Dienstag, 4. Oktober 2016

Licht in die Schatten-IT: Warum Absprachen mit der IT wichtig sind

Wenn Sie selbst die Software auswählen und installieren, die Sie brauchen, ist das keine Unterstützung für die IT-Administration, sondern eine Gefahr für vertrauliche Daten.


Wenn die richtige Software fehlt


Dank der IT wird vieles einfacher, so heißt es jedenfalls. Doch nicht immer passt die verfügbare Software oder Hardware zu den aktuellen Aufgaben. Mitunter scheint sich die vorhandene IT überhaupt nicht für die täglichen Aufgaben im Büro zu eignen. Vielleicht ist es Ihnen auch schon so gegangen, dass Sie am liebsten eine andere IT-Lösung gehabt hätten.

yourIT - Wir bringen Licht in Ihre Schatten-IT
yourIT - Wir bringen Licht in Ihre Schatten-IT


Einige Anwender melden ihre IT-Probleme bei den IT-Administratoren, andere sprechen ihre Vorgesetzte oder ihren Vorgesetzten an. So mancher Nutzer wird selbst aktiv, sucht sich einfach im Internet die passende Lösung und setzt sie im Unternehmen ein.

Was wie eine gute Idee und Unterstützung für die IT-Abteilung aussieht, ist sehr riskant. Kaum etwas fürchten IT-Administratoren mehr als den eigenmächtigen Anwender. Die IT, die Nutzer selbst installieren, wird auch Schatten-IT genannt – aus gutem Grund.

Im Schatten lauern Gefahren


Die Schatten-IT ist die IT, die die Administratoren nicht so einfach oder gar nicht sehen können. Anders gesagt, es ist die IT, von der die IT-Abteilung nichts weiß und um die sie sich deshalb nicht kümmern kann. Wenn Sie jetzt denken „Macht ja nichts, ich kümmere mich selbst um die Lösungen, die ich zusätzlich brauche oder besser gebrauchen kann“, übersehen Sie, dass die IT-Sicherheit nicht jede Form von IT im Unternehmen schützt.

Damit zum Beispiel eine Software automatisch aktualisiert wird, muss sie zum einen entsprechend eingestellt werden. Sie muss in der Patch-Verwaltung vorgesehen sein, und das Herunterladen der Patches oder Fehlerbehebungen muss an der Firewall des Unternehmens erlaubt werden, um nur einige Schritte zu nennen, die Administratoren machen. Nicht zuletzt müssen sie die Patches auf Schadsoftware prüfen.

Installiert der Anwender seine Tools selbst, kann es passieren, dass die Antiviren-Software des Unternehmens sie nicht überprüft – mit massiven Folgen für Datensicherheit und Datenschutz.

Die Schatten-IT beginnt bereits bei einzelnen Apps


Die Schatten-IT beginnt nicht erst dann, wenn ein Mitarbeiter Online- oder Cloud-Dienste im Internet nutzt, die nicht betrieblich frei-gegeben sind. Es geht auch nicht nur um die Office-Lösung, die man auf dem betrieblich genutzten Notebook nachinstalliert, weil man diese oder jene Anwendung bevorzugt.

Bereits eine einzelne, kleine Smartphone-App ist Schatten-IT, wenn sie auf einem betrieblich genutzten Smartphone installiert wird, selbst wenn das mobile Endgerät dem Nutzer gehört, er es aber für das Unternehmen einsetzt.

Ist die eigenmächtig installierte App verseucht oder spioniert sie Daten aus, können schnell Firmendaten oder personenbezogenen Daten in falsche Hände gelangen. Betriebliche IT-Sicherheitslösungen werden das oftmals nicht verhindern können. Denn sie kontrollieren nicht ohne weiteres Apps, die der Nutzer in Eigenregie installiert.

Sprechen Sie sich mit der IT ab!


Denken Sie deshalb daran: Brauchen Sie andere IT-Lösungen oder kennen Sie Lösungen, die besser für Ihre Aufgaben geeignet erscheinen, dann sprechen Sie mit der Person, die Ihnen Ihre IT-Ausstattung übergeben hat, mit der IT-Administration oder mit Ihrer Führungskraft.

Alleingänge sind gefährlich (und können sogar arbeitsrechtliche Konsequenzen haben). Im Schatten können Gefahren lauern, die man übersieht. Das gilt auch für die Schatten-IT.

Welche Risiken bringt die Schatten-IT mit sich?


Frage: Die IT-Sicherheitslösungen Ihres Unternehmens schützen die gesamte IT. Stimmt das?


  • a. Ja, natürlich, sonst hätte die IT-Abteilung etwas falsch gemacht.
  • b. Nein. Es kann sein, dass die IT, die die Nutzer ohne Beteiligung der IT-Abteilung einsetzen, ungeschützt bleibt. 

Lösung: Die Antwort b. ist richtig. Die sogenannte Schatten-IT ist der IT-Abteilung nicht bekannt. Deshalb kann sie sie im IT-Sicherheitskonzept auch nicht berücksichtigen. Von einem automatischen Schutz kann man nicht ausgehen.

Frage: Nutze ich eine Cloud-Lösung aus dem Internet, besteht keine Gefahr für die interne IT. Deshalb sind keine Freigaben für Cloud-Lösungen nötig. Stim-men Sie zu?


  • a. Für die IT-Sicherheit stimmt das. Denn Gefahren in einer Cloud sind ja nicht im betrieblichen Netzwerk vorhanden.
  • b. Nein. Denn jede IT-Nutzung kann zum Risiko werden, wenn die IT-Sicherheit nicht stimmt, auch bei Cloud-Lösungen.

Lösung: Die Antwort b. ist erneut richtig, denn Cloud-Lösungen sind als Teil der IT zu sehen. Gefahren aus der Cloud bedrohen die Daten des Unternehmens und können auch das interne Netzwerk betreffen. Ganz gleich, um welche IT es geht, ob Smartphone, App, Cloud oder etwas anderes, ohne Freigabe darf IT nicht eingesetzt werden.

Eigenmächtig installierte oder genutzte IT gehört zur Schatten-IT, die das Datensicherheitskonzept des Unternehmens nicht ohne Weiteres berücksichtigt. Deshalb bedroht Schatten-IT den Datenschutz und die Informationssicherheit im Unternehmen.