmen Richtlinien zu entwickeln, bei denen Flexibilität und Kontrolle im richtigen Verhältnis zueinander stehen. „Mitarbeitern sollten bestimmte Apps zugunsten einer höheren Produktivität nutzen dürfen. Aber nicht ohne Kontrollen zum Schutz der Daten und der Reduzierung des Unternehmensrisikos.“ (oli)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*