Gefährliche Schatten-IT

Wenn Mitarbeiter ohne Wissen der IT-Abteilung eigene Software einsetzen, entsteht eine Schatten-IT. Nadine Riederer, CEO bei Avision erklärt in einem Gastbeitrag, warum diese unkontrollierte Software eine akute Gefahr ist und welche Maßnahmen Unternehmen dagegen ergreifen müssen.

Bedrohung aus den Schatten: Unternehmen sind im digitalen Geschäftsalltag auf eine ganze Reihe verschiedener Tools und Technologien angewiesen. Um Daten- und Sicherheitsproblemen vorzubeugen, führen IT-Abteilungen offizielle Listen der verwendeten Software, halten sie stets auf dem neuesten Stand und entwickeln sie weiter.

Im Dunkeln verbergen sich daneben allerdings oft unzählige weitere Programme, die Mitarbeiter ohne Wissen der IT-Abteilungen zwar sorglos, aber meistens ohne böswillige Absicht verwenden. Was macht diese Schatten-IT aus, zu welchen Problemen führt sie und wie müssen Unternehmen ihr entgegensteuern?

  • Schatten-IT besteht als Parallelwelt neben den offiziell geführten Anwendungen und kann dennoch die gleiche Bedeutung erlangen. Die vielen kleinen Tools, Open-Source-Produkte oder Schnittstellen zu offiziellen Anwendungen sind in der Schattenwelt allerdings nicht dokumentiert und auch kein Teil des Monitorings.
  • Inoffizielle Software führt zu Sicherheitsschwachstellen, etwa dann, wenn undokumentierte Schnittstellen den unerlaubten Zugriff auf sensible Daten erlauben. Das Log4j-Problem zeigt auch deutlich, dass Unternehmen sich nicht vertrauensvoll auf Anwendungen von außerhalb verlassen dürfen. Hier kommt es schnell zu Kontrollverlust und ungewolltem Legacy Code: beides müssen IT-Abteilungen unbedingt vermeiden.
  • Gründe. Komplizierte Prozesse und zu knapp kalkulierte Budgets begünstigen die Entstehung einer Schatten-IT. Auch keimendes Misstrauen zwischen Fachabteilung und IT kann schnell dazu führen, dass Mitarbeiter auf eigene Applikationen setzen.
  • Gegenmaßnahmen. IT-Abteilungen können durch entsprechende Voreinstellungen die Installation neuer Software durch Mitarbeiter unterbinden. Systeme und Projekte müssen allerdings auch auf bereits bestehende Schatten-IT überprüft werden. Der erste Schritt besteht in einer Bestandsaufnahme, denn Legacy Code und inoffiziell eingesetzte Anwendungen sind weiterverbreitet, als es sich viele IT-Abteilungen eingestehen wollen. Auch die Unternehmensstruktur muss hinterfragt werden. Schatten-IT kann mit den richtigen Prozessen vorgebeugt werden, etwa einem betrieblichen Vorschlagswesen für neue Lösungen. Bei inoffiziellen Tools sollten Unternehmen Selbstreflektion betreiben: Wieso wurde die Software gewählt? Fehlt die Funktion auf der offiziellen Liste? Warum wurde sie nicht aufgenommen?

Es ist durchaus legitim, dass Mitarbeiter selbstständig entscheiden, was sie zum Arbeiten benötigen“, erläutert Nadine Riederer, CEO bei Avision. „Allerdings ist die richtige Kommunikation mit den entsprechenden Stellen ausschlaggebend. Auf diesem Weg kann geklärt werden, ob die Anschaffung eines Tools für das Unternehmen generell sinnvoll ist und ob es in die offizielle Liste aufgenommen werden sollte. Gespräche mit der IT-Abteilung können viel Arbeit und eine Schatten-IT verhindern.“

Themenseiten: Avision, Geschäftsprozess

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Gefährliche Schatten-IT

Kommentar hinzufügen
  • Am 23. Februar 2022 um 11:44 von Jonny6000

    Den Usern gar nicht erst die lokalen Adminrechte für irgendwas geben. Sollen mit gegebeben Tools arbeiten und gut ist.

    • Am 1. März 2022 um 12:15 von bernd

      @Jonny6000: Extrem kurzsichtig, bevormundent und letztendlich auch dumm. Für „normale“ Büroarbeit die nur Officearbeiten zum Kern hat, mag das aufgehen. Da wird im Alltag der Standard genutzt bzw. das was das Unternehmen anisch an Suites einsetzt und/oder lizensiert hat. Darüber hinaus, sollte ganz klar eine gewisse „Freiheit“ herrschen, welche Tools eingesetzt werden können und dürfen. Lösbar wäre das über ein Apppool der geprüft wurde, welche aber letztendlich zum Einsatz kommen, entscheidet dann aber der Nutzer selber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *