header_corporate-blog_2019_1920x559px

Schatten-IT – Stolperfalle der flexiblen Cloud-Dienste

manuel-meyer@1xDie Cloud bietet ein hohes Mass an Flexibilität. Dieser positive Aspekt führt allerdings auch dazu, dass immer wieder Ressourcen ohne das Wissen der IT-Abteilung bezogen werden. So entsteht eine Schatten-IT, die weitreichende negative Folgen haben kann.

Schatten-IT ist nicht neu. Es gibt sie auch jenseits der Cloud. Doch in der heutigen Zeit besteht die Möglichkeit, jede erdenkliche Anwendung aus der Cloud zu beziehen oder in dieser aufzubauen, ohne Überwachung durch die IT-Abteilung. Auch hochkomplexe Lösungen können an der zentralen IT-Abteilung vorbei relativ einfach genutzt werden. Die Fachabteilung ist begeistert, der IT-Leiter nicht. Denn aus der Sorglosigkeit bei der Nutzung von Cloud-Anwendungen und der damit wachsenden Schatten-IT resultiert ein immenser Schaden.

In den folgenden Abschnitten wird deshalb aufgezeigt, welchen Risikofaktoren ein besonderes Augenmerk geschenkt werden sollte, wenn es um Schatten-IT geht und in welchen konkreten Bereichen sie zu Problemen führen kann.

TRI-Cloud-FB-Seitentitelbild_1200x675_d-min (002)

Missachtung von Compliance

Von Mitarbeitenden selbst aufgesetzte Software innerhalb von Systemumgebungen, die an der IT-Abteilung vorbeiführen, halten selten die entsprechenden Sicherheits-, Datenschutz- und Compliance-Richtlinien ein. Der Fachbereich, der eine bestimmte Software nutzen möchte, kennt diese Auflagen meist nicht. Auch ist ihm nicht bekannt, auf welche Aspekte er die Cloud Services, die er nutzen möchte, überprüfen muss. Darum kümmert sich sonst die IT-Abteilung. Werden diese Prüfungen nicht ordnungsgemäss durchgeführt, können in der Folge Compliance-Probleme entstehen, die wiederum zu Strafen, zum Beispiel im Zuge der Steuerprüfung oder beim Datenschutz, führen.

Sicherheitsstandards werden nicht erfüllt

Auch Sicherheitsstandards werden oftmals nicht eingehalten, wenn Mitarbeitende Software-Lösungen eigenmächtig betreiben. Faktoren wie die richtige Verschlüsselung, Passwortschutz oder Zugriffsberechtigungen werden häufig nicht erfüllt. Die technischen und organisatorischen Massnahmen zur Weitergabe von Daten an Dritte fehlen in solchen Fällen ebenso. Das bedeutet, dass auch Unbefugte auf die Daten zugreifen können.

Vertragliche und rechtliche Aspekte werden nicht validiert

Die Buchung ist ganz einfach, der Vertrag mit ein paar Klicks geschlossen. Auch die Nutzungsbedingungen sind schnell akzeptiert. Aber wurden sie auch gelesen? Wurden sie geprüft? Der Fachbereich, der die Anwendungen nutzt, kann selbst meist kaum einschätzen, welche Relevanz die Bestimmungen haben und welche Konsequenzen der Vertrag nach sich ziehen kann. Doch der Service-Provider hat mit diesen Klicks bereits die Berechtigungen erhalten, die Daten zur Nutzung und eventuell auch zur Auswertung weiterzuverarbeiten. Im schlimmsten Fall können Vertragsverstösse die Folge sein, die bis hin zum Vertragsbruch mit Regressansprüchen führen können. Das kann das Unternehmen viel Geld und Zeit kosten.

Kostenfalle

Zeit und Geld bilden in der Unternehmens-IT eine Einheit. Das ist zwar der Firmenleitung bekannt, aber nicht allen Führungskräften oder gar Mitarbeitenden. Sie stehen unter einem Leistungsdruck, den sie so schnell und perfekt wie möglich bewältigen möchten. Deshalb fackeln sie mit der Buchung von Cloud Services auch nicht lange, wenn es erfolgsversprechend zu sein scheint. Einfache Abrechnungsmodelle der Provider, wie Pay-per-Use, lassen die Nutzung kontrollierbar erscheinen. Doch ohne die zentrale Kostenüberwachung und die Vergabe fester Budgets, mit denen die Mitarbeitenden wirtschaften sollen, können die Gebühren schnell aus dem Ruder laufen.

Ein typischer Fall aus der Praxis: Teamleiter X bezieht Azure mit der Kreditkarte und gibt dem Mitarbeitenden Y volle Berechtigung. Der Mitarbeitende möchte nun eine moderne Datenanalyse in Gang setzen und nutzt hierzu HD Insight als Analyse-Service. Dieses Programm besteht aus einem Cluster von vier virtuellen Rechnern, die natürlich performant sein sollen. Daher wählt er eine leistungsstarke Variante. Die Software ist für zwei Wochen 24 Stunden am Tag in Betrieb, damit der Mitarbeitende immer Zugriff hat, und die Testanalysen fortlaufen können, auch ohne, dass aktiv jemand an der Software arbeitet. Die unschöne Überraschung flattert am Monatsende in Form einer nicht erwartet teuren Abrechnung ins Haus.

Fehlendes Monitoring und Betreuung

Operative Arbeit wie Monitoring und Logging, also die automatische Erstellung eines Protokolls von Softwareprozessen für die Nachvollziehbarkeit von Fehlern, wird bei Schatten-IT-Anwendungen oft nur rudimentär geleistet. Das kann zu Problemen führen, besonders dann, wenn Fehler passieren. Daten könnten zudem, ohne vom Anwender gewollt, öffentlich zugänglich gemacht werden, sodass von aussen auf sie zugegriffen wird.

Auch Audit-Daten werden in der Schatten-IT nicht gesammelt und vorgehalten. Sie sind jedoch essenziell, um die Software auf die korrekte Funktionalität zu prüfen, wichtige Qualitätsanforderungen einzuhalten und Ergebnisse zu dokumentieren.

Verwendung im täglichen Betrieb nicht geplant

Cloud-Anwendungen werden von Abteilungen manchmal nur testweise eingesetzt, Ideen erprobt, Funktionen geprüft. Fällt der Test positiv aus und hat die Lösung überzeugt, soll sie möglichst schnell produktiv eingesetzt werden. Was das aber für das operative Tagesgeschäft bedeutet, wird nicht immer bedacht. Spätestens dann, wenn der Cloud Service tatsächlich dauerhaft genutzt werden soll, wird die IT-Abteilung involviert. Sie soll relativ schnell für den Betrieb und die Überwachung sorgen. Doch die Voraussetzungen dafür sind ungünstig: Die IT-Mitarbeitenden kennen die Software-Umgebung nicht, ihnen fehlt das spezifische Know-how und die Zeit, sich intensiver mit der Lösung auseinanderzusetzen.

Die Technologie könnte ausserdem möglicherweise nicht mit den täglich verwendeten Operation-Tools der IT vereinbar sein. Dann greifen die gängigen Prozesse nicht. Das bedeutet für die bereits ausgelasteten IT-Mitarbeitenden Mehrarbeit, insbesondere dann, wenn Probleme bei der Nutzung der Software entstehen.

Die benötigten Kapazitäten, die im täglichen Produktiveinsatz erforderlich sind, werden oftmals unterschätzt. Ein Webservice lässt sich relativ leicht zusammenbauen und testen. Wenn er allerdings in Betrieb genommen wird, können etliche Anfragen auf die IT zukommen. Der Fachbereich, der die Anwendung in Betrieb nimmt, kennt sich mit den entsprechenden Planungen und Konzepten zur Kapazitätsplanung in der Regel nicht aus.

Fazit

Es gibt verschiedene Faktoren, die dazu führen, dass Schatten-IT entsteht: Seien es gedankenlos handelnde Mitarbeitende oder Fachabteilungen, die ihre Freiheiten ausnutzen. Daraus resultieren verschiedene Gefahren, die das Unternehmen vor allem viel Zeit und Geld kosten können. Damit die Innovationen, die die Nutzung der Cloud mit sich bringen kann, dabei nicht durch die Schatten-IT gefährdet werden, gilt es bestimmte Dinge zu beachten. Diese stellen wir Euch nächste Woche vor. 

Hast du Lust, anhand einer konkreten Customer Story mehr über das Thema zu erfahren? Dann melde dich jetzt an für die IT Tage 2020 vom 7. bis 10. Dezember und nimm am Vortrag von Jens teil - bis bald!  

it-tage

 

Topics: Microsoft Cloud Computing