Die IT spielt in jedem Unternehmen eine wichtige Rolle. Mit der Verwaltung und Sicherheit befasst sich meist eine eigene Abteilung, in der sich Fachkräfte um die Einrichtung, Installation und Wartung der Geräte kümmern und zudem für Sicherheit der Infrastruktur sorgen. Generell sollten – zumindest in der Theorie – alle IT-Komponenten, sowohl Hardware als auch jede eingesetzte Software, dem Unternehmen bekannt sein und unter der Kontrolle der IT-Abteilung stehen. Sollte dies nicht der Fall sein, ist von Schatten-IT die Rede.
Was ist Schatten-IT?
Unter Schatten-IT verstehen sich alle informationstechnischen Systeme, die nicht Bestand der hauseigenen IT-Abteilung sind, jedoch parallel als Zweitsysteme im Unternehmen existieren. Praktisch gesehen bedeutet das meist, dass die firmeninterne IT-Abteilung nicht über den Einsatz dieser Geräte oder Programme in Kenntnis gesetzt wurde.
Beispiele dafür sind Drucker oder Kopierer, die in Eigenregie beschafft wurden oder Smartphones bzw. Tablets der Mitarbeiter, die ohne das Wissen des IT-Bereichs in das Unternehmensnetzwerk eingebunden wurden. Die Risiken können ein besonders hohes Ausmaß annehmen, wenn Fremdsoftware installiert wird und diese einen ungesicherten Zugriff auf Unternehmensdaten erhält.
Das unsichtbare Risiko: Cloud-Services
Das folgende Beispiel demonstriert ein oft auftretendes Szenario: Ein Mitarbeiter, der sich einen kostenlosen Cloud-Dienst aus dem Internet installiert und von diesem Gebrauch macht, lädt andere Kollegen dazu ein, die Installation des Tools ebenso vorzunehmen, um gemeinsam von den Vorteilen zu profitieren. Eine Kettenreaktion ist ausgelöst. Die meisten der kostenlosen und eher consumer-orientierten-Services sind dabei nur bedingt für den professionellen Einsatz geeignet. Oftmals fehlt es ihnen an professionellem Management, wichtigen Security-Features und Regelkonformität. Die Allgemeinen Geschäftsbedingungen der Services werden vor der Installation nur unzureichend bis gar nicht gelesen. Dementsprechend unbestimmt ist auch, welche Datenschutz- und Nutzungsrichtlinien zugrunde liegen. Zudem spiegeln viele unseriöse Cloud-Dienste die gespeicherten Daten in geographisch verteilte Rechenzentren. Die unautorisierte Installation kann Malware den Zutritt auf die Firmenrechner immens vereinfachen.
Ursachen für die Schatten-IT
Das Problem der Schatten-IT kann auf eine mangelnde Kommunikation zwischen den Abteilungen zurückgeführt werden oder ist das Resultat einer ungenügenden Betreuung und Reglementierung durch die IT-Abteilung. Aufwendige Prozesse, lange Wartezeiten oder das Ignorieren ihrer Anforderungen können Abteilungen dazu veranlassen, selbst tätig zu werden und Geräte bzw. Software ohne das Wissen und die Zustimmung der Administratoren und Techniker zu beschaffen.
Kann Schatten-IT verhindert werden?
Die beste Möglichkeit, um klassische Schatten-IT zu verhindern, besteht in der engen Kooperation zwischen der IT-Abteilung und allen anderen Mitarbeitern bzw. Abteilungen im Unternehmen. Die IT muss die Anforderungen der Mitarbeiter wahrnehmen und diese auch hinsichtlich ihrer Gefahren und Risiken schulen.
Der größte Nachteil ist, dass sich die Schatten-IT der Kontrolle durch die IT-Abteilung teilweise bis vollständig entzieht. Egal, ob es sich um Fremdsoftware oder Hardware handelt, die IT-Abteilung sollte sich das Recht einbehalten, diese zu identifizieren und gegebenenfalls abzulehnen. Deshalb sollte beispielsweise die Einbindung von Hardware in das Unternehmensnetzwerk oder die Installation von Software auf den Arbeitsgeräten nur über einen speziellen Eingabeschlüssel der IT möglich sein.
Sind Mitarbeiter auf einen Cloud-Dienst angewiesen, ist dies unbedingt mit der IT-Leitung des Unternehmens abzuklären. Die IT-Spezialisten können dann die Entscheidung treffen, welche der auf dem Markt angebotenen Cloud-Lösungen die Anforderungen der User und der IT-Security erfüllt. Die Definition von Richtlinien und Anweisungen ist hier unerlässlich, um den Mitarbeitern verständlich zu erklären, wie der Service zu nutzen ist und welche Sicherheitsmaßnahmen zu beachten sind. Cloud-Dienste, wie zum Beispiel von oneclick, bieten dem Unternehmen neben zahlreicher Usability-Vorteile auch die geforderte Sicherheit firmenbezogener Daten. Die Anforderungen können hier direkt an die IT- und Security-Fachspezialisten übergeben werden.
Fazit und Zusammenfassung
Die IT ist und bleibt ein wichtiger Bestandteil in jedem Unternehmen. Ein enormes Sicherheitsrisiko bildet dabei die sogenannte Schatten-IT. Die eigene IT muss trotz der Verwendung von Zweitsystemen sicher bleiben und vor Angriffen von außen geschützt werden. Dies wird vor allem durch die Einführung von strengen Richtlinien und Abläufen sowie durch die Schulung und Fortbildung von Mitarbeitern erreicht. Die IT ist hier gefragt, durch Maßnahmen und klare Strukturen sowie durch Prozessabläufe die Gefahren von Cyberattacken einzudämmen.
Bildquellen:
- Bild 1: © CC0-License | pexels.com
- Bild 2: © JuralMin | pixabay.com
- Bild 3: © fancycrave1| pixabay.com
