Shadow IT ist schon seit eini­ger Zeit ein kri­ti­sches The­ma für IT-Abtei­lun­gen. Die Coro­na-Pan­de­mie und den dar­aus beding­ten Wech­sel vie­ler Mit­ar­bei­ter ins Home Office, hat das Auf­tre­ten noch ein­mal erhöht. Der Grund dafür liegt vor allem in der stei­gen­den Nut­zung der ver­schie­de­nen Cloud Diens­te. Da die­se einen ein­fa­chen und schnel­len Aus­tausch auch für Datei­en mit gro­ßem Daten­vo­lu­men ermög­li­chen, sind sie für eine effek­ti­ve Zusam­men­ar­beit uner­läss­lich. Die Sicher­heit der Daten ist jedoch nicht immer gewährleistet.

Was ist Shadow IT?

Der Begriff Shadow IT (auch Schat­ten IT genannt) fasst die Hard- und Soft­ware inner­halb eines Unter­neh­mens zusam­men, wel­che ohne Wis­sen und Zustim­mung der IT-Abtei­lung von Mit­ar­bei­tern im Unter­neh­men ein­ge­setzt wird. Folg­lich ist sie kein Teil der offi­zi­el­len IT-Infra­struk­tur des Unter­neh­mens und somit weder tech­nisch noch stra­te­gisch in die­se eingebunden.

Zu nicht offi­zi­ell ein­ge­bun­de­ner Hard­ware zäh­len z.B. Dru­cker oder Rou­ter, wel­che von Fach­ab­tei­lun­gen selbst beschafft wur­den. Wei­ter­hin gehö­ren Smart­pho­nes und ande­re mobi­le Devices dazu. Auch pri­va­te End­ge­rä­te der Mit­ar­bei­ter fal­len dar­un­ter, wenn sie für die Unter­neh­mens­kom­mu­ni­ka­ti­on genutzt wer­den. Hier schließt sich auch der Kreis zur inof­fi­zi­ell genutz­ten Soft­ware, da die­se Kom­mu­ni­ka­ti­on zum Teil über Social Media oder Messaging Diens­te erfolgt. Dar­über hin­aus han­delt es sich bei Soft­ware der Shadow- IT häu­fig um IT-Ser­vices von exter­nen Dienst­leis­tern, wie etwa Soft­ware as a Ser­vice oder Cloud Dienste.

Beson­ders das wach­sen­de Ange­bot kos­ten­lo­ser, cloud­ba­sier­ter Pro­gram­me spielt eine gro­ße Rol­le. Der­ar­ti­ge Lösun­gen ver­brei­ten sich deut­lich schnel­ler, da sie sich ein­fach unter­ein­an­der tei­len las­sen und somit fle­xi­ble Zusam­men­ar­beit ermög­li­chen – vor allem in Zei­ten von Home Office. Laut einer Stu­die von McA­fee, ist seit Aus­brauch der Coro­na Pan­de­mie die betrieb­li­che Nut­zung von Cloud Diens­ten indus­trie­über­grei­fend um 50% gestie­gen. Tools für vir­tu­el­le Zusam­men­ar­beit haben dabei den größ­ten Zuwachs ver­zeich­net. So ist bei­spiels­wei­se die Nut­zung des Video­kon­fe­renz­an­bie­ters Zoom um 350% angestiegen.

Shadow IT ist in den meis­ten Fäl­len eine natür­li­che Reak­ti­on der Mit­ar­bei­ter auf indi­vi­du­ell oder auch abtei­lungs­weit wahr­ge­nom­me­ne Hin­der­nis­se bei der Auf­ga­ben­be­wäl­ti­gung. Aus die­sem Grund ist sie nicht grund­sätz­lich etwas Schlech­tes, da die Mit­ar­bei­ter damit ver­su­chen ihre Bedürf­nis­se zu erfül­len und die Geschäfts­pro­zes­se zu ver­bes­sern. Durch die unkon­trol­lier­te Nut­zung der Tech­no­lo­gien ent­ste­hen jedoch diver­se Risi­ken.  

 

Sie den­ken, dass Sie nicht von Shadow IT betrof­fen sind?

Dann über­le­gen Sie doch mal, wie vie­le Mit­ar­bei­ter wohl Mas­sa­ging-Diens­te von Dritt­an­bie­tern auf Ihren Smart­pho­nes für die Unter­neh­mens­kom­mu­ni­ka­ti­on nut­zen… 

 

Risi­ken der Shadow IT 

Durch die Nut­zung unau­to­ri­sier­ter Hard- und Soft­ware ent­ste­hen für die Unter­neh­men ver­schie­de­ne Risiken. 

Sicher­heit

Von der IT-Abtei­lung nicht ein­ge­bun­de­ne Hard- und Soft­ware unter­liegt grund­sätz­lich nicht den glei­chen Sicher­heits­richt­li­ni­en wie offi­zi­el­le Tech­no­lo­gien. Dar­aus resul­tie­ren unter­schied­li­che Sicherheitsrisiken:

Die Tür für Angrei­fer wird geöff­net. Bei­spiels­wei­se ist ein kom­pro­mit­tier­ter Web-Ser­vice dazu fähig mit­tels eines Updates der Cli­ent-Soft­ware Mal­wa­re auf einen Fir­men­rech­ner ein­zu­schleu­sen. Dar­über hin­aus wer­den die Ver­bin­dun­gen der zahl­rei­chen Sys­te­me inner­halb der IT-Infra­struk­tur kom­pro­mit­tiert. Das Ver­säum­nis regel­mä­ßi­ger Aktua­li­sie­run­gen der Soft­ware ermög­licht Angrei­fern den Zugriff auf die gesam­te Daten­bank des Unternehmens.

Dar­über hin­aus ist die Daten­si­cher­heit gefähr­det. Durch unbe­fug­te Daten­trans­fers, das Tei­len und die gemein­sa­me Ver­wen­dung von Datei­en, kön­nen unter­neh­mens­in­ter­ne Daten beschä­digt oder zer­stört wer­den. Neben dem Ver­lust der Daten stellt zudem der Han­del oder die Ver­öf­fent­li­chung durch Drit­te ein Risi­ko dar.

Com­pli­an­ce

Shadow IT führt eben­falls zu Com­pli­an­ce-Pro­ble­men. Die Ein­füh­rung und Nut­zung von nicht durch die IT geneh­mig­ter Hard- und Soft­ware allein stellt häu­fig schon einen Ver­stoß gegen bestehen­de Com­pli­an­ce-Richt­li­ni­en des Unter­neh­mens dar. Wei­te­re Schwie­rig­kei­ten ent­ste­hen, wenn etwa Mit­ar­bei­ter Drop­box oder ande­re kos­ten­lo­se Spei­cher­diens­te nut­zen, um unter­neh­mens­in­ter­ne Daten zu spei­chern oder zu tei­len. Die Daten lie­gen auf öffent­li­chen Ser­vern außer­halb der eige­nen IT-Infra­struk­tur, was nicht nur gegen inter­ne Com­pli­an­ce-Vor­ga­ben, son­dern wohl­mög­lich sogar gegen Geset­ze und die DSGVO verstößt.

Inter­ne Kommunikation

Des Wei­te­ren ruft die feh­len­de Ver­knüp­fung der Tech­no­lo­gien Pro­ble­me her­vor. Wer­den Anwen­dung nicht wie üblich von der IT-Abtei­lung instal­liert und ent­spre­chend ver­knüpft flie­ßen die Daten nicht zwi­schen den genutz­ten Sys­te­men. Daten­ver­lust ist die Fol­ge, da Daten­si­los ent­ste­hen, auf die nicht zen­tral zuge­grif­fen wer­den kann.

Inno­va­ti­on

Auch die feh­len­de Kom­pa­ti­bi­li­tät sowie nicht gere­gel­te Zugriff­mög­lich­kei­ten kön­nen eine Her­aus­for­de­rung dar­stel­len. Im Fal­le von Umstruk­tu­rie­run­gen oder Wei­ter­ent­wick­lung des Unter­neh­mens, z.B. im Rah­men der digi­ta­len Trans­for­ma­ti­on, kön­nen inof­fi­zi­el­le Hard- und Soft­ware zu tech­ni­schen Pro­ble­men im Zusam­men­spiel mit neu­en Tech­no­lo­gien führen.

 

Auf­grund der Viel­zahl an Risi­ken ist es nicht ver­wun­der­lich, dass Shadow IT eine nega­ti­ve Kon­no­ta­ti­on auf­weist. Es ist jedoch mög­lich sie zu kon­trol­lie­ren und den kor­rek­ten Umgang mit neu­en Tech­no­lo­gien im Unter­neh­men zu ver­an­kern. Wie Sie best­mög­lich mit Shadow IT umge­hen und wel­che Vor­tei­le sogar dar­aus ent­ste­hen kön­nen, erfah­ren Sie in unse­rem nächs­ten Bei­trag in der kom­men­den Woche.