schatten-it

Schatten-IT – Die unterschätzte Gefahr für Unternehmen

Als sogenannte Schatten-IT bezeichnet man Informationstechnologie in Unternehmen, die außerhalb der Kontrolle der IT Verwaltung genutzt wird. Schatten-IT birgt hohe Sicherheitsrisiken und kann unter anderem zu Sicherheitsproblemen und auch massiven Kontrollverlusten führen. In diesem Artikel erfahren Sie, wie Schatten-IT entsteht und mit welchen Maßnahmen Sie dieser Gefahr entgegenwirken können. 



Wie Schatten-IT entsteht

Schatten-IT ist ein schleichender Prozess und wird von Unternehmen kaum wahrgenommen. Entwicklungen wie Homeoffice, BYOD (Bring Your Own Device), Cloud First und Mobile Work haben zur Folge, dass immer mehr Mitarbeiter eigenmächtig ungeschützte Geräte oder ungeprüfte Tools einsetzen und damit (oft aus Unwissenheit) die IT-Richtlinien des Unternehmens umgehen. Schatten-IT entsteht oft unbemerkt und breitet sich mit wachsender Digitalisierung weiter aus. 

Der Begriff Schatten-IT bezieht sich auf alle Geräte und Anwendungen, die außerhalb der Sichtbarkeit oder Kontrolle der IT-Verwaltung stattfinden. Dabei verfügt jedes gut aufgestellte Unternehmen über eigene Richtlinien oder eine Compliance, in denen der Umgang mit Arbeitsgeräten, Daten und Softwares klar vorgeschrieben ist. Sie sind wichtiger Bestandteil des Sicherheitskonzeptes und berücksichtigen auch Datenschutzregeln sowie andere Gesetze.

Doch wenn im Arbeitsalltag bestimmte Prozesse und Systeme nicht funktionieren und die Hilfe der zuständigen IT-Abteilung nicht in greifbarer Nähe ist, suchen Mitarbeiter häufig eigene Wege, um das Problem (kurzfristig) zu lösen. Firmen sind dann nicht mehr in der Lage, ihre Devices konsistent zu überwachen und vor versteckten Schwachstellen zu schützen. Dementsprechend werden Mitarbeiter an den Geräten anfälliger für Cyber-Angriffe – ohne, dass sie dies auf dem Radar hätten. 



Schatten-IT nimmt durch Cloud-Computing zu

Durch die zunehmende Digitalisierung der Arbeitswelt nutzen immer mehr Unternehmen die Vorzüge von cloudbasierten Dienstleistungen. Laut einer McAfee-Studie von 2020 haben Unternehmen in Deutschland die Bedenken gegenüber Cloud-Computing weitgehend abgelegt. Bei der Studie gaben 91 Prozent der befragten IT-Leiter an, dass ihr Unternehmen bereits eine Cloud-First-Strategie verfolgt. Weiterhin schätzen 53 Prozent der IT-Verantwortlichen, dass über die Hälfte der Mitarbeiter in ihrem Unternehmen Anwendungen nutzt, von denen die IT-Abteilung nicht in Kenntnis gesetzt wird. Dem Vertrauen in die Sicherheit der Cloud steht die Sorglosigkeit in Bezug auf Anwendungen der Schatten-IT gegenüber. 

Über das Ausmaß ihrer eigenen Schatten-IT sind sich die meisten Firmen jedoch oftmals nicht bewusst. Die unterschätzte Gefahr, die sich durch die Schatten-IT ergibt, kann zu schweren wirtschaftlichen und operativen Schäden wie Datenverluste, Compliance-Verstöße oder Malware führen.  

Umso wichtiger ist es, dieses Risiko möglichst gering zu halten. Dazu bedarf es einer Kombination aus umfassender Aufklärung innerhalb des Unternehmens und einer detaillierten Einstufung von Web-Diensten sowie dem Einsatz entsprechender Sicherheitstechnologien, um Zugriffe auf sämtliche (Cloud-)Anwendungen zu kontrollieren. 



Schatten-IT verhindern: Aufklärung und Kontrolle

Da sich Schatten-IT schnell und unbemerkt ausbreiten kann, sollten Unternehmen möglichst früh handeln und ihrer Entstehung mit geeigneten Maßnahmen proaktiv entgegenwirken. Zwei Elemente sind dafür essentiell: Aufklärung und klare Prozesse bzw. angemessene Kontrollmaßnahmen.


1. Aufklärung der Mitarbeiter 

Mitarbeiter spielen in der Entstehung von Schatten-IT eine entscheidende Rolle. Daher ist es von großer Bedeutung eine Unternehmenskultur zu schaffen, in der ein Sicherheitsbewusstsein gefördert wird. Alle Mitarbeiter gilt es darüber aufzuklären, was Schatten-IT ist und welche Risiken damit verbunden sind. Dazu eignen sich beispielsweise regelmäßige Mitarbeiterversammlungen und Inhouse-Schulungen, bei der ganze Abteilungen oder sogar die gesamte Belegschaft professionell zu der Thematik geschult werden kann. 


2. Klare Prozesse

Weiterhin sollte sowohl die Führungsebene als auch die IT-Abteilung darauf achten, dass die Mitarbeiter während der Arbeit sicher und produktiv bleiben. Grundsätzlich sind eigenständige Arbeitsweisen und Problemlösungen seitens der Mitarbeiter natürlich gerne gesehen. Dennoch ist eine vorherige Absprache mit der IT-Abteilung zu empfehlen, wenn es um das eigene IT-Erlebnis am Arbeitsplatz geht. So können technische Unsicherheiten gemeinsam von Anfang an geklärt und gelöst werden, um nicht nur eine gesunde IT, sondern auch eine nachhaltige Performance gewährleisten zu können. 

Darüber hinaus ist es eine Herausforderung für IT-Teams, einen Einblick in die Netzwerk-, Anwendungs-, und Geräteleistung der Mitarbeiter außerhalb der Netzwerkumgebung des Unternehmens zu erhalten. Dies ist jedoch dringend erforderlich, um Probleme zu finden und zu beheben. Hier können spezielle Tools für die Endpunktsicherheit helfen und den IT-Teams die Möglichkeit geben, bis an den Rand des Netzwerks zu sehen, wo sich die Endbenutzer und Geräte befinden. 



Ganzheitliche Strategie ist das A und O

Greifen unautorisierte und unbemerkte IT-Aktivitäten in Unternehmensprozesse ein und belasten diese, werden Unternehmen schnell vor große Herausforderungen gestellt. Schließlich verlieren sie den Überblick und können Fehler-Ursachen mangelhafter IT-Performance nicht mehr rechtzeitig lokalisieren.

Daher ist es sinnvoll, Unternehmens-IT und Mitarbeiter in eine ganzheitliche Strategie zu integrieren und aus der Endnutzer-Perspektive auf die IT-Gesundheit zu schauen. Folglich wirken sich sowohl das Engagement der Führungsebene und der IT-Abteilung als auch die Sensibilität der Mitarbeiter positiv auf die IT-Sicherheit im Unternehmen aus, wodurch sich Schatten-IT langfristig verhindern lässt. 




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security