Home » News » Security Management » Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

2 Min. Lesezeit
© AdobeStock/joyfotoliakid

Setzen Mitarbeiter ohne Wissen der IT-Abteilung Software und Geräte ein, entsteht eine Schatten-IT. Solche Entwicklungen bergen für Unternehmen hohe Gefahren. Doch es gibt Mittel und Wege, Schatten-IT zu vermeiden.

Unternehmen sind im digitalen Geschäftsalltag auf eine ganze Reihe verschiedener Tools und Technologien angewiesen. Um Daten- und Sicherheitsproblemen vorzubeugen, führen IT-Abteilungen offizielle Listen der verwendeten Software, halten sie stets auf dem neuesten Stand und entwickeln sie weiter. Im Dunkeln verbergen sich daneben allerdings oft unzählige weitere Programme, die Mitarbeiter ohne Wissen der IT-Abteilungen zwar sorglos, aber meistens ohne böswillige Absicht verwenden. Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

• Definition

Schatten-IT besteht als Parallelwelt neben den offiziell geführten Anwendungen und kann dennoch die gleiche Bedeutung erlangen. Die vielen kleinen Tools, Open-Source-Produkte oder Schnittstellen zu offiziellen Anwendungen sind in der Schattenwelt allerdings nicht dokumentiert und auch kein Teil des Monitorings.

• Problem

Inoffizielle Software führt zu Sicherheitsschwachstellen, etwa dann, wenn undokumentierte Schnittstellen den unerlaubten Zugriff auf sensible Daten erlauben. Das Log4j-Problem zeigt auch deutlich, dass Unternehmen sich nicht vertrauensvoll auf Anwendungen von außerhalb verlassen dürfen. Hier kommt es schnell zu Kontrollverlust und ungewolltem Legacy Code: beides müssen IT-Abteilungen unbedingt vermeiden.

• Gründe

Komplizierte Prozesse und zu knapp kalkulierte Budgets begünstigen die Entstehung einer Schatten-IT. Auch keimendes Misstrauen zwischen Fachabteilung und IT kann schnell dazu führen, dass Mitarbeiter auf eigene Applikationen setzen.

• Gegenmaßnahmen

IT-Abteilungen können durch entsprechende Voreinstellungen die Installation neuer Software durch Mitarbeiter unterbinden. Systeme und Projekte müssen allerdings auch auf bereits bestehende Schatten-IT überprüft werden. Der erste Schritt besteht in einer Bestandsaufnahme, denn Legacy Code und inoffiziell eingesetzte Anwendungen sind weiterverbreitet, als es sich viele IT-Abteilungen eingestehen wollen. Auch die Unternehmensstruktur muss hinterfragt werden. Schatten-IT kann mit den richtigen Prozessen vorgebeugt werden, etwa einem betrieblichen Vorschlagswesen für neue Lösungen. Bei inoffiziellen Tools sollten Unternehmen Selbstreflektion betreiben: Wieso wurde die Software gewählt? Fehlt die Funktion auf der offiziellen Liste? Warum wurde sie nicht aufgenommen?

„Es ist durchaus legitim, dass Mitarbeiter selbstständig entscheiden, was sie zum Arbeiten benötigen“, erläutert Nadine Riederer, CEO bei Avision. „Allerdings ist die richtige Kommunikation mit den entsprechenden Stellen ausschlaggebend. Auf diesem Weg kann geklärt werden, ob die Anschaffung eines Tools für das Unternehmen generell sinnvoll ist und ob es in die offizielle Liste aufgenommen werden sollte. Gespräche mit der IT-Abteilung können viel Arbeit und eine Schatten-IT verhindern.“

Nadine Riederer ist CEO bei Avision.
Foto: Avision

Nadine Riederer, CEO bei Avision

Andere interessante News

Datensicherheit, Cloud

Fehler bei SaaS-Datensicherheit vermeiden

Wenn es um SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud geht, ist es wichtig, Modelle der geteilten Verantwortung (Shared responsibility) zu verstehen und kritische Fehler beim Schutz von SaaS-Daten vermeiden. Was bei der Nutzung von As-a-Service-Diensten und der Cloud zu beachten ist.

Phishing

Spear-Phishing-Methoden jetzt bei Massen-Phishing-Kampagnen entdeckt

Cyberkriminelle nutzen Methoden aus Spear-Phishing zunehmend für Massenkampagnen. Während herkömmliche Phishing-Mails generische, oft fehlerhafte Nachrichten an viele Empfänger senden, sind Spear-Phishing-Nachrichten hochgradig personalisiert und enthalten spezifische Details der Zielperson, wodurch sie glaubwürdiger wirken.

Mensch mit Smartphone

Wie Identity Fabric den Boden für Zero Trust bereitet

Identity Fabric (IF) ist eine moderne Infrastruktur für Identitäts- und Zugriffsmanagement (IAM) in hybriden und Multi-Cloud-Umgebungen. Sie kombiniert modulare IAM-Tools für hybride und Multi-Cloud-Umgebungen, unterstützt alle menschlichen und maschinellen Identitäten, bietet erweiterte Analysen und standardbasierte Integrationen – und ist ein wichtiger Schritt in Richtung Zero Trust.