netCrew Logo

Schatten-IT

Die Herausforderung im eigenen Netz
Home 
» 
Blog 
» 
Schatten-IT

Die Nutzung von Informationstechnologie (IT) ist heute in modernen Unternehmen unverzichtbar. Doch was geschieht, wenn Mitarbeiter eigenmächtig IT-Systeme oder Software außerhalb der offiziellen IT-Infrastruktur verwenden? Ohne klare Regeln und Vorgaben in Form einer ganzheitlichen IT-Strategie kann die sogenannte Schatten-IT als unerwünschter Nebeneffekt entstehen, was IT-Manager vor große Herausforderungen stellt. Insbesondere die gestiegene IT-Affinität der Mitarbeiter und der permanente Zuwachs an Cloud Apps erhöhen die Gefahr für den Einsatz von Schatten-IT noch weiter.

Schatten-IT
Umgehen des zentralen Sicherheitskonzepts durch den Einsatz von Power-LAN-Adpatern.

Diese gefährliche Eigeninitiative von Fachabteilungen und Mitarbeitern hat oft negative Auswirkungen auf die IT-Sicherheit, Compliance und den Datenschutz. Um die Risiken zu minimieren, sollten Unternehmen einen ganzheitlichen Ansatz verfolgen und klare IT-Richtlinien und IT-Prozesse definieren, die für alle Mitarbeiter klar und verständlich sind.

In diesem Artikel beleuchten wir das Thema Schatten-IT und zeigen, wie man sie aufspürt und welche Maßnahmen man dagegen ergreifen kann. Seien Sie gespannt und erfahren Sie, wie Sie die Schatten-IT in Ihrem Unternehmen besser kontrollieren und Ihre IT-Umgebung nachhaltig schützen können.

Was ist Schatten-IT?

Doch was versteht man unter Schatten-IT?  Schatten-IT bezeichnet IT-Systeme, Anwendungen und Services, die nicht den Vorgaben der Unternehmens-IT entsprechen.

Oft greifen Fachabteilungen auf Eigenlösungen zurück, um ihre Arbeitsabläufe zu verbessern oder effizienter zu gestalten, die von der offiziellen IT-Abteilung oder den IT-Richtlinien nicht unterstützt oder genehmigt werden. Vielleicht sichert die Marketing-Abteilung ihre Daten auf USB-Festplatten oder ein Mitarbeiter installiert einen eigenen WLAN-Accesspoint, ohne die IT-Abteilung darüber zu informieren.

Auch die Benutzung von nicht genehmigten Cloud-Speicherdiensten zählt zur Schatten-IT. Oftmals nutzen Mitarbeiter kostenlose Versionen, um Daten schneller austauschen zu können oder Arbeitsprozesse zu optimieren. Jedoch können diese Dienste erhebliche Risiken mit sich bringen, da die IT-Abteilung nicht in der Lage ist, die Sicherheit dieser Dienste zu überwachen und zu kontrollieren.

Die Bandbreite der Schatten-IT reicht dabei von der Verwendung von privaten Mobiltelefonen im WLAN (nicht zu verwechseln mit BYOD) bis hin zu unbekannten Plugins, die von Web-Agenturen in Internetseiten eingebunden werden.

Schatten-IT
Verwendung eines eigenen Access-Points im Firmennetzwerk. Bei ungenügend abgesicherten Netzwerkinfrastrukturen ist schnell eine Backdoor entstanden, die Angreifern einen leichten Zugang zum Netzwerk ermöglicht.

Woher kommt Schatten-IT?

Die Gründe für den Einsatz von Schatten-IT sind vielfältig und oft auf komplexe oder fehlende IT-Prozesse zurückzuführen. Wenn die Antragsstellung für eine benötigte Software beispielsweise sehr schwierig und zeitaufwändig ist, greifen die Mitarbeiter vielleicht lieber auf kostenlose, bereits privat genutzte Varianten zurück. Besonders Unternehmen ohne eigene IT-Abteilung sind von dieser Gefahr betroffen und Mitarbeiter sind oft gezwungen, sich selbst um Lösungen zu kümmern.

Viele Firmen, die nach einer Übernahme in ein anderes Unternehmen, neuen Vorgaben unterliegen, neigen ebenfalls häufig dazu, Ihre IT-Probleme selbst in die Hand zu nehmen. Sie denken, dass die neue Firmenleitung überhaupt nicht weiß, was sie brauchen, um ihre Arbeit effizient erledigen zu können. Doch hier besteht das Risiko, dass die Lösungen, die von den Mitarbeitern selbst gefunden werden, nicht den Anforderungen der IT-Sicherheit oder Compliance entsprechen.

Auch die zunehmende Digitalisierung und die schnelle Entwicklung neuer Technologien tragen dazu bei, dass Schatten-IT entstehen kann. Mitarbeiter suchen nach schnellen und einfachen Lösungen, um ihre Arbeit effektiver zu gestalten und greifen daher auf unbekannte IT-Systeme und -Dienste zurück, die häufig außerhalb der offiziellen IT-Infrastruktur liegen.

Schatten-IT
Unkomplizierte Speicherung der Firmendaten auf einem eigenen NAS. Diese Praxis der Schatten-IT birgt Risiken, da die Daten außerhalb der regulären Firmeninfrastruktur gespeichert werden und damit weder Teil des zentralen Backups sind noch den unternehmensweiten Sicherheitsrichtlinien unterliegen.

Die Risiken der Schatten-IT

Die Risiken der Schatten-IT liegen auf der Hand und können erhebliche Auswirkungen auf die IT-Sicherheit, den Datenschutz und die Compliance haben. Wenn Mitarbeiter eigenmächtig IT-Systeme und -Dienste nutzen, die von der offiziellen IT-Abteilung nicht genehmigt oder überwacht werden, kann dies zu erheblichen Problemen führen.

Ein großes Risiko besteht darin, dass Speicherbereiche, auf denen sich wichtige Daten des Unternehmens befinden, nicht gesichert werden, da die IT-Abteilung von ihrer Existenz nichts weiß. Nach einem Mitarbeiterwechsel oder der Umstrukturierung der Abteilung besteht die Gefahr, dass diese Speicherorte vergessen werden und somit Daten aus alten Projekten verloren gehen können.

Zudem kann die Datensicherheit durch Schatten-IT gefährdet sein, da inoffizielle Dienste Hintertüren öffnen können, die die geregelten Zugänge in Unternehmensnetzwerke umgehen. Da die IT-Abteilung diese Dienste nicht kennt, kann auch die Einhaltung von Kennwortrichtlinien nicht überprüft oder durchgesetzt werden. Letztendlich kann so der Schutz der Unternehmens-Daten nicht gewährleistet werden, denn eine Kontrolle der Cloud Services oder eingesetzten IT-Infrastruktur durch einen IT-Verantwortlichen ist gar nicht möglich.

Darüber hinaus kann Schatten-IT den Datenschutz negativ beeinträchtigen, indem personenbezogene Informationen an unberechtigte Dritte übermittelt werden. Dies kann passieren, wenn die Betreiber der SaaS-Anwendungen, die von Mitarbeitern genutzt werden, ihren Sitz außerhalb der EU haben oder wenn unbefugte Dritte aufgrund mangelnder Sicherheitsvorkehrungen Zugriff auf die Daten erhalten. Die Folgen können schwerwiegend sein und auch Reputationsverluste und Verstöße gegen geltende Datenschutzgesetze nach sich ziehen.

Die vermeintlichen Vorteile der Schatten-IT

Immer wieder hört man von vermeintlichen Vorteilen der Schatten-IT. Die Mitarbeiter sind motivierter, Abteilungen arbeiten produktiver und Ziele werden schneller erreicht. Isoliert betrachtet mag das durchaus stimmen. Doch betrachtet man das gesamte Bild, sieht man schnell, dass die nicht unerheblichen Risiken im Bereich Datensicherheit, IT-Sicherheit und Datenschutz diese Vorteile keineswegs aufwiegen.

Lassen Sie uns die Vorteile der Schatten-IT veranschaulichen: Würden Sie Ihren Mitarbeitern einen Jahresurlaub von 300 Tagen geben und ihnen 16 Gehälter zahlen, könnten Sie dadurch die Mitarbeiterzufriedenheit sicher erheblich steigern. Den Unternehmenszielen käme dies aber vermutlich weniger zu Gute. Gleiches gilt für die Schatten-IT. Mitarbeiter, die eigene IT-Lösungen nutzen können, sind möglicherweise motivierter und arbeiten produktiver. Doch wenn durch den Einsatz von Schatten-IT das Risiko für Datenschutzverletzungen, Datenverlust oder Datenmissbrauch steigt, kann das für das Unternehmen langfristig zu erheblichen Schäden führen.

Andererseits kann auch die Implementierung von offiziellen IT-Lösungen langfristig positive Effekte auf die Arbeitsproduktivität und die Mitarbeiterzufriedenheit haben, wie etwa die Nutzung von Servervirtualisierung. So können beispielsweise IT-Systeme, die von der IT-Abteilung genehmigt und überwacht werden, die Zusammenarbeit zwischen Abteilungen verbessern und die Arbeitsabläufe optimieren. Gleichzeitig sorgt eine standardisierte IT-Infrastruktur für mehr Sicherheit und Kontrolle über die Unternehmensdaten und ermöglicht es, Datenschutzverletzungen zu minimieren.

Schatten-IT
Einsatz privater Hardware als Ersatz für einen Desktop-Switch.

Der Weg aus dem Schatten

Unternehmen und IT-Abteilungen stehen hier vor großen Herausforderungen, um die Gefahr der Schatten-IT zu minimieren. Denn Schatten-IT kann nicht einfach verboten oder ignoriert werden, sondern muss in ein umfassendes IT-Management integriert werden. Hier sind einige Maßnahmen, die Unternehmen und IT-Verantwortliche ergreifen können:

  • Definieren Sie klare Prozesse für die IT-Beschaffung (Software, Hardware, Services), einschließlich der Genehmigungsprozesse und der Überwachung von IT-Systemen und -Diensten. Stellen Sie sicher, dass die IT-Abteilung jederzeit einen Überblick über die im Unternehmen eingesetzten IT-Systeme und -Dienste hat.
  • Erstellen Sie eine robuste IT-Dokumentation. Eine gründliche Dokumentation aller IT-Assets ist unerlässlich, um Schatten-IT effektiv zu identifizieren und zu steuern. Eine gute IT-Dokumentation unterstützt nicht nur die IT-Abteilung, sondern auch die Fachabteilungen, indem sie Transparenz schafft und die notwendigen Informationen für eine sichere IT-Nutzung bereitstellt. Lesen Sie mehr darüber in unserem ausführlichen Blogartikel zum Thema IT-Dokumentation.
  • Erstellen Sie Richtlinien für den IT-Einsatz, die alle Mitarbeiter verpflichten, nur offiziell genehmigte IT-Systeme und Services zu nutzen. Diese Richtlinien sollten klare Vorgaben enthalten, was erlaubt ist und was nicht, sowie Konsequenzen bei Nichteinhaltung.
  • Ermitteln Sie was Ihre Fachabteilungen benötigen, indem Sie eine umfassende Anforderungsanalyse durchführen. Hierbei sollten die Bedürfnisse der Fachabteilungen ermittelt und bewertet werden, um geeignete IT-Lösungen zu identifizieren.
  • Seien Sie der Partner Ihrer Fachabteilungen. Stellen Sie sicher, dass die IT-Abteilung eng mit den Fachabteilungen zusammenarbeitet und diese bei der Auswahl und Implementierung von IT-Lösungen unterstützt. Eine enge Zusammenarbeit trägt dazu bei, dass die IT-Lösungen den Anforderungen der Fachabteilungen entsprechen und die Arbeitsabläufe optimieren.
  • Schaffen Sie ein Sicherheitsbewusstsein durch regelmäßige Schulungen. Mitarbeiter müssen über die Risiken von Schatten-IT informiert werden und lernen, wie sie sicher mit IT-Systemen und -Diensten umgehen können. Schulungen sollten regelmäßig durchgeführt werden, um sicherzustellen, dass Mitarbeiter auf dem neuesten Stand sind.
Schatten-IT
Datensicherung auf einer privaten USB-Festplatte. Hier steigt das Risiko eines unregulierten Datenabflusses, da nicht sichergestellt werden kann, wer Zugriff auf den Datenträger bekommt und ob der Datenträger durch Verschlüsselung gesichert ist.

Fazit

Um Schatten-IT zu minimieren und eine sichere und effektive Arbeitsumgebung zu schaffen, ist ein ganzheitlicher Ansatz unumgänglich. Dies erfordert Geduld, Zeit und Ressourcen, um offizielle IT-Lösungen zu implementieren und Mitarbeiter über die Risiken der Schatten-IT aufzuklären. Unternehmen, die Schatten-IT erfolgreich bewältigen, profitieren langfristig von einer sicheren und produktiven Arbeitsumgebung ohne Risiken für Datenschutzverletzungen, Datenverlust oder Datenmissbrauch.

Weitere Themen:
Hardware Leasing

IT-Leasing
Ihre IT zu fest kalkulierbaren Kosten
IT-Dokumentation

IT Dokumentation
Ihr Schlüssel für eine sichere und effiziente IT-Landschaft
LAN WAN VPN

Netzwerkplanung
Mit dem richtigen Konzept zur Lösung
it-security

E-Mail-Verschlüsselung
Sichere und vertrauliche Kommunikation
Sie haben Fragen oder suchen Unterstützung bei Ihrer IT?
KONTAKTIEREN SIE UNS
chevron-upmenu-circlecross-circle