Want to read it in English instead? Click here for the article in English.
Wenn sich Geräte oder Anwendungen außerhalb der Sichtbarkeit und Kontrolle der IT-Abteilung befinden, spricht man von Schatten-IT. Die Folgen dieser unautorisierten Anwendungen sind in der Regel negativ. Aber was genau sind die Auswirkungen und wie kann der Problematik entgegengewirkt werden?
Das Entstehen von Schatten-IT erfolgt eigentlich aus einer guten Absicht. Die dafür Verantwortlichen haben es gut gemeint und wollen aktuelle Prozesse beschleunigen oder einfach neue Ideen umsetzen. Oft geht es dabei sogar um die Entlastung der IT, die Chancen der Digitalisierung oder einfach nur den großen Marktdruck des Gesamtunternehmens.
Aber: Am Ende funktioniert der digitale Wandel nur mit einer transparenten Systemlandschaft. Anwendungen, die ohne deren Wissen an der IT vorbei installiert werden, gefährden die Sicherheit der Geräte, des gesamten Netzwerkes, können enorme Schäden erzeugen und haben damit eine direkte Auswirkung auf die Wettbewerbsfähigkeit des Unternehmens. Unter dem Radar des CIOs oder der IT-Verantwortlichen kann eine Gefährdung des gesamten Unternehmens stattfinden.
Die Ressourcen in der IT-Abteilung sind in der Regel sehr begrenzt. Dahinter steckt kein böser Wille der Administratoren, sie sind nur permanent am Limit und versuchen, die IT-Systeme trotz Mangel bestmöglich am Laufen zu halten. Ihr Fokus liegt einfach auf der IT-Unterstützung der wesentlichen bzw. sichtbaren Wertschöpfungsprozesse. In der Regel bleiben dann oft weder Zeit, noch personelle Ressourcen für Anforderungen der Fachbereiche, um z.B. Spezialfälle abzubilden. Wie wichtig aber solche Lösungen für die Fachabteilungen sein können, ist der IT dabei oft nicht bewusst.
Fachabteilung warten verzweifelt auf Systeme, die für sie selbst und ihre tägliche Arbeit von elementarer Wichtigkeit sind und entschließt sich am Ende zur Selbsthilfe. Dies ist dann der Anfang von unkontrollierbaren Risiken, die eigentlich gerade durch eine standardisierte IT eingedämmt werden sollten.
Sicherheitsrisiken sind das größte Problem. Wenn fremde Systeme an die Firmeninfrastruktur einfach so angeschlossen werden, dann kann das Unternehmen die Daten nicht mehr kontrollieren. Durch die ungetestete und unter Umständen unsichere IT öffnet man die Tore für externe Angriffe, während man intern mit sehr viel Aufwand und Technik versucht, Schädlinge fernzuhalten.
Die Sicherheit der IT-Infrastruktur sollte immer im Fokus stehen. Geräte und Anwendungen, die nicht unter der Kontrolle der IT-Abteilung sind, können gravierende Sicherheitslücken sein, die nicht mehr geschlossen werden können. Die Überprüfung, ob alle wichtigen Sicherheitsupdates eingespielt wurden oder Treiber sauber funktionieren, ist einfach unmöglich. Firewalls werden umgangen und die IT-Infrastruktur droht den IT-Verantwortlichen komplett aus der Hand zu gleiten.
Zentralistische und autonome Vorgehensweisen sind sicher die beiden extremen Ausprägungen im Umgang mit IT-Systemen, haben aber auch immer ihre Berechtigungen, je nach Anforderungen. So ist es in sicherheitskritischen Bereichen wie z.B. Health oder Defense notwendig, sehr restriktiv zu sein. Das birgt natürlich immer auch die Gefahr, in einem Machtkampf zwischen IT-Abteilung und den Mitarbeitern zu enden. Daraufhin kann der Umfang von Schatten-IT sogar zunehmen, da die Mitarbeiter jegliche Zusammenarbeit mit der IT-Abteilung meiden.
Die autonome Lösung ist selten umzusetzen, da in den wenigsten Unternehmen bei den Mitarbeitern das nötige Know-How vorhanden ist. Aus Sicht der IT-Security ist es nahezu unmöglich, bei einem Datenleck oder erfolgreichen Cyberangriff, das Einfallstor aufzuspüren.
In den meisten Unternehmen wird eine ausgeglichene Lösung zwischen dem zentralistischen und dem autonomen Ansatz eingesetzt. Damit dieser Mittelweg erfolgreich beschritten werden kann, müssen umfangreiche Maßnahmen ergriffen werden.
Da verdeckt eingesetzte IT häufig von Privatanwendern stammt und auch für Privatanwender bestimmt ist, die anderen Sicherheitsstandards unterliegen, entstehen neben sicherheitstechnischen unter Umständen auch datenschutzrechtliche Probleme. Zertifizierungen und die Einhaltung von Compliance- und Datenschutz-Vorschriften werden quasi unmöglich. Bedenkt man, dass in nicht allzu ferner Zukunft über 80 % aller Unternehmen unter die KRITIS-Verordnung fallen, ist diese Entwicklung haarsträubend.
Fast noch problematischer ist, dass mit der Schatten-IT wieder heterogene IT-Landschaften und IT-Inseln entstehen, die unkontrollierbar sind und die zentrale Steuerung der Gesamt-IT eines Unternehmens gefährden.
Die Schatten-IT birgt aber noch viele weitere Probleme: Es werden Lizenzrechte verletzt, wenn private Software im Unternehmensumfeld genutzt werden. Für die eingesetzten Anwendungen liegen in der Regel keine Service Level Agreements vor. Und zu guter Letzt werden die Lösungen auch nicht vom IT-Support betreut.
Im Zentrum der Bekämpfung der Schatten-IT steht die Motivsuche. Was bewegt die Mitarbeiter, sich abseits der offiziellen IT zu bedienen? Warum nutzen Mitarbeiter etwa eine eigene Anwendung statt des zur Verfügung gestellten Systems? Fehlt es an Anwenderwissen oder mangelt es an wichtigen Funktionen?
Einer der wichtigsten Gründe – das zeigen mehrere Studien – ist, dass der IT-Beschaffungsprozess heutzutage in den meisten Unternehmen kränkelt. Die IT-Abteilung liefert die Services aus Sicht der abhängigen Fachabteilungen oft nicht in der Qualität und in der Zeit, die für die unternehmerischen Ziele notwendig wären.
Wichtig ist in jedem Fall, darauf zu achten, dass die vom Unternehmen bereitgestellten Lösungen genauso unkompliziert, komfortabel und leistungsstark sind, wie die von den Mitarbeitern verwendeten Services oder die aus dem Privaten bekannten Consumer-Dienste. Genau wegen dieser Eigenschaften weichen die Mitarbeiter schließlich auf diese Dienste aus.
Eine nachhaltige Möglichkeit, Schatten-IT zu verhindern, ist die Umgestaltung der IT-Organisation. Mitarbeiter und Unternehmensleitung sollten damit aufhören, die IT nur als eine von vielen Abteilungen zu betrachten. Stattdessen sollte die IT-Abteilung zu einer Service- und Beratungsstelle umformiert werden, die als Anlaufpunkt für den IT-Bedarf der Fachabteilungen fungiert. Dann wird man auch merken, dass sich die Kollegen aus den Fachabteilungen viel besser mit IT auskennen als die „IT-Experten“ und genau wissen, was sie von der IT möchten. Daneben tragen auch interne Schulungen bedeutend dazu bei, das Bewusstsein der Mitarbeiter für die durch Schatten-IT entstehenden Gefahren, zu erhöhen.
Wenn Sie wissen, was den Mitarbeitern fehlt und was sie sich wünschen haben Sie schon den halben Weg beschritten. Nehmen Sie der Schatten-IT endgültig den Wind aus den Segeln, indem Sie den Nutzern die gewünschten Tools offiziell und entsprechend abgesichert bereitstellen – oder ihnen Alternativen nahebringen.
Schatten-IT birgt Risiken, aber auch Chancen. In ihr drückt sich letztlich das Bedürfnis der Fachabteilungen aus, sich von den Fesseln der vorgegebenen Technologien zu befreien. IT-Abteilungen wiederum sollten akzeptieren, dass die Fachbereiche heute ein starkes Bedürfnis nach Unabhängigkeit und Freiheit haben. Die Mitarbeiter wissen vor allem oft viel besser Bescheid um ihren Bedarf, als die IT-Experten selbst.
Letzten Endes gibt es nur eine Lösung für das Problem Schatten-IT: Die IT-Abteilung muss den Mitarbeitern die Anwendungen zur Verfügung stellen, die sie für die tägliche Arbeit brauchen – und das nicht in Wochen, sondern in Tagen oder besser noch Stunden oder Minuten. Die Umorientierung der IT hin zu Bereitstellungsmodellen ist ein gutes Mittel, um von den Usern akzeptierte Anwendungen zeitnah anbieten zu können.
Melden Sie sich für unsere 30 Tage Probeversion und beginnen Sie den Kampf gegen Schatten-IT.