Die 4 Top-Maßnahmen gegen die (mobile) Schatten-IT

Schatten-IT ist kein neues Phänomen. Trotzdem gewinnt diese Problematik in vielen Unternehmen immer mehr an Gewicht. Denn oftmals fehlt es an geeigneten Ansatzpunkten, um nicht authentifizierte IT aufzudecken und gegen deren Ausweitung im Unternehmen vorzugehen.
Aber welche Ursachen liegen der Entstehung von Schatten-IT zugrunde? Welche Risiken und Vorteile birgt diese Entwicklung? Und welche Ansatzpunkte gibt es, um gegen die sogenannte “graue IT” vorzugehen? Wir klären auf.

Schatten-IT: Eine Definition

Schatten-IT ist auch unter den Begriffen “versteckte” oder “graue” IT bekannt. Dahinter verbirgt sich die Ergänzung der offiziell authentifizierten IT mit der eigenständig durch die Fachbereiche und Individuen gewählte IT. Es kann sich hierbei sowohl um Software, als auch um IT-Prozesse oder IT-Organisationseinheiten und Hardware handeln, die in den Fachbereichen verwendet werden. Diese Systeme sind der offiziellen IT-Abteilung in der Regel nicht bekannt und werden von ihr nicht akzeptiert oder gar unterstützt. Die private Nutzung der offiziell bereitgestellten IT fällt jedoch nicht in den Bereich der Schatten-IT.

Welches Ausmaß hat die versteckte IT in Unternehmen angenommen?

Eine Studie von IDC aus dem Oktober 2018 befasst sich mit der aktuellen IT-Security-Lage in deutschen Unternehmen. Demnach verzeichneten 67% der befragten Unternehmen kritische Sicherheitsvorfälle. Vor allem PCs und Notebooks (34%), Netzwerke (31%) sowie Smartphones und Tablets (30%) waren von diesen Vorfällen betroffen. Doch sollten gerade diese Endgeräte besonderen Schutz erfahren, da sie als Einfallstor in das unternehmensinterne Rechenzentrum missbraucht werden können. Doch genau das Gegenteil ist der Fall. So gehen nach Einschätzung der offiziellen IT-Verantwortlichen durchschnittlich 43% der Sicherheitsvorfälle auf das Konto der Anwender. Die Ursache hierfür liegt häufig in einem sorglosen Umgang der Mitarbeiter mit mobiler Technologie. Schließlich haben 30% der Befragten in den letzten 2 Jahren ein unternehmenseigenes Smartphone verloren.

Häufig sind Apps für Projektmanagement, Notizenerstellung oder File Sharing von der Schatten-IT betroffen.

Eine Studie des Cloud-Security-Anbieters Netskope ergab, dass in einem durchschnittlichen Unternehmen mehr als 1000 verschiedene Cloud-Services im Einsatz sind. Allerdings eignen sich mehr als 90% der verwendeten Services nur bedingt für den Einsatz in Unternehmen. Das liegt häufig daran, dass Management-, Security- und Compliance-Features fehlen.

Welche Auswirkungen ergeben sich durch die Schatten-IT?

Warum Schatten-IT problematisch ist  

Allgemein ergeben sich aus unkontrollierter IT Risiken in den Bereichen des Datenschutzes sowie der Datensicherheit und -integrität. So entstehen auch rechtliche Herausforderungen, denn die Einhaltung von Bestimmungen zum Datenschutz, zum Urheberrechtsschutz oder zu Aufbewahrungspflichten ist bei der Verwendung von grauer IT oft nicht gewährleistet. Darüber hinaus stellen sie eine ständige Gefahr für die IT-Sicherheit dar, weil Dritte über unzureichend gesicherte Anwendungen leichten Zugang zur Unternehmens-IT finden könnten. Gerade bei der Verwendung privater, ungenügend gesicherter Endgeräte für Unternehmenszwecke eröffnen sich neue Zugriffspunkte für Angreifer.  

Negative Auswirkungen auf Geschäftsbeziehungen und die Performance

Neben den Sicherheitsrisiken kann die Schatten-IT auch Ihre Beziehung zu offiziellen Lieferanten gefährden. Sollten bei der Sourcing-Entscheidung offizielle IT-Partner übergangen werden, kann dies gegen vertragliche Vereinbarungen zwischen Ihnen und Ihrem Geschäftspartner verstoßen. Ein weiteres Risiko besteht in der Auswirkung auf die Gesamtperformance Ihres Unternehmens. Der Verwaltungs- und Verarbeitungsaufwand Ihrer Daten steigert sich enorm durch die Verwendung verschiedener IT-Systeme. Daten müssen ggf. mehrmals eingepflegt werden, da die verschiedenen Systeme unter Umständen nicht miteinander kompatibel sind. Dies bedeutet Mehraufwand und mindert die Effizienz der betroffenen Mitarbeiter.

Nutzen Sie die bestehende Schatten-IT als Ansatzpunkt

Einerseits bergen unkontrollierte IT-Systeme eine Menge Risiken, andererseits besitzen sie auch einen Innovationscharakter, welcher oftmals unterschätzt wird. Schließlich decken sie Verbesserungsbedarf hinsichtlich der unbefriedigten Bedürfnisse der Anwender auf. Denn erst, wenn die offizielle IT nicht den Anforderungen der Nutzer entspricht, werden sich diese auf die Suche nach einer Alternative begeben. Nutzen Sie daher die bestehende Schatten-IT als Ansatzpunkt, um Verbesserungsmöglichkeiten in der von Ihnen genehmigten IT aufzudecken und Ihren Mitarbeitern Systeme anzubieten, die zu deren Use Cases und Anforderungen passen.

Ursachen für die Entstehung der versteckten IT

Die Anwender spielen bei der Entstehung der Schatten-IT eine zentrale Rolle. Wie bereits angesprochen entsteht Schatten-IT, sobald die zur Verfügung gestellten IT-Services nicht den Anforderungen der Anwender bzw. Fachbereiche genügen. Während Mitarbeiter IT-Werkzeuge brauchen, die ihre Effizienz und Produktivität steigern, wollen Unternehmen in erster Linie sichere, skalier- und kontrollierbare Werkzeuge einsetzen. Daher ist es nicht selten, dass die Verwaltungsmöglichkeit der Systeme eine höhere Priorität genießt als die User Experience. Dabei ist die User Experience einer der wichtigsten Erfolgsfaktoren – nicht nur im Bereich der IT. So haben wir es alle schon mal erlebt, dass uns das Nutzungserlebnis mit einem Produkt oder Service so sehr enttäuscht hat, dass wir bei der nächsten Nutzung auf eine Alternative umgestiegen sind. Genau so, entsteht auch die Schatten-IT.

Ein weiterer Grund ist fehlende Kommunikation

Eine mangelhafte Kommunikation ist Ursache vieler Probleme. So auch bei der Schatten-IT. Sobald sich Anwender und IT-Verantwortliche nicht über geeignete IT-Systeme austauschen und abstimmen, kann es keine Lösung geben, die beide Seiten zufriedenstellt. Während dies Anwender meist keine Kenntnisse über die IT-Anforderungen Ihres Unternehmens haben, haben die IT-Experten keine Kenntnisse über die konkreten Nutzungsanforderungen der Anwender. Finanzielle oder personelle Engpässe sowie das Fehlen eines Ansprechpartners aus der Reihe der IT-Experten führen dazu, dass Anwender die Verwaltung der IT-Struktur kurzerhand selbst in die Hand nehmen.

Schatten-IT Monster

Unsere Top 4 Maßnahmen gegen Schatten-IT

Sensibilisierung

Nachdem fast jeder zweite Sicherheitsvorfall im Zusammenhang mit mobiler Technologie durch Anwender verursacht wird, sollten Unternehmen genau hier ansetzen. Schulungen zur Sensibilisierung der Fachbereiche und Mitarbeiter sind daher eine effektive Maßnahme, um gegen die Schatten-IT vorzugehen. Nutzen Sie diesen Rahmen, um Compliance-Regeln und Ihre Anforderungen an die IT klar zu kommunizieren. Teilweise ist es Ihren Mitarbeitern nämlich gar nicht bewusst, dass sie gegen Vorschriften verstoßen bzw. welche weitreichenden Folgen ihr Verhalten hat. Um die Folgen der Schatten-IT umfassend darzustellen und Ihre Mitarbeiter in Ihrem Verhalten zu sensibilisieren, bieten wir unsere Unterstützung und fachliche Expertise für Schulungen zum Thema Schatten-IT an. Wir freuen uns, wenn Sie Kontakt zu uns aufnehmen!

Setzen Sie auf agile Betriebsmodelle

Lösen Sie sich von eingefahrenen Plan-Build-Run-Schema und nutzen Sie die Vorteile agiler Betriebsmodelle. Nutzerinterviews, User Stories und Journey Maps eignen sich, um IT-Infrastruktur effizienter und effektiver voranzubringen und dabei den Fokus auf die Anforderungen der Nutzer und die User Experience zu legen.

Schutzvorkehrungen gegen Schatten-IT

Da unternehmensbezogene Daten immer öfter über mobile – zum Teil private – Endgeräte verwaltet und genutzt werden, können Sie mit Hilfe eines konsequenten Mobile Device Managements (MDM) die Schatten-IT in Ihrem Unternehmen spürbar eingrenzen. So können Sie beispielsweise private und unternehmensinterne Daten voneinander trennen, einen Passwortschutz für sensible Daten einrichten oder verloren gegangene Endgeräte in kurzer Zeit aus dem System entfernen.

Schützende Technologien

Neben MDM unterstützt auch der Einsatz schützender Technologien die Eindämmung der grauen IT. Geofencing kann beispielsweise als Smart-Lock-Feature eingesetzt werden. Hierbei werden bestimmte Geräte, Daten oder Apps solange gesperrt bis der Anwender einen als vertrauenswürdig und sicher definierten Ort erreicht hat. Außerdem schützt der Einsatz von Multifaktor-Authentifizierung (MFA) über Wearables oder eine biometrische Identitätsprüfung. Damit die Usability Ihrer IT nicht eingeschränkt wird, sollten Sie MFA jedoch nicht übermäßig einsetzen. Ansonsten landen Sie wieder beim Ausgangsproblem – die hohe Sicherheit ist gewährleistet; die gute User Experience nicht. Als weitere Variante sorgen Container-Lösungen auf Geräte-Ebene für den nötigen Schutz. Auch Maßnahmen zur Mobile Application Security können eingebunden werden. Über sogenannte Per App VPNs können Sie beispielsweise die Verbindung zwischen der auf dem mobilen Gerät installierten App und dem Backend mittels Micro-VPN schützen.

Gemeinsam mit Ihren Mitarbeitern gegen die Schatten-IT

Der Einbezug Ihrer Mitarbeiter ist das A und O, wenn Sie der Schatten-IT entgegenwirken möchten. Denn letztlich sind es Ihre Mitarbeiter, die aufgrund von Unzufriedenheit nach inoffiziellen Alternativen suchen und so die verdeckte IT schaffen. Fördern Sie daher die Offenheit der IT-Abteilung gegenüber Vorschlägen Ihrer Mitarbeiter. So können Sie beispielsweise über konkrete Ansprechpartner Ihren Mitarbeitern die Möglichkeit geben, eigene Vorschläge und Ideen durch die IT-Experten prüfen zu lassen. Gegebenenfalls entpuppt sich ja die ein oder andere Schatten-Anwendung als Mehrwert für Ihr gesamtes Unternehmen. Andernfalls können Sie diese Gelegenheit nutzen, um Ihren Mitarbeitern deutlich zu machen, warum diese Anwendung nicht für Ihr Unternehmen geeignet ist.

Zu viele verschiedene Apps mindern die Produktivität. Ist die Entwicklung einer eigenen App die Lösung?

Vor allem Sicherheit und Kompatibilität spielen für Unternehmen bei der Auswahl von Software eine wichtige Rolle. Nichtsdestotrotz dürfen auch Usability und User Experience nicht zu kurz kommen. Um diesen Spagat zu schaffen, tendieren Unternehmen gerne dazu für jeden Anwendungsfall eine separate App bereitzustellen. Allerdings führt das dazu, dass 43% der Anwender sagen, dass sie zwischen zu vielen Anwendungen navigieren müssen, um grundlegende Aufgaben erledigen zu können. Mehr als die Hälfte (67%) sind der Meinung, dass die Zusammenlegung auf ein Portal die Produktivität und den Fokus der Arbeit erhöhen würde. Dabei kann die Suche nach der eierlegenden Wollmilchsau durchaus ergebnislos verlaufen. Hier stellt sich die Frage, ob eine speziell für das Unternehmen entwickelte, sichere App eine Alternative zugunsten der Verhinderung von Schatten-IT ist. Wir beraten Sie gerne zu den Möglichkeiten einer eigenen mobilen Digitalstrategie. Kontaktieren Sie uns!

Geben Sie Ihr Suchbegriff ein und drücken Sie Enter