Schatten-IT – der dunklen Seite keine Chance

Claudio Damiao
Claudio Damiao
Veröffentlicht am
01.09.2022
Schatten-IT – der dunklen Seite keine Chance

Schatten-IT gilt als ein aktueller Security-Trend. Obwohl sie weit verbreitet ist, wird sie in vielen Unternehmen nur wenig berücksichtigt. Eine Ursache dafür scheint zu sein, dass die potenziellen Auswirkungen von Schatten-IT als gering eingeschätzt werden, wie Untersuchungen der Hochschule Konstanz darlegen. Dies kann gefährliche Folgen haben. Dabei ist es kein Hexenwerk, die Gefahren zu eliminieren.

Ein erster wichtiger Schritt besteht darin, Awareness zu schaffen. Es gilt, das Thema in seiner gesamten Bedeutung zu verstehen. Dies beginnt beim Begriff.

Schatten-IT – Definition und Beispiele

Schatten-IT bezeichnet Geräte und Tools, die ohne Wissen, Genehmigung und somit ohne Unterstützung der IT-Abteilung genutzt werden. Es kann sich um Hardware wie das private Smartphone handeln, mit dem ein Mitarbeiter Unternehmensdaten abruft beziehungsweise bearbeitet. Immerhin ist Bring your own Device eine gängige Praxis im Arbeitsalltag. Aber auch Bring your own Software zählt dazu. Davon ist dann die Rede, wenn Mitarbeiter selbst ausgewählte Tools, zum Beispiel aus der Cloud, verwenden, um Aufgaben im Rahmen ihrer Tätigkeit für das Unternehmen zu erledigen. Kurz: Schatten-IT-Beispiele sind vielfältig.

Ursachen für Schatten-IT

Ebenso wichtig ist zu verstehen, dass dieser Art des Vorgehens per se keine böswillige Intention zugrunde liegt. Die Mitarbeiter, die „eigene“ Lösungen verwenden, sind nahezu immer hoch motiviert und sehen in ihrem Vorgehen den besten Weg, um ihre Aufgaben zu erledigen. Häufig stellt ihnen das Unternehmen keine geeigneten und attraktiven Möglichkeiten zur Verfügung, weil es zum Beispiel veraltete Lösungen einsetzt. Dies bestätigt die Arbeit der Hochschule Konstanz. Darin heisst es: „Ein wesentlicher Treiber für die Schatten-IT ist ein mangelhaftes Alignment von Fachbereich und IT.“ Die vergrösserte organisatorische Distanz zwischen den beiden Organisationseinheiten erhöhe die Wahrscheinlichkeit der Entstehung von Schatten-IT. Zudem zeigen die praktischen Erfahrungen, dass auch bei einem guten Alignment Schatten-IT entstehen könne, wenn der Fachbereich eine eigene Implementierung als schneller empfinde.

Die Anwender sind sich häufig weder der Risiken noch der Gefahren bewusst, die durch Schatten-IT aufkommen – ebenso wenig wie Entscheider und IT-Verantwortliche, die nicht selten sogar dankbar sind, dass sich Mitarbeiter selber kümmern und ihnen Aufwand, hohe Kosten für das Beschaffen sowie Implementieren von IT erspart bleiben. Doch dabei handelt es sich um Fehlannahmen.

Schwachstellen und Risiken

„Aus der Schatten-IT ergeben sich per Definition zahlreiche Risiken“, so die Hochschule Konstanz. Dies betreffe insbesondere Datensicherheit, Datenschutz und Compliance. Denn in vielen Fällen unterbleibe die Analyse schutzbedürftiger Daten, sodass Datenschutzkonzepte ungenügend sein können. Darüber hinaus werden häufig weder ausreichende Tests durchgeführt noch Dokumentationen erstellt. Dies führe dazu, dass Fehler in den Anwendungen auftreten können. Zudem sei Schatten-IT nutzerzentriert. Dadurch können intransparente Lösungen, Ausfallrisiken und Abhängigkeiten von Einzelpersonen entstehen. Nicht zuletzt werden oft unnötig viele verschiedene Lösungen eingesetzt, die nicht über Schnittstellen verbunden sind, sodass Datensilos erwachsen und Automatisierung, die wirklich Effizienz schafft sowie die Produktivität erhöht, nicht möglich ist.

Wie gross die Gefahren und Risiken sind, wird bei einer genaueren Betrachtung der Verbreitung und Relevanz von Schatten-IT deutlich. Die Hochschule Konstanz fand heraus, dass etwa 55 Prozent der gefundenen einschlägigen Systeme prozessrelevant waren, also die Durchführung des Prozesses von der Funktionsfähigkeit der Schatten-IT abhängig war. Etwas mehr als ein Drittel der Schatten-IT betraf sogar Abläufe, „die für die Geschäftsmodelle der Unternehmen kritisch waren“. Die übrige Schatten-IT war prozessbegleitend. Eine neuere Studie des Marktforschungsunternehmens Gartner zeigt, dass 41 Prozent der Mitarbeiter Technologie- oder Analysefunktionen für interne oder externe geschäftliche Zwecke und die Berichterstattung ausserhalb der IT-Abteilungen schaffen.

Schatten-IT die Attraktivität nehmen

Wer diese Art der IT reduzieren oder gar eliminieren will, kommt nicht umhin, die Anforderungen der Anwender ernst zu nehmen und dementsprechend zu berücksichtigen. Das funktioniert am besten, wenn Verantwortliche in den Fachabteilungen ins Boot geholt werden. Ihre Argumente gilt es dann mit denen der IT-Abteilung in Einklang zu bringen und Lösungen zu schaffen, die sowohl die Arbeit erleichtern als auch sicher sind.

Eine gute Grundlage: Google Workspace. Das Produkt vereint alle gängigen Office-Anwendungen unter einer Oberfläche. Die Spanne reicht von E-Mails über Dokumentenbearbeitung und Videokonferenzsoftware bis hin zum Kalender. Darüber hinaus lassen sich mehr als 5.000 Drittanwendungen, etwa für digitale Signaturen oder Customer Relationship Management, integrieren. Google unterstützt Cloud Identity, sodass sich User über eines der Protokolle wie SAML, oAuth, S-LDAP etc. mit ihrem Google Account authentifizieren müssen. Dies schafft Transparenz. Gleichzeitig können die User über den Webbrowser einfach und sicher auf die benötigten Lösungen zugreifen sowie orts- und geräteunabhängig mit Kollegen sowie Geschäftspartnern zusammenarbeiten.

Durch die zusätzliche Möglichkeit der zentralen Verwaltung hat die IT-Abteilung alles unter Kontrolle. Ob es sich um die Verwendung von Smartphones handelt oder das On- und Offboarding – mit geringem Aufwand lassen sich Berechtigungen zum Zugriff auf unternehmenskritische Daten sowie Anwendungen erteilen, entziehen und die sichere Nutzung gewährleisten. Ein Beispiel dafür ist das Mobile Device Management. Darüber hinaus können Administratoren zahlreiche benötigte Funktionen individuell konfigurieren. Werden die Mitarbeiter darüber hinaus geschult, die Tools korrekt zu verwenden und dafür sensibilisiert, welche Risiken eine nicht autorisierte Nutzung bergen kann, gibt es für Schatten-IT keine dunkle Ecke mehr.

Leuchten Sie also Ihre komplette IT-Landschaft aus! Gerne begleiten wir Sie dabei. Wir analysieren die Prozesse und eingesetzten Tools, beraten Sie hinsichtlich der Migration zu Google Workspace, unterstützen Sie bei der Umsetzung und bei der Weiterentwicklung Ihrer IT-Umgebung.

Kontaktieren Sie uns!
Jetzt herunterladen
Schatten-IT – der dunklen Seite keine Chance

Schatten-IT gilt als ein aktueller Security-Trend. Obwohl sie weit verbreitet ist, wird sie in vielen Unternehmen nur wenig berücksichtigt. Eine Ursache dafür scheint zu sein, dass die potenziellen Auswirkungen von Schatten-IT als gering eingeschätzt werden, wie Untersuchungen der Hochschule Konstanz darlegen. Dies kann gefährliche Folgen haben. Dabei ist es kein Hexenwerk, die Gefahren zu eliminieren.

Ein erster wichtiger Schritt besteht darin, Awareness zu schaffen. Es gilt, das Thema in seiner gesamten Bedeutung zu verstehen. Dies beginnt beim Begriff.

Schatten-IT – Definition und Beispiele

Schatten-IT bezeichnet Geräte und Tools, die ohne Wissen, Genehmigung und somit ohne Unterstützung der IT-Abteilung genutzt werden. Es kann sich um Hardware wie das private Smartphone handeln, mit dem ein Mitarbeiter Unternehmensdaten abruft beziehungsweise bearbeitet. Immerhin ist Bring your own Device eine gängige Praxis im Arbeitsalltag. Aber auch Bring your own Software zählt dazu. Davon ist dann die Rede, wenn Mitarbeiter selbst ausgewählte Tools, zum Beispiel aus der Cloud, verwenden, um Aufgaben im Rahmen ihrer Tätigkeit für das Unternehmen zu erledigen. Kurz: Schatten-IT-Beispiele sind vielfältig.

Ursachen für Schatten-IT

Ebenso wichtig ist zu verstehen, dass dieser Art des Vorgehens per se keine böswillige Intention zugrunde liegt. Die Mitarbeiter, die „eigene“ Lösungen verwenden, sind nahezu immer hoch motiviert und sehen in ihrem Vorgehen den besten Weg, um ihre Aufgaben zu erledigen. Häufig stellt ihnen das Unternehmen keine geeigneten und attraktiven Möglichkeiten zur Verfügung, weil es zum Beispiel veraltete Lösungen einsetzt. Dies bestätigt die Arbeit der Hochschule Konstanz. Darin heisst es: „Ein wesentlicher Treiber für die Schatten-IT ist ein mangelhaftes Alignment von Fachbereich und IT.“ Die vergrösserte organisatorische Distanz zwischen den beiden Organisationseinheiten erhöhe die Wahrscheinlichkeit der Entstehung von Schatten-IT. Zudem zeigen die praktischen Erfahrungen, dass auch bei einem guten Alignment Schatten-IT entstehen könne, wenn der Fachbereich eine eigene Implementierung als schneller empfinde.

Die Anwender sind sich häufig weder der Risiken noch der Gefahren bewusst, die durch Schatten-IT aufkommen – ebenso wenig wie Entscheider und IT-Verantwortliche, die nicht selten sogar dankbar sind, dass sich Mitarbeiter selber kümmern und ihnen Aufwand, hohe Kosten für das Beschaffen sowie Implementieren von IT erspart bleiben. Doch dabei handelt es sich um Fehlannahmen.

Schwachstellen und Risiken

„Aus der Schatten-IT ergeben sich per Definition zahlreiche Risiken“, so die Hochschule Konstanz. Dies betreffe insbesondere Datensicherheit, Datenschutz und Compliance. Denn in vielen Fällen unterbleibe die Analyse schutzbedürftiger Daten, sodass Datenschutzkonzepte ungenügend sein können. Darüber hinaus werden häufig weder ausreichende Tests durchgeführt noch Dokumentationen erstellt. Dies führe dazu, dass Fehler in den Anwendungen auftreten können. Zudem sei Schatten-IT nutzerzentriert. Dadurch können intransparente Lösungen, Ausfallrisiken und Abhängigkeiten von Einzelpersonen entstehen. Nicht zuletzt werden oft unnötig viele verschiedene Lösungen eingesetzt, die nicht über Schnittstellen verbunden sind, sodass Datensilos erwachsen und Automatisierung, die wirklich Effizienz schafft sowie die Produktivität erhöht, nicht möglich ist.

Wie gross die Gefahren und Risiken sind, wird bei einer genaueren Betrachtung der Verbreitung und Relevanz von Schatten-IT deutlich. Die Hochschule Konstanz fand heraus, dass etwa 55 Prozent der gefundenen einschlägigen Systeme prozessrelevant waren, also die Durchführung des Prozesses von der Funktionsfähigkeit der Schatten-IT abhängig war. Etwas mehr als ein Drittel der Schatten-IT betraf sogar Abläufe, „die für die Geschäftsmodelle der Unternehmen kritisch waren“. Die übrige Schatten-IT war prozessbegleitend. Eine neuere Studie des Marktforschungsunternehmens Gartner zeigt, dass 41 Prozent der Mitarbeiter Technologie- oder Analysefunktionen für interne oder externe geschäftliche Zwecke und die Berichterstattung ausserhalb der IT-Abteilungen schaffen.

Schatten-IT die Attraktivität nehmen

Wer diese Art der IT reduzieren oder gar eliminieren will, kommt nicht umhin, die Anforderungen der Anwender ernst zu nehmen und dementsprechend zu berücksichtigen. Das funktioniert am besten, wenn Verantwortliche in den Fachabteilungen ins Boot geholt werden. Ihre Argumente gilt es dann mit denen der IT-Abteilung in Einklang zu bringen und Lösungen zu schaffen, die sowohl die Arbeit erleichtern als auch sicher sind.

Eine gute Grundlage: Google Workspace. Das Produkt vereint alle gängigen Office-Anwendungen unter einer Oberfläche. Die Spanne reicht von E-Mails über Dokumentenbearbeitung und Videokonferenzsoftware bis hin zum Kalender. Darüber hinaus lassen sich mehr als 5.000 Drittanwendungen, etwa für digitale Signaturen oder Customer Relationship Management, integrieren. Google unterstützt Cloud Identity, sodass sich User über eines der Protokolle wie SAML, oAuth, S-LDAP etc. mit ihrem Google Account authentifizieren müssen. Dies schafft Transparenz. Gleichzeitig können die User über den Webbrowser einfach und sicher auf die benötigten Lösungen zugreifen sowie orts- und geräteunabhängig mit Kollegen sowie Geschäftspartnern zusammenarbeiten.

Durch die zusätzliche Möglichkeit der zentralen Verwaltung hat die IT-Abteilung alles unter Kontrolle. Ob es sich um die Verwendung von Smartphones handelt oder das On- und Offboarding – mit geringem Aufwand lassen sich Berechtigungen zum Zugriff auf unternehmenskritische Daten sowie Anwendungen erteilen, entziehen und die sichere Nutzung gewährleisten. Ein Beispiel dafür ist das Mobile Device Management. Darüber hinaus können Administratoren zahlreiche benötigte Funktionen individuell konfigurieren. Werden die Mitarbeiter darüber hinaus geschult, die Tools korrekt zu verwenden und dafür sensibilisiert, welche Risiken eine nicht autorisierte Nutzung bergen kann, gibt es für Schatten-IT keine dunkle Ecke mehr.

Leuchten Sie also Ihre komplette IT-Landschaft aus! Gerne begleiten wir Sie dabei. Wir analysieren die Prozesse und eingesetzten Tools, beraten Sie hinsichtlich der Migration zu Google Workspace, unterstützen Sie bei der Umsetzung und bei der Weiterentwicklung Ihrer IT-Umgebung.

Kontaktieren Sie uns!
Jetzt herunterladen

Icon Pfeil