Schatten-IT vorbeugen

So können Sie Ihre Compliance-Anforderungen und die Wünsche Ihrer Anwender vereinen

Jetzt Demo anfragen!

Was ist Schatten-IT?

Nutzen Mitarbeiter im Unternehmen Informations- und Kommunikationstechnologien ohne die IT-Abteilung darüber zu informieren oder ohne Autorisierung, spricht man von Schatten-IT. Im Folgenden zeigen wir auf, wo die Gründe dafür liegen, welche Gefahren und Risiken  Schatten-IT birgt und wie Sie sie minimieren können.

„Man kann nicht nicht kommunizieren.“ Was Paul Watzlawick schon vor Jahren feststellte, gilt heute in gewisser Weise auch für Unternehmen: „Man kann nicht nicht elektronisch kommunizieren“. Der Großteil der Kommunikation findet heute digital statt. Dabei werden die Anforderungen an die IT-Umgebung immer komplexer und die Ansprüche der Anwender steigen.

Aus ihrem privaten Alltag sind Arbeitnehmer einfach zu nutzende Kommunikationslösungen gewohnt und setzen diese Maßstäbe auch im Arbeitsalltag an. Kann die Unternehmens-IT diese nicht gewährleisten, suchen sich Anwender ihre eigene Lösung.

Das führt dazu, dass Produkte zum Einsatz kommen, die nicht den Compliance-Standards des Unternehmens entsprechen – meist unbemerkt von der IT-Abteilung. Es entsteht die sogenannte Schatten-IT.

So entsteht Schatten-IT

Schatten-IT bezeichnet den Einsatz nicht autorisierter Software im Unternehmen. Häufig  tritt sie beim Datenaustausch auf: Sollen große Dateien an Kollegen, Kunden oder Partner geschickt werden, kommt das E-Mail-System schnell an seine Grenzen. Kaum eine E-Mail-Lösung ermöglicht den Versand von Dateien, die größer als einige Megabyte sind.

Mangels Alternativen und oft unter Zeitdruck weichen Anwender auf Lösungen aus, die sie aus ihrem privaten Umfeld kennen: Public Cloud-Lösungen wie GoogleDrive, Dropbox oder iCloud sind schnell gestartet und ermöglichen eine einfache Kommunikation mit dem Kommunikationspartner. Für den Anwender ist das Problem kurzfristig gelöst. Die rechtlichen und organisatorischen Folgen können jedoch schwerwiegend sein.

Die Gefahren der Schatten-IT

Nutzen Mitarbeiter nicht autorisierte IT-Lösungen, hat das Unternehmen keine Kontrolle über die Dateien, die auf öffentlichen Servern außerhalb der eigenen IT-Infrastruktur liegen. Damit verstoßen viele Unternehmen, die Kunden-, Patienten- oder Mandantendaten verarbeiten und austauschen gegen Gesetze oder regulatorische Vorgaben sowie gegen unternehmensinterne Compliance-Vorgaben. Hinzu kommt, dass es bei Public Cloud-Diensten immer wieder zu Datendiebstahl kommt.

Besonders für sensible Kundendaten oder vertrauliche Unternehmensdokumente sind  Public Cloud-Lösungen ungeeignet, da die Daten nicht verschlüsselt oder die Schlüssel nicht hinreichend sicher abgelegt werden.

Erlangt eine nicht autorisierte Person Zugriff auf ein Benutzerkonto, kann sie sämtliche Dateien einsehen, herunterladen oder auch manipulieren.

Den Anwender verstehen

Auch wenn Nutzer diese Lösungen für das File Sharing im privaten Alltag gewohnt sind, sollten Unternehmen die Nutzung in der Geschäftskommunikation nicht tolerieren. Doch Verbote aussprechen, nützt nichts. Geschäftsführung und IT-Verantwortliche müssen Alternativen anbieten, die sowohl Anforderungen an Compliance als auch an einfache Bedienbarkeit gerecht werden. Trotz stetiger technischer Weiterentwicklung E-Mails sind das Kommunikationsmittel mit der weitesten Verbreitung und der höchsten Akzeptanz im Geschäftsalltag.

Weichen Mitarbeiter auf nicht autorisierte Lösungen aus, dann nur, weil die zur Verfügung stehenden Lösungen nicht die gewünschten Funktionen abdecken.

 

Compliance-gerechte Lösungen

Jeder Arbeitnehmer möchte Komplexität am Arbeitsplatz vermeiden und den Zeitaufwand so gering wie möglich halten. D.h. Informationen - heute oft in großen Dateien verpackt - sollen schnell und einfach von A nach B. Hat er dafür eine passende Lösung in seiner gewohnten Arbeitsumgebung zur Verfügung, braucht er sich über Alternativen keine Gedanken machen und arbeitet automatisch compliance-konform.

Auf folgende Punkte sollten Unternehmen achten, wenn sie ihre IT-Infrastruktur compliance-gerecht aufsetzen und dafür eine neue Lösung einführen möchten:

 

  1. Intuitive Bedienung:
    Der Anwender muss nichts Neues lernen. Wenn doch, ist die neue Lösung einfach und selbsterklärend.
  2. Verfügbarkeit – jederzeit und überall:
    Die Lösung ist spontan einsetzbar. Das erhöht die Nutzerakzeptanz.
  3. Eignung für alle Inhalte und Formate:
    Mit der Lösung können Informationen und Dateien jeder Größe und Art ausgetauscht werden.
  4. Kosteneffizienz:
    Externe Kommunikationspartner, z.B.   Geschäfts-partner, Dienstleister oder private Endkunden  sollten keine Kosten tragen müssen.
  5. Vertraulichkeit:
    Die Transportwege und die Zwischenablage sollten verschlüsselt sein. Die Kontrolle über die Schlüssel sollte beim Unternehmen liegen.
  6. Sicherheit:
    Virenschutz und Data Loss Prevention (DLP) sind Pflicht.
  7. Einhaltung der Compliance-Vorgaben:
    Logging, Archivierung und Empfangsbestätigungen gewährleisten die Nachvollziehbarkeit.