header_home_wuerfel_1920px.jpg

Unterschätztes Sicherheitsrisiko Schatten-IT

Der Einsatz von Schatten-IT gefährdet nachhaltig die Sicherheit der deutschen Wirtschaft. Zu diesem erschreckenden Ergebnis kommt der aktuelle eco-Sicherheitsreport 2016. Der Verband eco – Verband der Internetwirtschaft e.V. hat dazu in einer Umfrage 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland befragt. Hinter dem Schlagwort Schatten-IT verbergen sich nicht genehmigte Hard- und Software sowie Cloud-Dienste, die unabhängig von der Firmen-IT im Unternehmen existieren und so sensible Unternehmensdaten gefährden. Rund drei Viertel der befragten Unternehmen gehen davon aus, dass in ihrem Unternehmen Schatten-IT genutzt wird, 23 Prozent vermuten sogar eine Nutzung in „erheblichem Umfang“. Nur magere 16 Prozent der Umfrageteilnehmer sind sich sicher, dass bei ihnen keine Schatten-IT existiert. Aber warum sind denn diese auf den ersten Blick für den User oftmals sinnvollen IT-Anwendungen so gefährlich für die Unternehmen? Und wie können mehr Unternehmen von der Schattenseite der IT auf die Sonnenseite wechseln?

Björn Bröhl, Head of Marketing Communications & Sales, kommentiert:

BJB_19x19 Klein.jpg„Die Schatten-IT ist ein von vielen Unternehmen unterschätztes Sicherheitsrisiko. Sie co-existiert meist als historisch nach und nach gewachsenes, inoffizielles IT-System neben der offiziellen Unternehmens-IT. Die IT-Verantwortlichen ahnen oft nichts von der Existenz dieser Subsysteme: Fachabteilungen gliedern beispielsweise mit Hilfe von Cloud-Diensten ganze Funktionsfelder aus – ohne darüber jemals mit den verantwortlichen IT-Experten gesprochen zu haben. Die Konsequenzen für die IT-Sicherheit können die Fachabteilungen dabei kaum einschätzen. Für sie steht naturgemäß die Verbesserung ihrer Arbeitsprozesse, die mit dem Einsatz der nicht genehmigten Anwendung erzielt wird, im Vordergrund – ein neues Schatten-IT-System ist geboren.

Schatten-IT macht Unternehmen angreifbar

Das große Problem dieser „Maulwurf-Systeme“, die unterhalb des Radars der IT-Abteilung existieren, ist folgendes: Sie werden weder strategisch noch technisch in das IT-Service-Management der Organisation eingebunden. Dies hat zur Folge, dass diese Systeme in Hinblick auf Datensicherheit, Datenintegrität und Datenschutz nicht den IT-Richtlinien des Unternehmens entsprechen und die Unternehmens-IT von außen verwundbar machen.

Auch wird die Schatten-IT bei der Weiterentwicklung der IT im Rahmen der digitalen Transformation nicht berücksichtigt und kann im schlimmsten Fall im Zusammenspiel mit den offiziellen IT-Systemen zu technischen Problemen führen.

Probleme mit Compliance-Anforderungen

Ein weiteres Konfliktpotential liegt im Compliance-Bereich. Durch die Nutzung von Schatten-IT werden oft Prozesse in den Fachabteilungen etabliert, die bestehende Compliance-Regeln verletzen. Viel grundlegender ist allerdings, dass die Einführung und Nutzung der Schatten-IT selbst ja schon einen Verstoß gegen die Compliance-Regeln darstellt.

Der Schatten-IT den Kampf ansagen

Die Gründe für die Implementierung von Schatten-IT mögen aus Sicht der jeweiligen Fachabteilung plausibel sein. Aus der Perspektive von Unternehmensleitung- und IT-Abteilung überwiegen jedoch die Risiken: Denn wie soll die digitale Transformation eines Unternehmens gelingen, wenn es eine versteckte IT gibt, die die IT-Spezialisten nicht managen? Wie sollen integrierende Lösungen organisationsweit eingeführt werden, wenn der einzelne Mitarbeiter die liebgewonnene Eigenentwicklung, Access-Anwendung oder Excel-Datei bevorzugt? Und noch viel zentraler ist die Frage, wie die IT-Sicherheit und Compliance gewährleistet werden soll, wenn es diverse Anwendungen gibt, über die nur die „eingeweihten User“ Bescheid wissen?

chess-1850918_1920.jpg

Die Eindämmung der Schatten-IT muss daher ein zentrales Thema auf der Agenda jedes Unternehmens sein. Denn je weiter die Digitalisierung voranschreitet, desto angreifbarer machen diese Parallel-Systeme das Unternehmen. Wir beim IT-Dienstleister Trivadis haben die Erfahrung gemacht, dass ein erster konkreter Schritt im Kampf gegen die Schatten-IT der konstruktive Dialog ist. In ihm werden die Fachabteilungen für die Thematik sensibilisiert. Auf der anderen Seite können die Fachabteilungen thematisieren, warum die vorhandenen IT-Lösungen ihren Anforderungen entsprechen und welche Funktionen benötigt werden. Erst wenn dieser Dialog begonnen hat und die vorhandene Schatten-IT identifiziert wurde, ist die erste Hürde zur Abschaffung dieser gefährlichen, versteckten Strukturen genommen.“

Trivadis triCast zum Thema Schatten IT

Nehmen Sie am Dienstag, 21.2.2017, von 16.00 Uhr bis 17.00 Uhr, an unserem Webcast zum Thema Schatten-IT teil. Darin zeigen wir die Chancen und Risiken, die die Nutzung von Schatten-IT bietet, auf und geben konkrete Hilfestellungen, wie Unternehmen das Problem Schatten-IT in Angriff nehmen können.

New Call-to-action

Weiterführende Informationen:

Bildquelle Schachfigur: Pixabay/Pexels

Topics: Kommentar Digital Business Transformation