Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

2 Min. Lesezeit
© AdobeStock/joyfotoliakid

Setzen Mitarbeiter ohne Wissen der IT-Abteilung Software und Geräte ein, entsteht eine Schatten-IT. Solche Entwicklungen bergen für Unternehmen hohe Gefahren. Doch es gibt Mittel und Wege, Schatten-IT zu vermeiden.

Unternehmen sind im digitalen Geschäftsalltag auf eine ganze Reihe verschiedener Tools und Technologien angewiesen. Um Daten- und Sicherheitsproblemen vorzubeugen, führen IT-Abteilungen offizielle Listen der verwendeten Software, halten sie stets auf dem neuesten Stand und entwickeln sie weiter. Im Dunkeln verbergen sich daneben allerdings oft unzählige weitere Programme, die Mitarbeiter ohne Wissen der IT-Abteilungen zwar sorglos, aber meistens ohne böswillige Absicht verwenden. Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

• Definition

Schatten-IT besteht als Parallelwelt neben den offiziell geführten Anwendungen und kann dennoch die gleiche Bedeutung erlangen. Die vielen kleinen Tools, Open-Source-Produkte oder Schnittstellen zu offiziellen Anwendungen sind in der Schattenwelt allerdings nicht dokumentiert und auch kein Teil des Monitorings.

• Problem

Inoffizielle Software führt zu Sicherheitsschwachstellen, etwa dann, wenn undokumentierte Schnittstellen den unerlaubten Zugriff auf sensible Daten erlauben. Das Log4j-Problem zeigt auch deutlich, dass Unternehmen sich nicht vertrauensvoll auf Anwendungen von außerhalb verlassen dürfen. Hier kommt es schnell zu Kontrollverlust und ungewolltem Legacy Code: beides müssen IT-Abteilungen unbedingt vermeiden.

• Gründe

Komplizierte Prozesse und zu knapp kalkulierte Budgets begünstigen die Entstehung einer Schatten-IT. Auch keimendes Misstrauen zwischen Fachabteilung und IT kann schnell dazu führen, dass Mitarbeiter auf eigene Applikationen setzen.

• Gegenmaßnahmen

IT-Abteilungen können durch entsprechende Voreinstellungen die Installation neuer Software durch Mitarbeiter unterbinden. Systeme und Projekte müssen allerdings auch auf bereits bestehende Schatten-IT überprüft werden. Der erste Schritt besteht in einer Bestandsaufnahme, denn Legacy Code und inoffiziell eingesetzte Anwendungen sind weiterverbreitet, als es sich viele IT-Abteilungen eingestehen wollen. Auch die Unternehmensstruktur muss hinterfragt werden. Schatten-IT kann mit den richtigen Prozessen vorgebeugt werden, etwa einem betrieblichen Vorschlagswesen für neue Lösungen. Bei inoffiziellen Tools sollten Unternehmen Selbstreflektion betreiben: Wieso wurde die Software gewählt? Fehlt die Funktion auf der offiziellen Liste? Warum wurde sie nicht aufgenommen?

„Es ist durchaus legitim, dass Mitarbeiter selbstständig entscheiden, was sie zum Arbeiten benötigen“, erläutert Nadine Riederer, CEO bei Avision. „Allerdings ist die richtige Kommunikation mit den entsprechenden Stellen ausschlaggebend. Auf diesem Weg kann geklärt werden, ob die Anschaffung eines Tools für das Unternehmen generell sinnvoll ist und ob es in die offizielle Liste aufgenommen werden sollte. Gespräche mit der IT-Abteilung können viel Arbeit und eine Schatten-IT verhindern.“

Foto: Avision

Nadine Riederer, CEO bei Avision

Andere interessante News

Private Sicherheitswirtschaft auf Wachstumskurs

Zum Ende des Jahres 2021 waren 266.388 Beschäftigte in der Privaten Sicherheitswirtschaft in Deutschland tätig. „Im Vergleich zum Vorjahr sind dies knapp 4.000 Menschen mehr und damit, nach einem leichten Rückgang 2010, die höchste Beschäftigtenzahl der Branche überhaupt“, erläutert BDSW Hauptgeschäftsführer Florian Graf.

Welche Branchen bei der IIoT-/OT-Sicherheit noch Nachholbedarf haben

Kritische Infrastrukturen sind vermehrt Angriffsziele von Cyberkriminellen. Unternehmen haben das erkannt und ihre IIoT- und OT-Security (Industrial Internet of Things/Operational Technology) entsprechend hoch aufgehängt. Die zunehmend angespannte geopolitische Lage stellt sie jedoch vor große Herausforderungen.

Kommentar: Netzwerksicherheit bei Banken muss besser und schneller werden

Banken müssen garantieren, dass der Datentransfer innerhalb ihres Netzwerks nicht nur sicher, sondern auch schnell möglich ist. Konkurrenzfähig zu sein, bedeutet in diesem Kontext, den eigenen Kunden fortschrittliche digitale Dienstleistungen anzubieten.