Home » News » Security Management » Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was Unternehmen tun müssen, um gefährlicher Schatten-IT beizukommen

Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

2 Min. Lesezeit
© AdobeStock/joyfotoliakid

Setzen Mitarbeiter ohne Wissen der IT-Abteilung Software und Geräte ein, entsteht eine Schatten-IT. Solche Entwicklungen bergen für Unternehmen hohe Gefahren. Doch es gibt Mittel und Wege, Schatten-IT zu vermeiden.

Unternehmen sind im digitalen Geschäftsalltag auf eine ganze Reihe verschiedener Tools und Technologien angewiesen. Um Daten- und Sicherheitsproblemen vorzubeugen, führen IT-Abteilungen offizielle Listen der verwendeten Software, halten sie stets auf dem neuesten Stand und entwickeln sie weiter. Im Dunkeln verbergen sich daneben allerdings oft unzählige weitere Programme, die Mitarbeiter ohne Wissen der IT-Abteilungen zwar sorglos, aber meistens ohne böswillige Absicht verwenden. Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

• Definition

Schatten-IT besteht als Parallelwelt neben den offiziell geführten Anwendungen und kann dennoch die gleiche Bedeutung erlangen. Die vielen kleinen Tools, Open-Source-Produkte oder Schnittstellen zu offiziellen Anwendungen sind in der Schattenwelt allerdings nicht dokumentiert und auch kein Teil des Monitorings.

• Problem

Inoffizielle Software führt zu Sicherheitsschwachstellen, etwa dann, wenn undokumentierte Schnittstellen den unerlaubten Zugriff auf sensible Daten erlauben. Das Log4j-Problem zeigt auch deutlich, dass Unternehmen sich nicht vertrauensvoll auf Anwendungen von außerhalb verlassen dürfen. Hier kommt es schnell zu Kontrollverlust und ungewolltem Legacy Code: beides müssen IT-Abteilungen unbedingt vermeiden.

• Gründe

Komplizierte Prozesse und zu knapp kalkulierte Budgets begünstigen die Entstehung einer Schatten-IT. Auch keimendes Misstrauen zwischen Fachabteilung und IT kann schnell dazu führen, dass Mitarbeiter auf eigene Applikationen setzen.

• Gegenmaßnahmen

IT-Abteilungen können durch entsprechende Voreinstellungen die Installation neuer Software durch Mitarbeiter unterbinden. Systeme und Projekte müssen allerdings auch auf bereits bestehende Schatten-IT überprüft werden. Der erste Schritt besteht in einer Bestandsaufnahme, denn Legacy Code und inoffiziell eingesetzte Anwendungen sind weiterverbreitet, als es sich viele IT-Abteilungen eingestehen wollen. Auch die Unternehmensstruktur muss hinterfragt werden. Schatten-IT kann mit den richtigen Prozessen vorgebeugt werden, etwa einem betrieblichen Vorschlagswesen für neue Lösungen. Bei inoffiziellen Tools sollten Unternehmen Selbstreflektion betreiben: Wieso wurde die Software gewählt? Fehlt die Funktion auf der offiziellen Liste? Warum wurde sie nicht aufgenommen?

„Es ist durchaus legitim, dass Mitarbeiter selbstständig entscheiden, was sie zum Arbeiten benötigen“, erläutert Nadine Riederer, CEO bei Avision. „Allerdings ist die richtige Kommunikation mit den entsprechenden Stellen ausschlaggebend. Auf diesem Weg kann geklärt werden, ob die Anschaffung eines Tools für das Unternehmen generell sinnvoll ist und ob es in die offizielle Liste aufgenommen werden sollte. Gespräche mit der IT-Abteilung können viel Arbeit und eine Schatten-IT verhindern.“

Foto: Avision

Nadine Riederer, CEO bei Avision

Andere interessante News

Studie 2023: Wie die IT-Branche Künstliche Intelligenz als Chance nutzen kann

Die digitale Landschaft erlebt einen dynamischen Wandel: Eine Mehrheit von 68,3 Prozent der IT-Dienstleister bestätigt einen markanten Anstieg der Anfragen für KI-bezogene Projekte. Gleichzeitig bleibt die Sicherheit im Cyberspace ein anhaltendes Anliegen.

Organisationen stehen mit KI vor steigenden IT-Kosten und Compliance-Herausforderungen

In deutschen Unternehmen und Behörden breitet sich ein KI-Fieber aus. Doch eine alarmierende Studie zeigt: Fast die Hälfte hat keine klaren Regeln für Künstliche Intelligenz. Der drohende Wildwuchs könnte zu enormen IT- und Compliance-Kosten führen.

Mit proaktiver Abwehr in die Offensive gehen

Viele Experten für Cybersicherheit haben erkannt, dass es nicht mehr ausreicht, nur auf Bedrohungen zu reagieren. Deshalb gehen sie nun auch aktiv vor: Sie verwenden Techniken wie Penetrationstests, Red Teaming und proaktives Threat Hunting, um Schwachstellen und mögliche Angriffsmöglichkeiten frühzeitig zu erkennen. Folgender Beitrag zeigt, was offensiv alles möglich ist – und welche sechs Vorteile aus den entsprechenden Maßnahmen resultieren.