Blog: Gefahren und Chancen von Schatten-IT

18.11.2015

Sind Sie sich der wachsenden Gefahr durch Schatten-IT bewusst und kennen Sie mögliche positive Aspekte?

Das wachsende Selbstbewusstsein der Endnutzer im Umgang mit Technologie wird immer mehr zur Herausforderung für die IT. Endgeräte wie Tablets und Smartphones haben ihren Weg an den Arbeitsplatz gefunden und fast jeder von uns verbringt viel Zeit damit, auf irgendeinen Bildschirm zu starren. Da ist es nur natürlich, dass viele Nutzer sich beim Umgang mit IT-Ressourcen nicht länger beirren lassen.

Aber eben das kann problematisch sein, insbesondere wenn ihnen Unternehmen die Nutzung gewisser Anwendungen oder Prozesse vorschreiben wollen. Werden die Anweisungen der IT als Einschränkung empfunden oder wird der Wert der offiziellen Lösung nicht erkannt, ignorieren die Nutzer die IT-Abteilung häufig und gehen ihre eigenen Wege. Gehen nun Einzelne oder aber auch ganze Abteilungen dazu über, eigene Lösungen ohne Genehmigung oder Aufsicht der IT-Abteilung zu kaufen, kann das zu erheblichen Sicherheitsproblemen führen. Trotzdem wird dieses Verhalten immer mehr zur Regel.

Die Zunahme der Schatten-IT

Dieser Trend, allgemein bekannt als Schatten-IT, ist mittlerweile eine der grössten Herausforderungen für die Unternehmenssicherheit. Nach einer Untersuchung von Cisco ist das Problem weit mehr verbreitet als Vielen bewusst ist.

So gehen IT-Abteilungen davon aus, dass die Mitarbeiter im Schnitt etwa 51 verschiedene Cloud-Dienste nutzen, in Wirklichkeit liegt die Zahl aber bei 730 – also 15 Mal mehr als die IT-Abteilung glaubt! Und die Situation verschärft sich, Cisco sagt voraus, dass bis Ende 2015 in einer Durchschnittsfirma mehr als 1.000 externe Cloud-Dienste laufen werden.

Was ist das Problem? Hauptsächlich, dass ohne Aufsicht und Genehmigung durch die IT unklar ist, ob sensible Daten die Firma verlassen. Schatten-IT bezieht sich zudem nicht alleine auf die Cloud, vielmehr fällt jede Technologie darunter, deren Nutzung nicht von der IT-Abteilung freigegeben ist.

Probleme durch die Nutzung von Filesharing-Diensten

Ein typisches Beispiel für den Einsatz von Schatten-IT ist die Nutzung von konsumentenorientierte Filesharing-Plattformen für Unternehmensdaten. Das ist verständlicherweise beliebt, denn so können die Nutzer auf wichtige Dokumente zugreifen wann immer nötig und diese nahtlos mit Kollegen, Lieferanten oder Kunden teilen.

Wie verbreitet dieses Verhalten ist, zeigt eine Studie von MobileIron nach der fünf der zehn am häufigsten durch IT-Abteilungen gesperrten Apps Filesharing-Tools (Enterprise File Sync and Share, EFSS) sind, darunter Dropbox, Google Drive und OneDrive.

Ich habe schon darüber geschrieben, welche Risiken im Zusammenhang mit der Nutzung solcher Technologien bestehen, von der Tatsache, dass unautorisierte Dritte meist relativ einfach auf die Informationen zugreifen können bis hin zum Mangel an Kontrolle durch die Firma. Und zwischenzeitlich ist die Anzahl der Gefahren für Nutzer von Schatten-IT noch gestiegen – insbesondere da die Angriffe auf mobile Geräte immer ausgeklügelter werden.

Die Studie von MobileIron besagt, dass in einem von zehn Unternehmen mindestens ein kompromittiertes Smartphone oder Tablet vertrauliche Daten preisgibt – und in vielen Fällen weiss die IT-Abteilung nicht, dass ihr Unternehmen betroffen ist, da sie keinen Überblick über die Geräte oder Anwendungen hat, die von den Mitarbeiter verwendet werden.

Positive Aspekte von Schatten-IT?

IT-Manager arbeiten daran, die Schatten-IT einzudämmen. Das ist in der Praxis oft sehr schwer, da Nutzer die Lösungen einfach weiterverwenden wenn sie der Meinung sind, dass diese einfacher und bequemer zu nutzen sind.

Daher sollten Probleme mit der Benutzerfreundlichkeit prioritär angegangen werden. Sind die von der IT freigegebenen Lösungen intuitiv zu bedienen und behindern die Nutzer nicht in ihren gewohnten Abläufen, werden diese sich weniger oft nach Alternativen umschauen. Auch Schulungen und Informationen darüber, warum man sich für ein spezielles Tool entschieden hat, sind hilfreich für die Nutzerakzeptanz.

Trotzdem werden zunehmend auch positive Aspekte von Schatten-IT diskutiert. Einige Kommentatorensind der Meinung, dass sie Innovationen in Unternehmen vorantreiben kann, vorausgesetzt man lässt sich darauf ein und nutzt sie effektiv. Unternehmen können gesamt gesehen ihre Leistung erhöhen, wenn sie Nutzern ermöglichen, Projekte oder Ideen schneller voranzutreiben, die ansonsten durch Bürokratie ausgebremst würden, oder einfach schnell eine Lösung zu implementieren, die ein bestimmtes Problem adressiert.

Letztendlich müssen Unternehmen sich dem Phänomen der Schatten-IT bewusst sein und Schritte ergreifen, um dadurch entstehende Sicherheitslücken in den Griff zu kriegen. Aber eine komplette Beseitigung mag nicht nur unrealistisch sein, sondern vielleicht auch nicht immer der beste Weg. Erfolgreiche Unternehmen sollten daher auch mögliche Vorteile im Blick haben und diese sorgfältig gegen Bedrohungen abwägen.

von Marcel Mock, CTO, totemo ag