Was bedeutet Schatten-IT und wie gehe ich damit um?

Published Sep 5, 2020 12:42:37 PM in German

Wenn sich Geräte oder Anwendungen außerhalb der Sichtbarkeit und Kontrolle der IT-Abteilung befinden, spricht man von Schatten-IT. Die Folgen dieser unautorisierten Anwendungen sind in der Regel negativ. Aber was genau sind die Auswirkungen und wie kann der Problematik entgegengewirkt werden?


Das Entstehen von Schatten-IT erfolgt eigentlich aus einer guten Absicht. Die dafür Verantwortlichen haben es gut gemeint und wollen aktuelle Prozesse beschleunigen oder einfach neue Ideen umsetzen. Oft geht es dabei sogar um die Entlastung der IT, die Chancen der Digitalisierung oder einfach nur den großen Marktdruck des Gesamtunternehmens.

Aber: Am Ende funktioniert der digitale Wandel nur mit einer transparenten Systemlandschaft. Anwendungen, die ohne deren Wissen an der IT vorbei installiert werden, gefährden die Sicherheit der Geräte, des gesamten Netzwerkes, können enorme Schäden erzeugen und haben damit eine direkte Auswirkung auf die Wettbewerbsfähigkeit des Unternehmens. Unter dem Radar des CIOs oder der IT-Verantwortlichen kann eine Gefährdung des gesamten Unternehmens stattfinden.

Die Ressourcen in der IT-Abteilung sind in der Regel sehr begrenzt. Dahinter steckt kein böser Wille der Administratoren, sie sind nur permanent am Limit und versuchen, die IT-Systeme trotz Mangel bestmöglich am Laufen zu halten. Ihr Fokus liegt einfach auf der IT-Unterstützung der wesentlichen bzw. sichtbaren Wertschöpfungsprozesse. In der Regel bleiben dann oft weder Zeit, noch personelle Ressourcen für Anforderungen der Fachbereiche, um z.B. Spezialfälle abzubilden. Wie wichtig aber solche Lösungen für die Fachabteilungen sein können, ist der IT dabei oft nicht bewusst.

Die Folge: Fachabteilung warten verzweifelt auf Systeme, die für sie selbst und ihre tägliche Arbeit von elementarer Wichtigkeit sind und entschließt sich am Ende zur Selbsthilfe. Dies ist dann der Anfang von unkontrollierbaren Risiken, die eigentlich gerade durch eine standardisierte IT eingedämmt werden sollten.

Sicherheitsrisiken sind das größte Problem. Wenn fremde Systeme an die Firmeninfrastruktur einfach so angeschlossen werden, dann kann das Unternehmen die Daten nicht mehr kontrollieren. Durch die ungetestete und unter Umständen unsichere IT öffnet man die Tore für externe Angriffe, während man intern mit sehr viel Aufwand und Technik versucht, Schädlinge fernzuhalten.

Die Sicherheit der IT-Infrastruktur sollte immer im Fokus stehen. Geräte und Anwendungen, die nicht unter der Kontrolle der IT-Abteilung sind, können gravierende Sicherheitslücken sein, die nicht mehr geschlossen werden können. Die Überprüfung, ob alle wichtigen Sicherheitsupdates eingespielt wurden oder Treiber sauber funktionieren, ist einfach unmöglich. Firewalls werden umgangen und die IT-Infrastruktur droht den IT-Verantwortlichen komplett aus der Hand zu gleiten.

Grundsätzlich lassen sich drei Umgangsformen mit Schatten-IT ausmachen:

  1. Zentralistisch: Die IT-Abteilung steuert die gesamte Unternehmens-IT und hat sehr restriktive Vorschriften für die einzelnen Abteilungen und Mitarbeiter. Grundsätzlich kann hier nur der Administrator Anwendungen und sogar Treiber installieren, teilweise sind Ports und Anschlüsse gesperrt.

  2. Autonom: Hierbei verwaltet der einzelne Mitarbeiter sein Gerät als Administrator selbst und die IT-Abteilung fungiert als Beobachter und Feuerwehr, wenn das System mal nicht funktioniert. Eine Kontrolle der Systeme ist hier schlicht unmöglich.

  3. Ausgeglichen: Die IT-Abteilung steuert grundsätzlich die Systeme, lässt aber in vordefinierten Grenzen auch den Fachabteilungen und Mitarbeitern die Freiheit, spezielle Anwendungen oder Prozesse abzubilden. Dies kann z.B. durch Kompartments auf den Geräten erreicht werden.

Zentralistische und autonome Vorgehensweisen sind sicher die beiden extremen Ausprägungen im Umgang mit IT-Systemen, haben aber auch immer ihre Berechtigungen, je nach Anforderungen. So ist es in sicherheitskritischen Bereichen wie z.B. Health oder Defense notwendig, sehr restriktiv zu sein. Das birgt natürlich immer auch die Gefahr, in einem Machtkampf zwischen IT-Abteilung und den Mitarbeitern zu enden. Daraufhin kann der Umfang von Schatten-IT sogar zunehmen, da die Mitarbeiter jegliche Zusammenarbeit mit der IT-Abteilung meiden.

Die autonome Lösung ist selten umzusetzen, da in den wenigsten Unternehmen bei den Mitarbeitern das nötige Know-How vorhanden ist. Aus Sicht der IT-Security ist es nahezu unmöglich, bei einem Datenleck oder erfolgreichen Cyberangriff, das Einfallstor aufzuspüren.

In den meisten Unternehmen wird eine ausgeglichene Lösung zwischen dem zentralistischen und dem autonomen Ansatz eingesetzt. Damit dieser Mittelweg erfolgreich beschritten werden kann, müssen umfangreiche Maßnahmen ergriffen werden.

Da verdeckt eingesetzte IT häufig von Privatanwendern stammt und auch für Privatanwender bestimmt ist, die anderen Sicherheitsstandards unterliegen, entstehen neben sicherheitstechnischen unter Umständen auch datenschutzrechtliche Probleme. Zertifizierungen und die Einhaltung von Compliance- und Datenschutz-Vorschriften werden quasi unmöglich. Bedenkt man, dass in nicht allzu ferner Zukunft über 80 % aller Unternehmen unter die KRITIS-Verordnung fallen, ist diese Entwicklung haarsträubend.

Fast noch problematischer ist, dass mit der Schatten-IT wieder heterogene IT-Landschaften und IT-Inseln entstehen, die unkontrollierbar sind und die zentrale Steuerung der Gesamt-IT eines Unternehmens gefährden.

Die Schatten-IT birgt aber noch viele weitere Probleme: Es werden Lizenzrechte verletzt, wenn private Software im Unternehmensumfeld genutzt werden. Für die eingesetzten Anwendungen liegen in der Regel keine Service Level Agreements vor. Und zu guter Letzt werden die Lösungen auch nicht vom IT-Support betreut.

Schatten-IT erkennen, eindämmen und kontrollieren

Im Zentrum der Bekämpfung der Schatten-IT steht die Motivsuche. Was bewegt die Mitarbeiter, sich abseits der offiziellen IT zu bedienen? Warum nutzen Mitarbeiter etwa eine eigene Anwendung statt des zur Verfügung gestellten Systems? Fehlt es an Anwenderwissen oder mangelt es an wichtigen Funktionen?

Einer der wichtigsten Gründe – das zeigen mehrere Studien – ist, dass der IT-Beschaffungsprozess heutzutage in den meisten Unternehmen kränkelt. Die IT-Abteilung liefert die Services aus Sicht der abhängigen Fachabteilungen oft nicht in der Qualität und in der Zeit, die für die unternehmerischen Ziele notwendig wären.

Wichtig ist in jedem Fall, darauf zu achten, dass die vom Unternehmen bereitgestellten Lösungen genauso unkompliziert, komfortabel und leistungsstark sind, wie die von den Mitarbeitern verwendeten Services oder die aus dem Privaten bekannten Consumer-Dienste. Genau wegen dieser Eigenschaften weichen die Mitarbeiter schließlich auf diese Dienste aus.

Eine nachhaltige Möglichkeit, Schatten-IT zu verhindern, ist die Umgestaltung der IT-Organisation. Mitarbeiter und Unternehmensleitung sollten damit aufhören, die IT nur als eine von vielen Abteilungen zu betrachten. Stattdessen sollte die IT-Abteilung zu einer Service- und Beratungsstelle umformiert werden, die als Anlaufpunkt für den IT-Bedarf der Fachabteilungen fungiert. Dann wird man auch merken, dass sich die Kollegen aus den Fachabteilungen viel besser mit IT auskennen als die "IT-Experten" und genau wissen, was sie von der IT möchten. Daneben tragen auch interne Schulungen bedeutend dazu bei, das Bewusstsein der Mitarbeiter für die durch Schatten-IT entstehenden Gefahren, zu erhöhen.

Wenn Sie wissen, was den Mitarbeitern fehlt und was sie sich wünschen haben Sie schon den halben Weg beschritten. Nehmen Sie der Schatten-IT endgültig den Wind aus den Segeln, indem Sie den Nutzern die gewünschten Tools offiziell und entsprechend abgesichert bereitstellen – oder ihnen Alternativen nahebringen.

Fazit

Schatten-IT birgt Risiken, aber auch Chancen. In ihr drückt sich letztlich das Bedürfnis der Fachabteilungen aus, sich von den Fesseln der vorgegebenen Technologien zu befreien. IT-Abteilungen wiederum sollten akzeptieren, dass die Fachbereiche heute ein starkes Bedürfnis nach Unabhängigkeit und Freiheit haben. Die Mitarbeiter wissen vor allem oft viel besser Bescheid um ihren Bedarf, als die IT-Experten selbst.

Letzten Endes gibt es nur eine Lösung für das Problem Schatten-IT: Die IT-Abteilung muss den Mitarbeitern die Anwendungen zur Verfügung stellen, die sie für die tägliche Arbeit brauchen – und das nicht in Wochen, sondern in Tagen oder besser noch Stunden oder Minuten. Die Umorientierung der IT hin zu Bereitstellungsmodellen ist ein gutes Mittel, um von den Usern akzeptierte Anwendungen zeitnah anbieten zu können.

More From FileWave

How Can I Keep Remote Devices Secure?

Published 09-8-2020 in Tech News

Remote work has quickly become the new normal for companies around the world. Here’s how IT teams can keep remote devices secure and employees productive.

Was bedeutet Schatten-IT und wie gehe ich damit um?

Published 09-5-2020 in German

Wenn sich Geräte oder Anwendungen außerhalb der Sichtbarkeit und Kontrolle der IT-Abteilung befinden, spricht man von Schatten-IT. Die Folgen dieser unautorisierten Anwendungen sind in der Regel negativ. Aber was genau sind..

Was sind die wichtigsten Eigenschaften einer MDM-Lösung?

Published 08-11-2020 in German

In unserem letzten Artikel „Was bedeutet Mobile Device Management?“ haben wir uns mit dem Begriff MDM befasst. Nun möchten wir etwas tiefer in das Thema eintauchen. Lesen Sie weiter und lernen Sie die wichtigsten..

Subscribe Here!