Gefährliche Schatten-IT – was können Unternehmen dagegen tun?

Autor: Fabio Marti
Veröffentlicht am 5. Juni 2019

Gerade in Zeiten von DSGVO und Geschäftsgeheimnisgesetz wird die Entstehung von Schatten-IT zu einer Herausforderung, der sich jedes Unternehmen rechtzeitig stellen sollte. Denn was wie ein geheimnisvolles Randphänomen aus dem Bereich der Cyber-Kriminalität klingt, ist an vielen Stellen ganz normaler Alltag – ohne dass sich Mitarbeiter und Führungskräfte überhaupt des Risikos bewusst sind. Durch die Verfügbarkeit zahlreicher praktischer Kommunikations- und Filesharing-Tools wird es immer selbstverständlicher, dort abzukürzen, wo der Weg über die bestehende IT-Infrastruktur zu umständlich erscheint. Höchste Zeit also, die unternehmensinternen Prozesse genauer unter die Lupe zu nehmen.

Inhalt

  • Was genau ist Schatten-IT?
  • Beispiele aus dem Alltag
  • Eigentlich gut gemeint – Gründe für die Entstehung von Schatten-IT
  • Sinnvolle Maßnahmen gegen Schatten-IT

Was genau ist Schatten-IT?

Wahrscheinlich sind Sie mit dem Begriff „Schatten-IT“ schon häufiger in Berührung gekommen, doch nur die Wenigsten haben eine genaue Erklärung parat. Deswegen in aller Kürze:

Schatten-IT besteht dann, wenn Mitarbeiter oder ganze Abteilungen eine IT-Infrastruktur bzw. Online-Tools und Software einsetzen, die parallel neben der offiziellen IT-Infrastruktur operieren. Oft ohne das Wissen und ohne Überprüfung durch die IT, weshalb eine Schatten-IT schnell zur Schwachstelle innerhalb des Unternehmens werden und beispielsweise Datenlecks verursachen kann.

Beispiele aus dem Alltag

Die wohl häufigsten Beispiele für die Entstehung von Schatten-IT führen heutzutage über die Nutzung von Filesharing- und Messenger-Services. So hat fast jeder fünfte Arbeiternehmer in Deutschland in den letzten drei Monaten einen nicht vom Arbeitgeber bereitgestellten Filesharing-Dienst genutzt, um arbeitsbezogene Dokumente auf ein anderes Gerät, an einen Kollegen oder an einen Geschäftspartner zu senden. Immerhin bietet es sich geradezu an, größere Dokumenten-Sammlungen oder Design-Entwürfe mal eben in die Dropbox hochzuladen oder über Tools wie WeTransfer zu verschicken. Aber auch für die Planung des nächsten Team-Treffens ist schnell eine WhatsApp-Gruppe erstellt, anstatt sich mit zahlreichen Rundmails herumzuschlagen – denn kleinere Projekte lassen sich ja prima über den Messenger organisieren.

Dass dadurch empfindliche Informationen gefährdet werden, weil die Service-Dienstleister oft ebenso Zugriff auf die übermittelten Daten bekommen und Meta-Daten für eigene Zwecke nutzen, ist den betreffenden Mitarbeitern in der Regel kaum bewusst. Oder das damit verbundene Risiko wird einfach massiv unterschätzt. Schatten-IT entsteht normalerweise nicht aus bösen Absichten und mit dem Gefühl, etwas Verbotenes zu tun. Meist ist das genaue Gegenteil der Fall. Und das führt zum eigentlichen Problem:

Eigentlich gut gemeint – Gründe für die Entstehung von Schatten-IT

Der eigentliche Grund, warum Mitarbeiter die vorgegebenen Strukturen verlassen und auf Schatten-IT zurückgreifen, ist ebenso einfach wie plausibel: Sie wollen effizienter arbeiten. Gerade wenn der Weg ansonsten durch einen unübersichtlichen Compliance-Dschungel und über veraltete Systeme führt und üblicherweise ein hohes Frustrationspotenzial aufweist, ist die Entscheidung für die Abkürzung aus menschlicher Sicht absolut nachvollziehbar. Der Schritt ist eigentlich nur gut gemeint – die tatsächlichen Gründe liegen nicht bei einzelnen Personen, sondern vielmehr in der Natur der Sache: dass alternative Tools überhaupt notwendig sind und von Seiten der Unternehmen nicht zur Verfügung stehen. So bieten beispielsweise nur 38 % deutscher Unternehmen ihren Mitarbeitern eine Messaging-Lösung für Ihre geschäftliche Kommunikation an . 

Da ist es auch nicht weiter verwunderlich, dass Schatten-IT nicht bloß einzelne Personen betrifft, sondern häufig von Teams oder gar ganzen Abteilungen genutzt wird. Gerne auch über offizielle Anschaffungen, nur eben ohne die IT-Abteilung rechtzeitig miteinzubeziehen. Deswegen sollten sich Unternehmen ganz genau überlegen, wie sie gegen Schatten-IT vorgehen.

Was tun bei Schatten-IT? – Sinnvolle Gegenmaßnahmen für Unternehmen

Bevor Sie konkrete Schritte gegen Schatten-IT einleiten, sollten Sie sich zunächst einen Überblick verschaffen: Wo genau werden nicht genehmigte Wege genutzt und aus welchen Gründen? Umfragen und persönliche Gespräche mit Mitarbeitern können hier sehr hilfreich sein, aber auch ein Blick in die Ausgaben gibt mitunter wertvollen Aufschluss. Wenn beispielsweise eine Abteilung eigenständig ein kostenpflichtiges Tool eingeführt hat, ohne sich mit der IT-Abteilung abzustimmen, werden die Kosten hier auftauchen.

Während Ihrer Recherche sollten Sie allen Betreffenden deutlich machen, dass es Ihnen keinesfalls darum geht, „Übeltäter“ zu bestrafen. Stattdessen sollte der Fokus darauf liegen, Lösungsstrategien zu entwickeln, um gefährliche Datenlecks künftig zu vermeiden. So können Sie am ehesten auf die Offenheit der Mitarbeiter zählen.

Anschließend stehen Ihnen vor allem vier Arten von Gegenmaßnahmen zur Verfügung, die sich gut miteinander kombinieren lassen:

  1. Reglementierungen
    Klare Regeln, die nicht genehmigte Hilfsmittel strikt untersagen und auch die Konsequenzen bei Verstößen bewusst machen, können Schatten-IT reduzieren – reichen jedoch nicht aus, um das eigentliche Problem zu lösen.
  2. Technische Einschränkungen
    Ein ausgefeiltes Endpoint-Security-Management regelt über technische Maßnahmen, welche Tools installiert und verwendet werden dürfen. WhatsApp auf dem Firmenhandy zum Beispiel kann so schnell unterbunden werden – nicht aber die Nutzung der App, wenn das private Smartphone verwendet wird.
  3. Bewusstsein schaffen
    Oft sind sich Mitarbeiter nicht im Klaren, welche Auswirkungen das Umgehen der offiziellen Regeln haben kann. Entweder sind Sie nicht ausreichend über Bedrohungen und gesetzliche Regelungen wie die DSGVO informiert oder sie halten ihre eigene Rolle für zu klein und unbedeutend, als dass wirklich ein Risiko bestände. Daher besteht der wohl nachhaltigste Ansatz im Abbau von Schatten-IT darin, Bewusstsein zu schaffen und zu stärken: Sowohl für das Risiko als auch dafür, dass jeder einzelne Mitarbeiter wesentlich zur Sicherheit des Unternehmens beiträgt. Das, was er tut, ist wichtig und schützenswert. Dieses Bewusstsein in Verbindung mit der entsprechenden Wertschätzung gegenüber sämtlichen Aufgabenfeldern im Unternehmen ist oft um einiges effektiver als Regeln und Verbote. Denn ein Handeln gegen dieses Bewusstsein würde stets die eigene Position schwächen. 
  4. Möglichkeiten bereitstellen
    Um wirklich nachhaltig die Schatten-IT aus dem Unternehmen zu verbannen, ist eine beständige Optimierung der unternehmensinternen Prozesse sinnvoll: Wo lassen sich Arbeitsschritte vereinfachen und welche Tools sind dafür geeignet? Wenn Sie den Bedarf der Mitarbeiter erkennen, noch bevor er dringlich wird, können Sie mit entsprechenden Lösungen vorweggreifen. Zum Beispiel mit einem Filesharing-System und einem Business Messenger, die den Anforderungen des Datenschutzes vollkommen gerecht werden. Möglichkeiten bestehen immer – und es ist besser, die dafür verantwortlichen Kollegen sind mit der Auswahl betraut, als dass sich die Mitarbeiter selbst auf die Suche nach einer schnellen Lösung begeben.

Zum Abschluss noch einmal kurz zusammengefasst:

Schatten- IT ist eine ernstzunehmende Herausforderung, doch absolut lösbar. Über Regeln und technische Limitierungen – aber vor allem über Aufklärung, Empowerment und die vorausschauende Optimierung von Arbeitsabläufen. Fangen Sie am besten direkt damit an.