Schatten-IT wurde jahrelang vor allem als Sicherheits- und Compliance-Risiko eingestuft – inzwischen erkennen Unternehmen und Organisationen jedoch auch einige Vorteile. Für IT-Fachleute stellt sich damit die Frage, wie sich eine Balance zwischen den Risiken und den Vorzügen der Schatten-IT herstellen lässt: Gibt es eine Möglichkeit, die IT-Sicherheit in Unternehmen aufrechtzuerhalten und gleichzeitig die Flexibilität zu erhöhen?

Die Antwort auf diese Frage lautet „Ja“ – mithilfe einer effektiven Schatten-IT-Richtlinie. Um ein solches Regelwerk zu erarbeiten und im Unternehmen umsetzen zu können, muss der Status quo der IT-Infrastruktur jedoch genauestens bekannt sein. IT-Fachleute sind gefragt, sich mit sämtlichen Vor- und Nachteilen von Shadow IT sowie den Software-Bedürfnissen der Mitarbeiter auseinanderzusetzen.

Erfahren Sie im Folgenden, wie sich Schatten-IT definieren lässt, welche Risiken sich durch diese Praxis ergeben und welche positiven Aspekte daran zu erkennen sind.

Laden Sie Der ultimative Data-Governance-Leitfaden jetzt herunter.
Weitere Informationen

Was ist Schatten-IT? – Definition

Als Schatten-IT (engl. Shadow IT) wird von Mitarbeitern implementierte Hard- und Software bezeichnet, die von der jeweiligen IT-Abteilung weder getestet noch freigegeben wurde. Durch das zunehmende Angebot an cloudbasierten, oftmals kostenlosen Programmen, kommt es auch zu immer mehr Shadow IT. Denn derartige Cloudlösungen lassen sich deutlich einfacher untereinander teilen und verbreiten sich schneller als Desktoplösungen.

Schatten-IT als Gefahrenquelle – die drei größten Sicherheitsrisiken

Unternehmen möchten ihre Mitarbeiter grundsätzlich nicht daran hindern, die für sie besten Tools zu nutzen. Gleichzeitig ist jedoch klar: Die Implementierung von Shadow IT kann der vorhandenen IT-Infrastruktur sehr stark schaden. Drei der größten Risiken, die sich dadurch für die IT-Sicherheit ergeben, werden im Folgenden vorgestellt

1. Schatten-IT-Risiko: Freigabe und Austausch von Dateien

Einer der gängigsten und zugleich risikoreichsten Schatten-IT-Vorgänge ist das Teilen sowie das gemeinsame Nutzen von unternehmensinternen Dateien. Durch die Dateifreigabe öffnet sich die Tür für Malware, die unbefugt Datentransfers auslösen kann. Dies kann u. a. folgende Konsequenzen nach sich ziehen:

  • Verlust – Die Daten werden stark beschädigt oder gar unwiederbringlich zerstört.
  • Handel – Die Daten werden zu diversen Zwecken an Dritte verkauft.
  • Veröffentlichung – Die Daten werden der Öffentlichkeit (kostenlos) zugänglich gemacht, z. B. über Social-Media-Plattformen schnell und weit verbreitet.

Zu diesen Risiken tragen vor allem modernen Tools zur Datenfreigabe bei. Diese ermöglichen es Nutzern u. a. die gewöhnliche, maximale Dateigröße von Anhängen zu überschreiten. Ganz gezielt können Mitarbeiter sich dies zu Nutze machen und große Mengen von Daten des Unternehmens herunterladen und speichern.

2. Schatten-IT-Risiko: Software-Integration

In IT-Infrastrukturen werden stets Verknüpfungen zwischen verschiedenen Systemen hergestellt. Werden diese jedoch aufgrund von Schatten-IT kompromittiert, kann das zu enormen Datenverletzungen führen. Dieses Risiko wird noch erhöht, wenn Nutzer notwendige Software Updates nicht vornehmen – z. B. weil sie nicht informiert sind, wann und in welcher Form diese Aktualisierungen erforderlich sind.

Wenn die IT-Abteilung ein integriertes System aktualisiert, könnte eine Schatten-IT-Anwendung so einem Angreifer den Zugriff auf die gesamte Datenbank des Unternehmens ermöglichen. Ein solcher Verstoß kann u. a. zu kostspieligen Ausfällen führen.

3. Schatten-IT-Risiko: Unternehmensweiter Einsatz von Anwendungen

Durch die Zunahme von Cloud-Produkten auf dem Markt, liegt der Schwerpunkt von IT-Abteilungen inzwischen auf dem sogenannten Change und Release Management. Mithilfe dieser Prozesse soll sichergestellt werden, dass Änderungen an der IT-Infrastruktur und die Bereitstellung von unternehmensweiten Anwendungen sicher, effektiv und nachvollziehbar geschehen. Zentrale Aufgaben hierbei sind …

  • … die Planung,
  • … die Überwachung,
  • … die Durchführung von Rollouts.

Neue Softwarelösungen werden streng überprüft und getestet, ehe sie im Unternehmen zum Einsatz kommen, um es so vor Angriffen und Ausfällen zu schützen.

Anders verhält sich dies mit Shadow IT: Nicht autorisierte Software unterliegt keiner derartigen Kontrolle. Dementsprechend ergeben sich Sicherheitslücken durch Programme, von denen die IT-Fachleute im Unternehmen zunächst nichts wissen. Von beschädigten Prozessen bis hin zu Datendiebstahl sind dann viele Konsequenzen denkbar.  

Vorteile von Schatten-IT im Überblick

Obgleich Schatten-IT als ausschließlich negativ erscheint – dass Mitarbeiter selbstständig Programme auswählen und implementieren hat auch Vorteile. Einige der wichtigsten werden im Folgenden genannt:

  • Verbesserung der Mitarbeiterzufriedenheit und -bindung: Mitarbeiter, die Shadow IT verwenden, gelten als motiviert, ihre Produktivität zu steigern. Wenn Endbenutzer selbst darüber entscheiden können, welche Tools sie für ihre Arbeitsprozesse nutzen, wirkt sich dies positiv auf ihr Engagement und ihre Effizienz aus. Erhalten sie die Chance, neue Softwarelösungen vorzuschlagen, kann dies ihre Akzeptanz für von der IT freigegebene Software im Unternehmen erhöhen.
  • Reduzierung des IT Workloads: Nicht von jeder Schatten-IT-Anwendung geht eine Gefahr aus – tatsächlich sind einige von ihnen gutartig, sicher und nützlich. Daher kann Shadow IT bis zu einem gewissen Grad auch den Workload der IT-Abteilung reduzieren. Diese kann sich durch die selbstständige Implementierung von Software durch die Mitarbeiter anspruchsvolleren Projekten widmen, die einen größeren geschäftlichen Nutzen haben. Schatten-IT ist bereits allgegenwärtig – Unternehmen versuchen also, sie sich zum Vorteil zu machen.
  • Zeitersparnis für die Mitarbeiter: Zwar besteht keine vollständige Sicherheit, dass eine Shadow-IT-Anwendung unschädlich ist – dass sie den Mitarbeitern Zeit sparen kann, ist jedoch unbestritten. Anstatt Anträge für ein neues Tool im Unternehmen einreichen zu müssen und auf die Implementierung durch die Fachleuchte zu warten, kann ein Mitarbeiter eine Anwendung selbst einrichten und sie sofort nutzen.

Laden Sie DSGVO, CCPA und mehr: 16 praktische Schritte zur Einhaltung globaler Datenschutzbestimmungen mit Talend jetzt herunter.
Weitere Informationen

Drei Strategien: der richtige Umgang mit Schatten-IT im Unternehmen

Jedes Unternehmen geht auf eine Weise mit Schatten-IT um, die am ehesten zu seiner Kultur und internen Struktur passt. Von einem losen Regelwerk bis hin zu strengen Maßnahmen sind alle Ansätze vertreten. Drei unterschiedliche, gängige Strategien, um Shadow IT zu managen, werden im Folgenden vorgestellt.

Erhöhte Sicherheit durch Kontrollen der Schatten-IT

Für einige Unternehmen überwiegen die Risiken, die von Schatten-IT ausgehen. Sie verfolgen daher den Ansatz einer verstärkten Kontrolle und versuchen Schatten-IT gänzlich zu vermeiden. So wird Mitarbeitern beispielsweise mithilfe der Firmen-Firewall sowie Software Audits der Zugriff auf bestimmte Anwendungen verwehrt.

Es sind verschiedene Anwendungen erhältlich, die IT-Abteilungen genau dabei unterstützen: Mit diesn lässt sich Schatten-IT zuverlässig aufdecken und stoppen. Hierzu überwachen die Tools die Nutzung von Clouddiensten im gesamten Unternehmen. Allgemeine Informationen zu den von Mitarbeitern genutzten Programmen sowie zu potenziellen Sicherheitsrisiken übermitteln sie direkt an die Verantwortlichen des Unternehmens.

Wird diese Strategie gewählt, lässt sich damit zwar die Sicherheit erhöhen – gleichzeitig führt eine solch strenge Schatten-IT-Regelung dazu, dass die Mitarbeiter stark eingeschränkt sind. Es könnte der Eindruck von Misstrauen entstehen und Mitarbeiter könnten dennoch stets nach Anwendungen suchen , die nicht von den oben beschriebenen Erkennungstools erfasst werden. Diese stellen weiterhin eine Gefahr für das Unternehmen dar.

Nachsicht und Vertrauen im Umgang mit Schatten-IT

Wenn Mitarbeiter eigenständig Anwendungen auswählen und implementieren, bewerten einige Unternehmen dies als engagiert und als Vorteil. Dementsprechend verfolgen sie einen Schatten-IT-Ansatz, der von Nachsicht geprägt ist. Die Organisationen profitieren davon, dass sich Mitarbeiter aktiv mit Tools auseinandersetzen, mit denen sie produktiver und effizienter arbeiten können. Gleichzeitig erlaubt eine lockere Regelung der IT-Abteilung, sich auf andere Aufgaben zu konzentrieren statt auf die potenziellen Sicherheitsrisiken durch Schatten-IT.

Doch auch Unternehmen mit einer solchen – vergleichsweise lockeren – Einstellung zu Shadow IT können Risiken reduzieren und für mehr Sicherheit sorgen:

  • Technisch: Die IT-Abteilung kann beispielsweise die Datenverschlüsselung optimieren und den Zugriff auf sensible Daten stark einschränken.
  • Edukativ: Gibt die IT-Abteilung unternehmensinterne Leitfäden heraus, können sich Mitarbeiter bei der Wahl und Nutzung von Schatten-IT daran orientieren. Darüber hinaus kann ihnen z. B. erlaubt werden, eigenständig Software herunterzuladen, diese aber nicht zum Teilen oder Speichern von Kundendaten zu verwenden.

Kompromisse bei der Verwendung von Schatten-IT

Diese Strategie lässt sich anhand eines Beispiels verdeutlichen: Einige Universitäten bauen und erweitern ihre Gebäude und verbinden sie zunächst mit sehr schmalen Bürgersteigen. Sie warten ab und beobachten, wo mit der „Trampelpfade“ auf den Grasflächen entstehen. Diese werden als „Wunschpfade“ bezeichnet und in vielen Fällen zu gepflasterten Bürgersteigen.

Einen ähnlichen Ansatz verfolgen viele Unternehmen in Bezug auf Schatten-IT. Dieser lässt sich in zwei wichtige Punkte gliedern:

  1. Formular für Mitarbeiter aufsetzen: Darin können Mitarbeiter eine bestimmte Software anfordern, Sicherheitsfragen beantworten oder sich für ein von ihnen verwendetes Tool aussprechen. Dieser Prozess gibt den Mitarbeitern eine Stimme und hilft der IT-Abteilung, schnellere Entscheidungen bezüglich neuen Tools zu treffen.
  2. Liste mit von der IT geprüften Tools veröffentlichen: Ein solche Liste sollte einmal pro Jahr herausgegeben werden, um Mitarbeitern einen Überblick zu bieten. Sie erhalten so die Chance, die Software auszuwählen, die sie verwenden möchten – mit der Einschränkung, dass diese die von der IT vorgegebenen Sicherheitskriterien erfüllt.

Drei Schritte zur Shadow IT Policy

Welcher Ansatz Unternehmen bezüglich Schatten-IT auch zusagt – es empfiehlt sich, diesen in einem Leitfaden festzuhalten. Die Vorteile, die sich daraus ergeben, sind eindeutig:

  • Unternehmen mit Schatten-IT-Richtlinie arbeiten effizienter.
  • Sie reduzieren Risiken von Schatten-IT bzw. wissen, wie mit diesen umzugehen ist.
  • Je nach gewähltem „Fahrplan“ des Unternehmens kann es auch seine Kosten senken.

Um einen sinnvollen und funktionalen Schatten-IT-Leitfaden erstellen zu können, müssen folgende drei Schritte eingeleitet werden.

1. Einigung auf ein Sicherheitslevel

Im ersten Schritt sollten die Verantwortlichen der IT-Abteilung sowie die Führungskräfte zusammenkommen, um ausführlich über die Risiken, aber auch die Vorteile von Schatten-IT zu sprechen. Folgende Frage soll dabei beantwortet werden: Tendiert das Unternehmen eher zu einer strengen Regelung oder einer nachsichtigen Haltung? Hier gilt es, einen Kompromiss zu finden, der vor allen Mitarbeitern vertretbar ist, von diesen akzeptiert wird und umsetzbar ist. Entscheidend beim ersten Schritt auf dem Weg zur Schatten-IT-Richtlinie ist, dass die IT und die anderen Abteilungen gemeinsam darüber bestimmen.

2. Erarbeiten eines IT-Beschaffungsprozesses

Soll Schatten-IT im Unternehmen grundsätzlich zulässig sein bzw. geduldet werden, könnten Mitarbeiter dazu motiviert werden, für neue Lösungen am Arbeitsplatz argumentieren. Die Ersteller des Schatten-IT-Leitfadens müssen in diesem Fall ihren Fokus auf die Kontrolle der geduldeten Schatten-IT legen.

Wird Schatten-IT im Unternehmen jedoch generell nicht akzeptiert, muss die IT-Abteilung eine Möglichkeit bieten, dass Mitarbeiter ausgewählte Software anfordern können. Diese kann – nach eingehender Prüfung durch die IT-Verantwortlichen – dem Mitarbeiter oder allen Mitarbeitern zur Verfügung gestellt werden.

Wie auch immer sich das Unternehmen entscheidet, der IT-Beschaffungsprozess sollte klar festgelegt und der gesamten Belegschaft bekannt sein.

3. Schulen und Aufklären der Mitarbeiter

Unabhängig der Einstellung – es ist wichtig, dass sich die Mitarbeiter gehört und verstanden fühlen, wenn es um die Einführung einer neuen Schatten-IT-Richtlinie geht. Ein offener Dialog zwischen der IT-Abteilung und dem restlichen Unternehmen kann es den beiden Parteien ermöglichen, voneinander zu lernen.

Es empfiehlt sich, im Detail zu erläutern, welche Risiken mit Schatten-IT einhergehen. Bei der Einführung einer neuen Richtlinie könnte beispielsweise erklärt werden, weshalb sich bestimmte Technologien nur schwer in die aktuelle IT-Infrastruktur integrieren lassen. So entwickelt auch die Belegschaft ein Gefühl dafür, was sicher und was gefährlich ist – und dies erhöht die allgemeine Akzeptanz.

Schatten-IT mit intelligenter Software und Maßnahmen verwalten

Die meisten Unternehmen haben bereits erkannt, welche Risiken Schatten-IT birgt – jedoch entscheiden sie selbst, inwieweit sie diese Risiken zulassen. Es gibt unzählige Möglichkeiten, Unternehmensdaten zu schützen und gleichzeitig den Mitarbeitern Zugang zu Tools zu gewähren, die ihre Produktivität steigern.

So bietet sich beispielsweise mit cloudbasierter Software, die sich auf mehreren Systemen anwenden lässt, eine Lösung, die sowohl die IT als auch das Unternehmen zufriedenstellen kann. Risiken der Schatten-IT können darüber hinaus mit folgenden Funktionen verringert werden:

  • Automatisierte Datenqualitätsfunktionen, die für saubere, genaue Daten sorgen, bevor diese in Ihre Systeme gelangen
  • Data-Governance-Funktionen, die sicherstellen, dass qualitativ hochwertige Daten allen, die sie benötigen, über einen Self-Service-Zugang zur Verfügung stehen.

Intelligente Software von Talend zur Verwaltung von Schatten-IT

Die Talend Data Fabric ist eine umfangreiche, cloudnative Software Suite, die Sie und Ihr Unternehmen u. a. bei der Regulierung von Schatten-IT unterstützen kann. Über die Self-Service-Funktion können Sie Ihren Mitarbeitern gezielt Zugriff auf relevante Echtzeit-Daten gewähren. Dies ermöglicht es ihnen, schnell wichtige Geschäftsentscheidungen zu treffen.

Talend Data Fabric verfügt über mehr als 900 Komponenten, um die Datenintegration zu vereinfachen. Es ist vielseitig und besticht mit Funktionen wie Datenvorbereitung, dem Datenmanagement und der Cloud-Integration zu helfen. Testen Sie es noch heute.