Veröffentlicht:

Lesezeit:

circa 9 Minuten

Die Schatten-IT – Was sie ist und welche Risiken lauern

Unternehmen sind auf eine leistungsfähige IT-Umgebung angewiesen und auch Mitarbeiter freuen sich, bei ihrer Arbeit auf entsprechende Tools zurückgreifen zu können. Problematisch wird es jedoch dann, wenn im Unternehmen neben der „offiziellen“ Bandbreite an Soft- und Hardware-Lösungen noch eine „inoffizielle“ Parallelstruktur, eine Schatten-IT, existiert bzw. sich diese mit der Zeit entwickelt. Wie es dazu kommt und wie man dagegen vorgehen kann, erörtern wir in diesem Beitrag.

Was ist Schatten-IT?

Unter den Begriff „Schatten-IT“ (engl. Shadow IT) fallen alle Arten von Software und Hardware, die in einem Unternehmen zum Einsatz kommen, ohne dass die eigene IT über diese Nutzung informiert ist. Mitarbeiter nutzen an dieser Stelle technische Lösungen ohne offizielle Genehmigung und somit auch ohne interne Verwaltung bzw. Kontrolle.

Wichtig: Bei der Schatten-IT handelt es sich nicht notwendigerweise um Malware. Da das Unternehmen jedoch keinerlei Kontrolle über Soft- oder Hardware ausüben kann, die der hauseigenen IT unbekannt ist, können diese Software- und Hardware-Lösungen dennoch ein Risiko für die Cybersicherheit des jeweiligen Unternehmens darstellen.

Da heute immer mehr Mitarbeiter remote arbeiten, also einer geringeren unmittelbaren Kontrolle unterliegen, und gleichzeitig zahlreiche IT-Services als Cloud-Dienste zur Verfügung stehen, ist die Nutzung nicht-autorisierter IT-Lösungen für Mitarbeiter mittlerweile nur wenige Klicks entfernt. Gerade der Druck, im Rahmen der Corona-Pandemie branchenübergreifend schnelle Lösungen für Remote-Arbeitsplätze zu schaffen, hat die verstärkte Nutzung von Schatten-IT laut eines CORE Research-Berichts stark begünstigt. Aber warum greifen Mitarbeiter auf solche Lösungen zurück? 

Schatten-IT– Wie sich Parallelstrukturen bilden 

Mitarbeiter erhalten im besten Falle von ihrem Unternehmen alles, was sie zur Erfüllung ihrer Arbeit benötigen. In diesem idealen Szenario gibt es für Mitarbeiter keinen Grund, auf alternative Software oder Hardware zurückzugreifen. In der Praxis ist es jedoch so, dass gleich mehrere Faktoren die Nutzung einer Schatten-IT begünstigen können:

Unzureichende IT-Lösungen 

Mitarbeiter möchten eine spezifische Funktion eines unternehmenseigenen Tools nutzen, die sie etwa aufgrund ihrer privaten Nutzung anderer ähnlicher Tools (Teilen von Dateien / Versenden von Links etc.) erwarten. Sie stellen jedoch fest, dass die hauseigene Lösung die gewünschte Funktion nicht unterstützt – oder nur auf einem sehr spezifischen Wege. Dies wird von Seiten des Mitarbeiters als unnötig kompliziert und störend empfunden.

Fehlende Tools 

Ein Team kommt zu der Einschätzung, dass ein spezifisches Tool (z. B. für das Projektmanagement) benötigt wird. Ein solches Tool existiert jedoch auf Unternehmensebene nicht und ist auch nicht geplant. Das Team entscheidet sich also dazu, ein gängiges Tool anzuschaffen und zukünftig damit zu arbeiten, um die interne Zusammenarbeit zu optimieren – auch ohne das Wissen der eigenen IT.

Nutzung von (privaten) Tools ohne Freigabe

Ein Mitarbeiter nutzt privat einen Cloud-Dienst oder eine von vielen Produktivitäts-Apps. Die Dateien, auf die er auf der Arbeit Zugriff hat, legt er parallel auch in seiner Cloud ab. Diese ist mit seiner Produktivitäts-App verknüpft, sodass er auch abseits seiner Arbeit schnell Anpassungen vornehmen oder Überlegungen zu Kundenprojekten festhalten kann. Eine offizielle Freigabe für diesen individuellen Workflow hat der Mitarbeiter jedoch nie erhalten.

Charakteristisch für eine Schatten-IT ist, dass die Mitarbeiter, die diese Lösungen nutzen, dies in der Regel aus vermeintlich guten Gründen tun. Sie identifizieren tatsächliche oder vermeintliche Stolpersteine in ihrem Workflow und suchen nach Alternativen zu einem – aus ihrer Sicht – nachteiligen Status Quo. Doch gute Vorsätze können gerade im Bereich der IT allzu häufig negative Konsequenzen mit sich bringen.

Gängige Beispiele für eine Schatten-IT

Die Übergänge von der genehmigten IT-Infrastruktur eines Unternehmens hin zur Schatten-IT sind häufig fließend. Hier präsentieren wir eine Reihe weiterer Beispiele dafür, wie einfach alternative IT-Systeme Teil des Workflows werden können

Die Risiken einer Schatten-IT

Greifen Mitarbeiter im Rahmen ihrer Arbeit auf Soft- und Hardware zurück, über die die IT nicht informiert ist, können daraus vielfältige Risiko-Szenarien entstehen:

Von der einfachen Schaffung von Parallelstrukturen bis zur Möglichkeit des Datenverlusts durch einen Hackerangriff – die Risiken, die eine Schatten-IT mit sich bringt, sind zum Teil erheblich. Darum sind Unternehmen darauf angewiesen, solche Prozesse intern zu identifizieren.

Wie Unternehmen eine Schatten-IT erkennen können 

Es liegt in der Natur der Sache, dass Unternehmen nur schwerlich bewerten können, ob und in welchem Umfang eine Schatten-IT im eigenen Unternehmen existiert. Es gibt jedoch einige bewährte Möglichkeiten, diese zu identifizieren:

Gerade die Einbeziehung der Mitarbeiter stellt sicher, dass die Maßnahmen zur Aufdeckung einer eventuellen Schatten-IT im Unternehmen keine Überwachungsmaßnahme darstellen, sondern dem Wohl des Unternehmens – und somit auch dem Wohl sämtlicher Mitarbeiter – dienen.

Grafische Darstellung der 3 Phasen zur Verhinderung von Schatten-IT

Unternehmen haben mehrere Optionen, mit einer bestehenden Schatten-IT professionell umzugehen. © GFOS Group

Schatten-IT verhindern – Best Practices 

Nach der Identifikation von nicht-autorisierter Software oder Hardware geht es anschließend um die Frage, wie sich eine solche IT-Parallelstruktur im Unternehmen verhindern lässt oder wie diese im Nachgang sinnvoll unter Kontrolle gebracht werden kann:

Sie wollen möglichen Komplikationen durch parallele IT-Strukturen wirksam vorbeugen?

Vertrauen Sie auf unsere professionelle IT-Infrastrukturberatung sowie unsere zahlreichen weiteren Kompetenzen im IT-Umfeld.

Welche Vorteile Schatten-IT bieten kann 

Wie bereits zu Beginn gesagt, ist Schatten-IT nicht mit Malware gleichzusetzen. Ebenso vertreten zahlreiche IT-Abteilungen inzwischen die Auffassung, dass eine IT-Parallelstruktur nicht unmittelbar negativ ist. 

Denn für die Nutzung alternativer Software / Hardware gibt es immer Gründe – sei es die Bequemlichkeit von Mitarbeitern oder tatsächlich die Erkenntnis, dass einem freigegebenen Tool eine elementar wichtige Funktion fehlt, was den Workflow eines Teams behindert.

Beim letzteren Beispiel für Schatten-IT ist es so, dass Mitarbeiter ein Defizit feststellen und gleichzeitig eine Lösung identifizieren – auch, wenn diese Lösung nicht offiziell legitimiert ist. Dennoch handelt es sich um wichtige Impulse aus der Organisation, die ein zukunftsorientiertes Unternehmen für sich nutzen sollte. 

Ein Resultat könnte beispielsweise sein, dass das zuvor „unter der Hand“ genutzte Tool offiziell in die Liste der im Unternehmen genutzten Assets aufgenommen wird. Oder die Nutzung der Anwendung wird geduldet – allerdings im Rahmen strenger Compliance-Vorgaben. So können Unternehmen die realen Risiken einer Schatten-IT sicher minimieren.

Schlagwörter:

Beiträge
Ähnliche Beiträge
Rufen Sie uns an

+49 . 201 • 61 30 00

Schreiben Sie uns

Zum Kontaktformular

Rufen Sie uns an

DE: +49 . 201 • 61 30 00

CH: +41 . 41 • 544 66 00

Schreiben Sie uns

Zum Kontaktformular

Zurück zum Seitenanfang