Frederic Noppe - COO
Frederic Noppe
COO
8.8.2023

Was ist Schatten-IT – Ein verborgenes Risiko

Bonn, 8.8.20231 Minuten Lesezeit
Was ist Schatten-IT – Ein verborgenes Risiko

Die rasante Entwicklung und Verbreitung digitaler Technologien in der modernen Geschäftswelt hat den Zugang zu IT-Ressourcen vereinfacht. Doch während Unternehmen nach Effizienz und Innovation streben, entsteht im Verborgenen oft eine große Gefahr: Schatten-IT. Mitarbeiter setzen oft mit den besten Absichten, eigenmächtig Technologielösungen ein, die außerhalb des Überwachungsbereichs der IT-Abteilungen liegen und öffnen so unbeabsichtigt die Büchse der Pandora voll mit Risiken und Herausforderungen. Trotz der augenscheinlichen Vorteile, wie der erhöhten Produktivität, lauern hinter dem, durch Mitarbeiter eigenständig initiierten Einsatz von IT-Produkten, schwerwiegende Folgen, die jedes Unternehmen berücksichtigen sollte.

Die Problematik der Schatten-IT

Schatten-IT sind IT-Dienste oder Programme, die außerhalb des offiziellen Verantwortungsbereichs eines Unternehmens und deren IT-Abteilung liegen. Dies birgt eine Reihe von Gefahren und Risiken. Die größten Probleme und deren Auswirkungen auf Unternehmen sind:

Sicherheitsrisiken: Der vielleicht gravierendste und offensichtlichste Nachteil von Schatten-IT ist das Sicherheitsrisiko. Systeme und Anwendungen, die nicht unter der Kontrolle der IT-Abteilung stehen, werden oft nicht regelmäßig aktualisiert oder gepatcht. Ebenso ist es nahezu unmöglich, für unbekannte Systeme die passenden Sicherheitsmaßnahmen zu entwerfen und zu implementieren. Dadurch sind sie anfälliger, für Sicherheitslücken, durch die Cyberkriminelle eindringen und sich ggf. Zugriff auf das Unternehmensnetzwerk oder sensible Daten verschaffen können.

Datenverlust/ Dateninkonsistenz: Da die Dienste und deren enthaltene Daten der IT-Abteilung nicht bekannt sind, können durch Schatten-IT wertvolle Unternehmensdaten verloren gehen, da diese in der Backup-Strategie nicht berücksichtigt und somit nicht gesichert werden. Ebenso kann es zu Dateninkonsistenzen kommen, wenn Mitarbeiter auf veraltete Daten zugreifen oder wenn verschiedene Versionen eines Dokuments in Umlauf sind. Dies kann dies zu fehlerhaften Geschäftsentscheidungen führen und dem Unternehmen nachhaltig schaden.

Verletzung von Compliance- und Regulierungsstandards: Viele Branchen unterliegen strengen Compliance-Vorschriften, insbesondere in Bezug auf Datenschutz und Datensicherheit. Der Einsatz von nicht genehmigten Technologien kann dazu führen, dass Unternehmen nicht mehr konform sind, was zu Strafen und Sanktionen führen kann. Ein Unternehmen kann inbesorders schnell gegen Datenschutzgesetze verstoßen, wenn es Daten in Anwendungen oder auf Geräten speichert, die nicht den gesetzlichen Anforderungen entsprechen. Dies kann zu erheblichen Bußgeldern und einem Imageverlust führen.

Mangelnde Integration: Schatten-IT ist oft nicht in die bestehende IT-Landschaft integriert. Dies kann zu Silos führen, in denen Informationen isoliert und ineffektiv geteilt werden können. Der fehlende Informationsaustausch kann Geschäftsprozesse verlangsamen und zu ineffizienten Arbeitsabläufen führen. Ebenso ist nicht jede Anwendung ausreichend skaliberbar oder bringt zu hohe Kosten mit sich, um in das offizielle Anwendungsportfolio eines Unternehmens aufgenommen zu werden.

Verwaltungsaufwand: Wenn Schatten-IT in den offiziellen IT-Betrieb übernommen werden sollen, kann dies zu einem erheblichen Mehraufwand für die IT-Abteilung führen. Dies umfasst nicht nur die eigentliche Integration in die IT-Landschaft, die IT-Sicherheitssysteme und die Konzeptionierung entsprechender Sicherheitsmaßnahmen, sondern auch die Schulung der Mitarbeiter und die Sicherstellung der Datensicherheit.

Verfügbarkeitsprobleme: Da Schatten-IT oft nicht durch die IT-Abteilung unterstützt wird, können Ausfallzeiten oder Leistungsprobleme auftreten, die die Produktivität beeinträchtigen. Mitarbeiter könnten sich in solchen Fällen an die IT-Abteilung wenden, die dann unvorbereitet Lösungen finden muss.

Kulturelle Probleme: Schatten-IT kann auch kulturelle Herausforderungen im Unternehmen mit sich bringen. Es kann eine Kluft zwischen IT und anderen Abteilungen entstehen, da die IT als Hindernis und nicht als Unterstützung gesehen wird. Dies kann das Vertrauen in die IT-Abteilung untergraben. Auch sollte nicht außer Acht gelassen werden, dass die “unnötige” Mehrarbeit auf der Seite der IT-Abteilung für Unmut und im schlimmsten Fall zum Verlust von Fachkräften sorgen kann (ITler sind zwar leidensfähig, aber jeder hat seine Grenzen).

Erhöhte Kosten: Selbst, wenn Schatten-IT-Anwendungen zu Beginn kosteneffizient erscheinen, können sie auf lange Sicht zu erhöhten Kosten führen. Dies ist der Fall, wenn die IT-Abteilung später in die Integration dieser Anwendungen investieren muss oder wenn Datenverluste korrigiert werden müssen. Auch Doppelbuchungen von Diensten durch Unkenntnis der Mitarbeiter über bereits bestehende Verträge sind möglich. Die Integration von Schatten-IT lässt sich vor allem nicht vorhersehen und macht so eine zuverlässige Budgetplanung unmöglich.

Wie können Unternehmen mit Schatten-IT umgehen?

Unternehmen müssen zunächst das Ausmaß des Problems erkennen und identifizieren. Das bedeutet, es müssen regelmäßige IT-Audits oder System-Scans durchgeführt werden, um nicht autorisierte Geräte und Anwendungen zu identifizieren. Diese sollten im Anschluss auf ihre Notwendigkeit und die entsprechenden Risiken überprüft und je nach Ergebnis abgeschaltet oder in ein Asset-Management überführt und somit dokumentiert werden. Weiterhin ist es wichtig, klare Richtlinien für die Nutzung und Genehmigung von IT-Ressourcen zu erstellen und diese den Mitarbeitern zu kommunizieren. Technisch können Unternehmen ein Whitelisting von Anwendungen implementieren, was bedeutet, dass Mitarbeiter nur gestattete Programme auf ihren Endgeräten installieren können. Die Sensibilisierung der Mitarbeiter und dementsprechend Schulungen sind ebenfalls von entscheidender Bedeutung. Die Mitarbeiter sollten über die Risiken der Schatten-IT aufgeklärt werden und warum es so wichtig ist, dass alle IT-Ressourcen vom Unternehmen genehmigt und überwacht werden. Schließlich sollten Unternehmen flexibel sein und bereit, die Bedürfnisse ihrer Mitarbeiter zu berücksichtigen. Wenn Mitarbeiter Schatten-IT nutzen, weil sie glauben, dass die offiziellen Tools des Unternehmens nicht ausreichen, sollten die IT-Abteilungen dieses Feedback berücksichtigen und ernst nehmen. Es kann ein Indiz sein, dass das aktuelle Toolset nicht ausreicht und nach besseren oder zusätzlichen Lösungen gesucht werden muss.

Fazit

Einerseits bietet die freie Wahl der IT-Dienste den Mitarbeitern die Freiheit und Flexibilität, ihre Arbeit effizienter zu gestalten. Andererseits birgt diese freie Wahl und die damit einhergehende eine Schatten-IT eine Vielzahl von erheblichen Risiken, die von Sicherheitsverletzungen bis hin zu rechtlichen Konsequenzen reichen können. Ebenso sind die tatsächlichen Kosten für die IT-Nutzung durch eine Schatten-IT nicht absehbar und machen eine zuverlässige Budgetplanung unmöglich. Für Unternehmen ist es daher von entscheidender Bedeutung, ein Gleichgewicht zwischen der Erweiterung der technologischen Freiheiten für die Mitarbeiter und der Wahrung der Sicherheits- und Compliance-Standards zu finden. Dies erfordert Aufklärung, Kommunikation und vor allem eine proaktive Herangehensweise an das IT-Management, um die Vorteile der Digitalisierung voll auszuschöpfen, ohne die organisatorische Integrität zu gefährden.