Der Einsatz von Schatten-IT gefährdet nachhaltig die Sicherheit der deutschen Wirtschaft. Zu diesem erschreckenden Ergebnis kommt der aktuelle eco-Sicherheitsreport 2016. Hinter dem Schlagwort Schatten-IT verbergen sich nicht genehmigte Hard- und Software sowie Cloud-Dienste, die unabhängig von der Firmen-IT im Unternehmen existieren und so sensible Unternehmensdaten gefährden.
Rund drei Viertel der befragten Unternehmen gehen davon aus, dass in ihrem Unternehmen Schatten-IT genutzt wird, 23 Prozent vermuten sogar eine Nutzung in „erheblichem Umfang“. Nur magere 16 Prozent der Umfrageteilnehmer sind sich sicher, dass bei ihnen keine Schatten-IT existiert. Aber warum sind denn diese auf den ersten Blick für den User oftmals sinnvollen IT-Anwendungen so gefährlich für die Unternehmen? Und wie können mehr Unternehmen von der Schattenseite der IT auf die Sonnenseite wechseln?
Björn Bröhl, Head of Marketing Communications & Sales beim IT-Dienstleister Trivadis, kommentiert:
„Die Schatten-IT ist ein von vielen Unternehmen unterschätztes Sicherheitsrisiko. Sie co-existiert meist als historisch nach und nach gewachsenes, inoffizielles IT-System neben der offiziellen Unternehmens-IT. Die IT-Verantwortlichen ahnen oft nichts von der Existenz dieser Subsysteme: Fachabteilungen gliedern beispielsweise mit Hilfe von Cloud-Diensten ganze Funktionsfelder aus – ohne darüber jemals mit den verantwortlichen IT-Experten gesprochen zu haben. Die Konsequenzen für die IT-Sicherheit können die Fachabteilungen dabei kaum einschätzen. Für sie steht naturgemäß die Verbesserung ihrer Arbeitsprozesse, die mit dem Einsatz der nicht genehmigten Anwendung erzielt wird, im Vordergrund – ein neues Schatten-IT-System ist geboren.
Schatten-IT macht Unternehmen angreifbar
Das große Problem dieser „Maulwurf-Systeme“, die unterhalb des Radars der IT-Abteilung existieren, ist folgendes: Sie werden weder strategisch noch technisch in das IT-Service-Management der Organisation eingebunden. Dies hat zur Folge, dass diese Systeme in Hinblick auf Datensicherheit, Datenintegrität und Datenschutz nicht den IT-Richtlinien des Unternehmens entsprechen und die Unternehmens-IT von außen verwundbar machen. Auch wird die Schatten-IT bei der Weiterentwicklung der IT im Rahmen der digitalen Transformation nicht berücksichtigt und kann im schlimmsten Fall im Zusammenspiel mit den offiziellen IT-Systemen zu technischen Problemen führen.
Probleme mit Compliance-Anforderungen
Ein weiteres Konfliktpotenzial liegt im Compliance-Bereich. Durch die Nutzung von Schatten-IT werden oft Prozesse in den Fachabteilungen etabliert, die bestehende Compliance-Regeln verletzen. Viel grundlegender ist allerdings, dass die Einführung und Nutzung der Schatten-IT selbst ja schon einen Verstoß gegen die Compliance-Regeln darstellen.
Der Schatten-IT den Kampf ansagen
Die Gründe für die Implementierung von Schatten-IT mögen aus Sicht der jeweiligen Fachabteilung plausibel sein. Aus der Perspektive von Unternehmensleitung- und IT-Abteilung überwiegen jedoch die Risiken. Die Eindämmung der Schatten-IT muss daher ein zentrales Thema auf der Agenda jedes Unternehmens sein. Denn je weiter die Digitalisierung voranschreitet, desto angreifbarer machen diese Parallel-Systeme das Unternehmen.
Wir haben die Erfahrung gemacht, dass ein erster konkreter Schritt im Kampf gegen die Schatten-IT der konstruktive Dialog ist. In ihm werden die Fachabteilungen für die Thematik sensibilisiert. Auf der anderen Seite können die Fachabteilungen thematisieren, warum die vorhandenen IT-Lösungen ihren Anforderungen entsprechen und welche Funktionen benötigt werden. Erst wenn dieser Dialog begonnen hat und die vorhandene Schatten-IT identifiziert wurde, ist die erste Hürde zur Abschaffung dieser gefährlichen, versteckten Strukturen genommen.“