Shadow IT

Shadow IT bringt oft Probleme

Für die IT-Systeme im Unternehmen ist die IT-Abteilung verantwortlich?

25.11.2015

Das war einmal, selbst wenn die Administratoren möglicherweise noch nichts davon wissen. Anwender, Abteilungen und ganze Geschäftsbereiche agieren – sozusagen in Selbstjustiz – am CIO vorbei, implementieren eigene Hardware und, noch schlimmer, externe Dienste. Shadow-IT oder Schatten-IT wird dieses verborgene IT-Paralleluniversum genannt.

Die Folge: Im Zeitalter von Public-, Hybrid- und Private-Cloud haben viele IT-Administratoren längst die Kontrolle darüber verloren, welche Dienste tatsächlich in ihrem Unternehmen verwendet werden. Umfragen bestätigen diese Entwicklung. Schon im Dezember 2013 ergab eine IDC-Befragung , dass etwa die Hälfte der Teilnehmer Filesharing- und Synchronisationslösungen nutzten, ohne die firmeninterne IT darüber aufzuklären. Die Studie „ Art of connecting: creativity and the modern CIO “, die von British Telecommunications im vergangenen Jahr veröffentlicht wurde, kommt zu einem ähnlichen Schluss: Nahezu 80 Prozent aller 955 befragten Teilnehmer gaben an, dass ihre Mitarbeiter firmeninterne Daten ohne das Wissen der Unternehmens-IT auslagern. Und auch Cisco zeigt sich zunehmend alarmiert. In einer Untersuchung der Cisco Cloud Consumption Services gaben die teilnehmenden Administratoren an, 52 Cloud-Dienste im Unternehmen zu verwenden. Tatsächlich, so fanden die Experten von Cisco heraus, waren es im Schnitt allerdings mehr als 15 Mal so viele, nämlich 730 Dienste.

Vom Access-Point zu Dropbox

Sicherlich werden 730 Dienste in mittelständischen deutschen Unternehmen die Ausnahme sein, doch das Problem hat internationale Bedeutung. Shadow-IT gibt es seit langem. Den Anfang machen oft findige, technisch versierte Mitarbeiter, die neue technische Möglichkeiten nutzen und nicht auf die IT-Abteilung warten wollen. Wirklich relevant wurde dieses Problem mit dem Aufkommen von drahtlosen LANs.

IT-Abteilungen konnten sich in der Anfangszeit der 802.11 Technologie so gar nicht mit der Idee einer drahtlosen, von überall erreichbaren und kaum kontrollierbaren Erweiterung des Netzwerks per Funk anfreunden. Frustrierte Mitarbeiter, die trotzdem kabellos Kabel in der Firma kommunizieren wollten, holten sich als Selbsthilfe im Elektronikmarkt einen Access-Point und installierten ihn kurzerhand im Büro. Für den Mitarbeiter war das Problem gelöst, für die IT-Abteilung fing es erst an. Mal abgesehen davon, dass kein Admin davon begeistert ist, wenn in seinem Netz Erweiterungen ohne sein Wissen installiert werden, öffnete ein solcher verborgener Access-Point das Netz für alle Arten von Attacken. Sicherheitslücken in der Firmware, mangelhafter oder gar kein Passwortschutz und fehlende Verschlüsselung konnten das komplette Sicherheitskonzept sabotieren.

15 Jahre später haben Cloud-Dienste die Access-Points abgelöst, gleich geblieben ist nur die Motivation für die eigenmächtigen Aktionen. Frustriert von Größenbeschränkungen bei E-Mails und begrenzter Speicherkapazität auf den Firmenservern, tauchen im Unternehmen immer häufiger Accounts bei den Anbietern von Online-Speicher auf. Dropbox, OneDrive, Google Drive – die Liste der Anbieter ist lang. Hornetsecurity, ein Anbieter von Managed Security Services, hat gerade eine Umfrage zur Nutzung von Online-Filesharing-Diensten in Unternehmen durchgeführt. Das Ergebnis: 30 Prozent aller Befragten nutzen solche Angebote, davon 40 Prozent ohne das Wissen der Unternehmens-IT. Geblieben, wenn nicht sogar größer geworden, sind auch die Nachteile, die von solchen Aktivitäten ausgehen.

Schwierigkeiten auf vielen Ebenen

IT-Abteilung und CIO sind dafür verantwortlich, Datenschutz und Datensicherheit zu gewährleisten. Wenn sie die Einfalls- und Ausfallstore von Informationen nicht kennen, sind sie blind für mögliche Bedrohungen, die durch gehackte Accounts, verlorene Passwörter und Schwachstellen in Client-Software entstehen. Palo Alto Networks befragte dieses Jahr Teilnehmer seiner Anwenderkonferenz nach kritischen Bedrohungen ihres Netzwerks. Die Schatten-IT, präziser, nicht autorisierte Cloud-Dienste, schafften es mit 29 Prozent bis ins Mittelfeld der schlimmsten Bedrohungen.

Schatten-IT wird nicht nur von einsamen Power-Usern eingesetzt. Manchmal beschließen die Fachabteilungen intern schlichtweg Fakten zu schaffen und einen Dienst zu nutzen, der für ein Projekt notwendig ist. Die IT-Abteilung erfährt meist auch davon, aber erst, wenn die Lösung bereits produktiv und für das Unternehmen relevant ist. Dann müssen Dienst und mögliche Client-Software in die IT eingegliedert werden, mit hohen Kosten und zusätzlichem Aufwand für die zentrale IT.

Probleme angehen, Nutzeffekte generieren

Dass es dieses IT-Paralleluniversum gibt, ist unbestritten. Doch was ist die Lehre, die CIO und IT-Abteilung daraus ziehen können? Auch wenn es schwerfällt – sie sollten sich (zumindest ein wenig) darüber freuen. Denn was Anwender im Unternehmen wirklich brauchen, erfahren die Admins sonst höchstens durch inoffiziellen Flurfunk. Mitarbeiterbefragungen haben zwar viele Wünsche zur Folge, enthalten aber nie eine reelle Gewichtung, was wirklich wichtig für die tägliche Arbeit ist. Die Schatten-IT enthält hingegen Lösungen, die täglich genutzt werden. Sie erhöhen mit hoher Wahrscheinlichkeit tatsächlich die Produktivität der Mitarbeiter. Wenn das Unternehmen solche Dienste nicht offiziell anbietet, wird es höchste Zeit.

Natürlich kann nicht jeder Wunsch erfüllt und jeder Dienst genutzt werden, dafür sorgen schon zahlreiche widersprechende Datenschutzgesetze und Compliance-Anordnungen. Vielleicht wird auch gerade im Unternehmen eine Alternative evaluiert, die ähnliche Dienste datenschutzkonform bietet. Dann ist es an der Zeit, mehr Ressourcen für den Evaluierungsprozess und die darauf folgende Implementierung freizuschaufeln, sonst nehmen die Mitarbeiter die Abhilfe, mit den genannten Risiken, selbst in die Hand. Dass eine IT-Abteilung dazu auch als Partner der Mitarbeiter fungieren muss, Wünsche ergebnisoffen betrachtet und die Anwender bei berechtigen Forderungen unterstützt, gehört ebenfalls dazu. Aber einfach allen Forderungen zuzustimmen und sie im Nachhinein abzusegnen, geht auch nicht. Wo Compliance, Firmenphilosophie und der Gesetzgeber klare Regeln vorgeben, müssen diese befolgt werden, auch bei Widerstand. Es liegt am CIO die Rahmendaten vorzugeben und zu kommunizieren, die auf keinen Fall überschritten werden dürfen.

Balanceakt notwendig – und lohnend

Wie so oft ist die perfekte Lösung eine individuelle Angelegenheit für jedes Unternehmen und sie hat viel mit Kommunikation zu tun. Auf der einen Seite muss die IT-Abteilung klar vorgeben, was erlaubt ist und was nicht. Auf der anderen Seite muss sie zuhören (wollen), welche Lösungen notwendig sind, damit die Produktivität nicht leidet und die Angestellten frustfrei arbeiten können. Dazu ist Kompromissbereitschaft und ausreichendes Budget erforderlich, trotzdem wird nicht jeder Wunsch erfüllt werden können. Die Schatten-IT zu ignorieren, ist keine Option, das führt über kurz oder lang zu weitaus größeren Problemen, als sie ein knappes Budget oder verärgerte Mitarbeiter hervorrufen könnten.

Shadow IT RSS Feed abonnieren