Die Kosten und Risiken der Schatten-IT

Was ist Schatten-IT?

Der Begriff Schatten-IT stammt aus der IT-Sicherheit und aus Managementkreisen und bezeichnet alle informationstechnischen Systeme, die verwendet werden, ohne dass die IT-Abteilung darüber in Kenntnis gesetzt wurde. In den meisten Fällen sind die Systeme demnach also auch nicht durch die IT getestet oder freigegeben. Die Problematik ist kein neues Phänomen, rückte in der letzten Zeit durch neue Technologietrends jedoch wieder mehr in den Fokus.

Bei der Schatten-IT muss man jedoch zwischen dem Einsatz von Schatten-IT für private Zwecke und für Geschäftsprozesse unterscheiden. Denn in der Regel werden die IT-Systeme mit keinem schlechten Hintergrund eingesetzt, sondern sollen einen schnelleren Arbeitsablauf ermöglichen und dienen als Workarounds für Hindernisse im Arbeitsalltag.

In dem Zusammenhang kann man auch BYOD (Bring your own device) erwähnen, was eine ähnliche Problematik beschreibt. So bringen beispielsweise viele Arbeitnehmende ihre eigene Hardware, wie zum Beispiel Laptops oder Handys, mit zur Arbeit, um darüber ihre E-Mails abzufragen. Dies birgt bei einem Verlust der Geräte eine enorme Sicherheitslücke, sodass sensible Daten in falsche Hände gelangen könnten. Der Unterschied zur Schatten-IT besteht darin, dass hierbei der Arbeitgebende über die Verwendung der privaten Geräte informiert wurde.

Ferner tritt die Schatten-IT sowohl bei Hardware als auch bei Software auf. Zu Hardwaregeräten zählen beispielswiese Smartphones, Router, Drucker oder Server und PCs. Unter softwareseitiger Schatten-IT verstehen wir sämtliche Anwenderprogramme, die seitens des Arbeitnehmers heimlich angeschafft wurden.

Was sind die Vor- und Nachteile von Schatten-IT?

Auf den ersten Anschein wirkt die Schatten-IT negativ. Jedoch können daraus auch einige Vorteile abgeleitet werden:

• Bessere Mitarbeiterbindung und -zufriedenheit: Die Produktivität der Mitarbeitenden wird gesteigert, wenn sie selbst über die eingesetzten Anwendungen entscheiden können. Demnach sind Mitarbeitende die Schatten-IT verwenden, an einer gesteigerten Effizienz und Effektivität und somit auch an einem besseren Unternehmenserfolg interessiert.
• Zeitersparnis: Freigabeprozesse erfordern in der Regel viel Zeit und anschließende Implementierungen müssen oftmals durch geschultes Fachpersonal vorgenommen werden. Zudem sind viele Anwendungen weder gefährlich noch schädlich und können so dazu beitragen, dass der Workload der einzelnen Mitarbeitenden gesenkt werden kann. Somit können sich die Arbeitnehmenden mit ihren Kernaufgaben beschäftigen.

Doch die oben stehenden Vorteile wiegen die damit verbundenen Nachteile nicht auf:

Aufgrund von doppelten Anschaffungen und durch die höhere Anzahl an genutzten Systemen entstehen erhöhte Softwareanschaffungskosten.

Die Schatten-IT birgt ein enormes Sicherheitsrisiko mit Hinblick auf die Compliance-Vorgaben und die Gefahr von Cyberattacken, Hacking oder Datendiebstahl nimmt deutlich zu. Hinzu kommen mögliche DSGVO-Verstöße aufgrund von genutzter Software. Dies kann fatale Folgen für das Unternehmen nach sich ziehen – von finanziellen Einbußen über Vertrauensverlust von Kunden oder Partnern bis hin zu langfristigen Imageschäden.

Darüber hinaus kann es auch zu Ineffizienz innerhalb des Unternehmens führen, da parallel redundante Lösungen bestehen oder sich die Lösungen gegenseitig nachteilig beeinflussen.

Es gibt also eine Vielzahl an Gründen, sich mit der Software des Unternehmens zu beschäftigen.

Was können Sie gegen Schatten-IT tun bzw. wie gehen Sie damit um?

In drei Schritten kehren Sie erfolgreich zu einer sicheren IT-Struktur zurück:

• Überblick verschaffen
• Analyse der Software
• Neue Lösungen erarbeiten

Im ersten Schritt sollte die IT-Abteilung ausfindig machen warum und welche Software verwendet wird. Dies kann mithilfe von Umfragen, Analysen oder direkten Gesprächen mit den Fachabteilungen durchgeführt werden. Erst wenn diese Informationen vorliegen, kann sich die IT-Abteilung mit möglichen Lücken in den bestehenden, offiziellen Systemen beschäftigen.

Nachdem die unerlaubten Systeme ermittelt wurden, kann eine Bewertung stattfinden. Sofern die Systeme unbedenklich sind, können sie offiziell erlaubt werden. Ist dies nicht der Fall, sollten entsprechende Alternativen recherchiert werden. Zusätzlich sollte man auch nach den Ursachen für die Installation der Schatten-IT forschen.

In einem dritten Schritt vereint man nun alle Erkenntnisse, um die Neubildung von Schatten-IT in der Zukunft zu vermeiden. Dazu gibt es vielfältige Möglichkeiten:

• Einführung von Richtlinien, die besagen, dass neue Software nur von IT-Mitarbeitenden eingerichtet werden darf
• Regelmäßige Abstimmungstermine, um den Bedarf der Fachabteilungen zu erfassen
• Einbeziehung der Fachabteilungen in Entscheidungsprozesse
• Verkürzung/Vereinfachung von Freigabeprozessen durch Setzung von Fristen oder Reduzierung der Anzahl der entscheidenden Personen
• Einführung von Verwaltungssoftware
• Aufbau von Firmen-Firewalls, die den Zugriff auf unerlaubte Software blockieren