header_home_wuerfel_1920px.jpg

Unterschätztes Sicherheitsrisiko Schatten-IT

Der Einsatz von Schatten-IT gefährdet nachhaltig die Sicherheit der deutschen Wirtschaft. Zu diesem erschreckenden Ergebnis kommt der aktuelle eco-Sicherheitsreport 2016. Der Verband eco – Verband der Internetwirtschaft e.V. hat dazu in einer Umfrage 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland befragt. Hinter dem Schlagwort Schatten-IT verbergen sich nicht genehmigte Hard- und Software sowie Cloud-Dienste, die unabhängig von der Firmen-IT im Unternehmen existieren und so sensible Unternehmensdaten gefährden. Rund drei Viertel der befragten Unternehmen gehen davon aus, dass in ihrem Unternehmen Schatten-IT genutzt wird, 23 Prozent vermuten sogar eine Nutzung in „erheblichem Umfang“. Nur magere 16 Prozent der Umfrageteilnehmer sind sich sicher, dass bei ihnen keine Schatten-IT existiert. Aber warum sind denn diese auf den ersten Blick für den User oftmals sinnvollen IT-Anwendungen so gefährlich für die Unternehmen? Und wie können mehr Unternehmen von der Schattenseite der IT auf die Sonnenseite wechseln?

Björn Bröhl, Head of Marketing Communications & Sales, kommentiert:

BJB_19x19 Klein.jpg„Die Schatten-IT ist ein von vielen Unternehmen unterschätztes Sicherheitsrisiko. Sie co-existiert meist als historisch nach und nach gewachsenes, inoffizielles IT-System neben der offiziellen Unternehmens-IT. Die IT-Verantwortlichen ahnen oft nichts von der Existenz dieser Subsysteme: Fachabteilungen gliedern beispielsweise mit Hilfe von Cloud-Diensten ganze Funktionsfelder aus – ohne darüber jemals mit den verantwortlichen IT-Experten gesprochen zu haben. Die Konsequenzen für die IT-Sicherheit können die Fachabteilungen dabei kaum einschätzen. Für sie steht naturgemäß die Verbesserung ihrer Arbeitsprozesse, die mit dem Einsatz der nicht genehmigten Anwendung erzielt wird, im Vordergrund – ein neues Schatten-IT-System ist geboren.

Schatten-IT macht Unternehmen angreifbar

Das große Problem dieser „Maulwurf-Systeme“, die unterhalb des Radars der IT-Abteilung existieren, ist folgendes: Sie werden weder strategisch noch technisch in das IT-Service-Management der Organisation eingebunden. Dies hat zur Folge, dass diese Systeme in Hinblick auf Datensicherheit, Datenintegrität und Datenschutz nicht den IT-Richtlinien des Unternehmens entsprechen und die Unternehmens-IT von außen verwundbar machen.

Auch wird die Schatten-IT bei der Weiterentwicklung der IT im Rahmen der digitalen Transformation nicht berücksichtigt und kann im schlimmsten Fall im Zusammenspiel mit den offiziellen IT-Systemen zu technischen Problemen führen.

Probleme mit Compliance-Anforderungen

Ein weiteres Konfliktpotential liegt im Compliance-Bereich. Durch die Nutzung von Schatten-IT werden oft Prozesse in den Fachabteilungen etabliert, die bestehende Compliance-Regeln verletzen. Viel grundlegender ist allerdings, dass die Einführung und Nutzung der Schatten-IT selbst ja schon einen Verstoß gegen die Compliance-Regeln darstellt.

Der Schatten-IT den Kampf ansagen

Die Gründe für die Implementierung von Schatten-IT mögen aus Sicht der jeweiligen Fachabteilung plausibel sein. Aus der Perspektive von Unternehmensleitung- und IT-Abteilung überwiegen jedoch die Risiken: Denn wie soll die digitale Transformation eines Unternehmens gelingen, wenn es eine versteckte IT gibt, die die IT-Spezialisten nicht managen? Wie sollen integrierende Lösungen organisationsweit eingeführt werden, wenn der einzelne Mitarbeiter die liebgewonnene Eigenentwicklung, Access-Anwendung oder Excel-Datei bevorzugt? Und noch viel zentraler ist die Frage, wie die IT-Sicherheit und Compliance gewährleistet werden soll, wenn es diverse Anwendungen gibt, über die nur die „eingeweihten User“ Bescheid wissen?

chess-1850918_1920.jpg

Die Eindämmung der Schatten-IT muss daher ein zentrales Thema auf der Agenda jedes Unternehmens sein. Denn je weiter die Digitalisierung voranschreitet, desto angreifbarer machen diese Parallel-Systeme das Unternehmen. Wir beim IT-Dienstleister Trivadis haben die Erfahrung gemacht, dass ein erster konkreter Schritt im Kampf gegen die Schatten-IT der konstruktive Dialog ist. In ihm werden die Fachabteilungen für die Thematik sensibilisiert. Auf der anderen Seite können die Fachabteilungen thematisieren, warum die vorhandenen IT-Lösungen ihren Anforderungen entsprechen und welche Funktionen benötigt werden. Erst wenn dieser Dialog begonnen hat und die vorhandene Schatten-IT identifiziert wurde, ist die erste Hürde zur Abschaffung dieser gefährlichen, versteckten Strukturen genommen.“

Trivadis triCast zum Thema Schatten IT

Am 21.2.2017 fand ein Webcast zum Thema Schatten-IT teil. Darin haben wir die Chancen und Risiken, die die Nutzung von Schatten-IT bietet, aufgezeigt und konkrete Hilfestellungen gegeben, wie Unternehmen das Problem Schatten-IT in Angriff nehmen können. Eine Aufzeichnung des triCast und die zugehörigen Unterlagen erhalten Sie hier.

New Call-to-action

Weiterführende Informationen:

Bildquelle Schachfigur: Pixabay/Pexels

Topics: Kommentar Digital Business Transformation Sicherheit