Was ist Schatten-IT?

Schatten-IT bezeichnet die Nutzung von IT-Systemen, Geräten, Software, Anwendungen und Diensten ohne ausdrückliche Genehmigung der IT-Abteilung. Mit der Einführung von Cloud-basierten Anwendungen und Diensten hat sie in den letzten Jahren exponentiell zugenommen.

Schatten-IT kann zwar die Produktivität der Mitarbeiter verbessern und zur Innovation beitragen, aber auch ernstzunehmende Sicherheitsrisiken für Ihr Unternehmen mit sich bringen, z. B. durch Datenlecks und potenzielle Compliance-Verstöße.

Einer der Hauptgründe, warum Mitarbeiter auf Schatten-IT zurückgreifen, ist schlichtweg ein effizienteres Arbeiten. Eine RSA-Studie von 2012 ergab, dass 35 % der Mitarbeiter das Gefühl haben, die Sicherheitsrichtlinien ihres Unternehmens umgehen zu müssen, um ihre Aufgaben erledigen zu können. So kann ein Mitarbeiter beispielsweise eine bessere File-Sharing-Anwendung entdecken als die offiziell genehmigte. Sobald er anfängt, sie zu nutzen, könnten auch andere Mitglieder der Abteilung davon Gebrauch machen.

Die rasante Zunahme Cloud-basierter Anwendungen für Privatkunden hat auch zur Verbreitung von Schatten-IT beigetragen. Längst sind die Zeiten von Softwarepaketen vorbei, denn verbreitete Anwendungen wie Slack und Dropbox sind mit einem Klick auf eine Schaltfläche verfügbar. Und die Schatten-IT erstreckt sich nicht nur auf die Unternehmensgeräte, sondern auch auf die persönlichen Geräte der Mitarbeiter wie Smartphones oder Laptops, was als Bring Your Own Device (BYOD) bezeichnet wird.

Das Entscheidende ist, dass wenn die IT-Abteilung von einer Anwendung nichts weiß, sie diese weder unterstützen noch ihre Sicherheit gewährleisten kann. Das Analysehaus Gartner prognostiziert, dass bis 2020 ein Drittel der erfolgreichen Angriffe auf die Schatten-IT-Ressourcen von Unternehmen abzielen wird. Es ist zwar klar, dass Schatten-IT nicht verschwinden wird, aber Unternehmen können Risiken minimieren, indem sie Benutzer schulen und vorbeugende Maßnahmen zur Überwachung und Verwaltung nicht genehmigter Anwendungen ergreifen.

Schatten-IT ist nicht per se gefährlich, aber bestimmte Funktionen wie File-Sharing/Speicherung und Zusammenarbeit (z. B. Google Docs) können zu sensiblen Datenlecks führen. Dieses Risiko erstreckt sich nicht nur auf Anwendungen. Die RSA-Studie ergab auch, dass 63 % der Mitarbeiter Arbeitsdokumente an ihre persönlichen E-Mail-Adresse senden, um von zu Hause aus zu arbeiten. Dadurch werden Daten in Netzwerken verfügbar gemacht, die von der IT-Abteilung nicht überwacht werden können. Neben Sicherheitsrisiken kann Schatten-IT auch unnötige Kosten verursachen, wenn verschiedene Abteilungen unwissentlich die gleichen Lösungen kaufen.

Trotz Risiken hat Schatten-IT auch Vorteile. Die Genehmigung der IT-Abteilung einzuholen, kann Zeit kosten, die die Mitarbeiter nicht verlieren möchten. Für viele Mitarbeiter ist die Genehmigung durch die IT-Abteilung ein Hemmschuh für Produktivität, vor allem wenn sie ihre eigene Lösung in wenigen Minuten zum Laufen bringen können.

Die IT-Abteilung wie Orwells Figur des „Big Brother“ agieren zu lassen, ist nicht immer förderlich für die Produktivität. Die Unterscheidung zwischen „guter“ und „schlechter“ Schatten-IT ist womöglich der beste Kompromiss. Die Suche nach einem Mittelweg kann es Endbenutzern ermöglichen, die für sie geeignetsten Lösungen zu finden, während die IT-Abteilung die Daten und Benutzerberechtigungen für die Anwendungen kontrollieren kann. Dadurch wird die IT-Abteilung entlastet, denn wenn Benutzer keine neuen Lösungen anfordern müssen, hat die IT-Abteilung mehr Zeit, sich auf geschäftskritische Aufgaben zu konzentrieren.

Anwendungen: Dropbox, Google Docs, Slack, Skype, Excel-Makros, Microsoft Office 365

Hardware: Private Laptops, Tablets und Smartphones