Home » News » Security Management » Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

2 Min. Lesezeit
© AdobeStock/joyfotoliakid

Setzen Mitarbeiter ohne Wissen der IT-Abteilung Software und Geräte ein, entsteht eine Schatten-IT. Solche Entwicklungen bergen für Unternehmen hohe Gefahren. Doch es gibt Mittel und Wege, Schatten-IT zu vermeiden.

Unternehmen sind im digitalen Geschäftsalltag auf eine ganze Reihe verschiedener Tools und Technologien angewiesen. Um Daten- und Sicherheitsproblemen vorzubeugen, führen IT-Abteilungen offizielle Listen der verwendeten Software, halten sie stets auf dem neuesten Stand und entwickeln sie weiter. Im Dunkeln verbergen sich daneben allerdings oft unzählige weitere Programme, die Mitarbeiter ohne Wissen der IT-Abteilungen zwar sorglos, aber meistens ohne böswillige Absicht verwenden. Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

• Definition

Schatten-IT besteht als Parallelwelt neben den offiziell geführten Anwendungen und kann dennoch die gleiche Bedeutung erlangen. Die vielen kleinen Tools, Open-Source-Produkte oder Schnittstellen zu offiziellen Anwendungen sind in der Schattenwelt allerdings nicht dokumentiert und auch kein Teil des Monitorings.

• Problem

Inoffizielle Software führt zu Sicherheitsschwachstellen, etwa dann, wenn undokumentierte Schnittstellen den unerlaubten Zugriff auf sensible Daten erlauben. Das Log4j-Problem zeigt auch deutlich, dass Unternehmen sich nicht vertrauensvoll auf Anwendungen von außerhalb verlassen dürfen. Hier kommt es schnell zu Kontrollverlust und ungewolltem Legacy Code: beides müssen IT-Abteilungen unbedingt vermeiden.

• Gründe

Komplizierte Prozesse und zu knapp kalkulierte Budgets begünstigen die Entstehung einer Schatten-IT. Auch keimendes Misstrauen zwischen Fachabteilung und IT kann schnell dazu führen, dass Mitarbeiter auf eigene Applikationen setzen.

• Gegenmaßnahmen

IT-Abteilungen können durch entsprechende Voreinstellungen die Installation neuer Software durch Mitarbeiter unterbinden. Systeme und Projekte müssen allerdings auch auf bereits bestehende Schatten-IT überprüft werden. Der erste Schritt besteht in einer Bestandsaufnahme, denn Legacy Code und inoffiziell eingesetzte Anwendungen sind weiterverbreitet, als es sich viele IT-Abteilungen eingestehen wollen. Auch die Unternehmensstruktur muss hinterfragt werden. Schatten-IT kann mit den richtigen Prozessen vorgebeugt werden, etwa einem betrieblichen Vorschlagswesen für neue Lösungen. Bei inoffiziellen Tools sollten Unternehmen Selbstreflektion betreiben: Wieso wurde die Software gewählt? Fehlt die Funktion auf der offiziellen Liste? Warum wurde sie nicht aufgenommen?

„Es ist durchaus legitim, dass Mitarbeiter selbstständig entscheiden, was sie zum Arbeiten benötigen“, erläutert Nadine Riederer, CEO bei Avision. „Allerdings ist die richtige Kommunikation mit den entsprechenden Stellen ausschlaggebend. Auf diesem Weg kann geklärt werden, ob die Anschaffung eines Tools für das Unternehmen generell sinnvoll ist und ob es in die offizielle Liste aufgenommen werden sollte. Gespräche mit der IT-Abteilung können viel Arbeit und eine Schatten-IT verhindern.“

Foto: Avision

Nadine Riederer, CEO bei Avision

Andere interessante News

Auge im Software-Universum

Studie: Öffentliche Organisationen in Sachen Softwaresicherheit im Rückstand

Eine aktuelle Studie verdeutlicht, dass öffentliche Organisationen im Vergleich zur Privatwirtschaft bei der Sicherheit ihrer Softwareanwendungen hinterherhinken. So weisen 82 Prozent der Softwareanwendungen im öffentlichen Sektor Sicherheitslücken auf. Dennoch schneiden öffentliche Organisationen in einigen Bereichen besser ab als private Unternehmen.

Sichere IT

Wie BSI und Verbände die kommunale IT sicherer machen wollen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erprobt seit Mai gemeinsam mit sechs deutschen Modellkommunen das Pilotprojekt "Weg in die Basis-Absicherung" (WiBA). Die Kommunen wurden aus über 130 Bewerbungen ausgewählt und repräsentieren verschiedene Größen und Typen, darunter Balgheim, Rees, Markkleeberg, Schwerin und Regen.

Wie Out-of-Band-Tools die Cyberresilienz von Netzwerken steigern

In einer zunehmend digitalisierten Welt wird es für Unternehmen immer wichtiger, ihre IT-Systeme rund um die Uhr verfügbar zu halten. Dies gilt insbesondere für kritische Infrastrukturen. Eine bewährte Methode, um die Resilienz von Netzwerken erheblich zu erhöhen, besteht darin, Out-of-Band-Managementlösungen einzusetzen.