Thought Leadership
In der Regel überprüfen und messen IT-Leiter jegliche Veränderung der Arbeitsprozesse und deren Auswirkungen auf die Unternehmensinfrastruktur. Trotz konstanter Überwachung haben sich in den letzten Jahren jedoch riskante Praktiken etabliert. Dazu gehört die „Schatten-IT“.
Es ist in der Tat schwer, die Bedrohung, die durch die „Schatten-IT“ hervorgeht, genau zu ermitteln, da das Phänomen extrem verbreitet und oft genug das Ergebnis von dringend zu erfüllenden Bedürfnissen ist. Es führt aber dazu, dass ein Teil des IT-Bestandes des Unternehmens ausserhalb der Kontrolle der IT-Abteilung liegt. Ob es sich nun um Datenverlust, Sicherheitslücken oder Anfälligkeit für Schadsoftware handelt, der teilweise Verlust der Kontrolle birgt erhebliche Risiken: die im Nachhinein als Bedrohung betrachteten IT-Unfälle sind im Vergleich zum Vorjahr um 28 % gestiegen. Der Austausch sensibler Daten über öffentliche Weblinks hat in zwei Jahren um 23 % zugenommen.
«Wenn Mitarbeiter die IT-Abteilung umgehen und unautorisierte Tools einsetzen, werden sie zu einem privilegierten und schutzlosen Ziel», erklärt Franck Nielacny, CIO bei Stormshield, welcher zudem betont, dass das Phänomen besonders in der Entwicklung neuer Geschäftsmodelle fruchtbaren Boden finde.
In flexibleren und offeneren Unternehmen, wo Mitarbeiter hauptsächlich mobil oder fernarbeiten, werden sie zur Ausübung ihres Jobs oft dazu veranlasst, eigene Hardware (Laptop, privates Smartphone, vernetzte Uhr oder Sprachassistenten) zu nutzen. «Wenn man persönliche Geräte verwendet, ändert sich die Art und Weise, wie auf Informationen zugegriffen wird und deren Austausch stattfindet. Abgesicherte Kommunikationswege, inklusive der VPNs, werden dadurch umgangen,» so Nielacny.
Finanzieller Aspekt und Dringlichkeitsfaktor
Die Stormshield-Experten sind sich darüber einig, dass die Entwicklung der Schatten-IT die direkte Folge der Kostensenkungspolitik der Unternehmen sei. Die von der internen IT-Abteilung zur Verfügung gestellte Infrastruktur galt lange Zeit als aufwendige Kostenstelle. Aus diesem Grund werden die von der IT-Abteilung angebotenen Dienste immer öfter in Konkurrenz zu externen Plattformen gestellt, deren Nominalkosten niedriger erscheinen. Die damit verbundenen Risiken werden dabei nicht zwangsläufig berücksichtigt.
Die Situation spitzt sich überdies wegen der teilweise mangelnden Flexibilität der IT-Abteilungen zu: Wenn die Mitarbeiter einer neuen Ressource bedürfen, deren Bereitstellung aber durch schwerfällige IT-Managementprozesse deutlich verlangsamt wird, werden sie die Dienste eines Drittanbieters einsetzen. Im Allgemeinen entsteht der Eindruck, dass die interne IT-Abteilung viel zu langsam reagiere. Eine Wahrnehmung, die sich umso mehr dadurch verschärft, dass die Systembeauftragten viel zu spät involviert werden. Der Dringlichkeitscharakter, der der Unternehmensproduktivität zugeschrieben wird, steht im Gegensatz zur Notwendigkeit, IT-Services langfristig zu strukturieren.
«Lösungen von Drittanbietern, die nicht a priori von der IT-Abteilung validiert wurden, sind meistens nie langfristige Lösungen», relativiert Nielacny. «Selbst wenn das Tool funktioniert und von den Teams eingesetzt wird, erweist es sich als sehr kompliziert, die neue Plattform oder das neue Gerät in die IT-Infrastruktur des Unternehmens zu integrieren. Netzwerkerweiterungen, Zugriffsregeln oder Sicherheitsanforderungen sind alle mögliche Hindernisse. Das gilt besonders, wenn es sich um privat genutzte Plattformen oder Geräte handelt.»
Sensibilisierung besser als Zwang
Zur Einschränkung des Phänomens der Schatten-IT- bieten sich laut Nielacny drei Ansätze: Vorbeugung, Behandlung und die Auferlegung von Regeln.
Beim ersten Ansatz sind die IT-Verantwortlichen auch Garanten für die Sensibilisierung der Mitarbeiter. Dazu gehört, bewährte, sichere Praktiken zu vermitteln und auf riskante und zu vermeidende wiederholt hinzuweisen. «Die Kunst der IT-Abteilung besteht darin, sich in Gespräche und Projekte unter den verschiedenen Geschäftseinheiten ‘einzuklinken’, um allfällige neue Plattformen für den Informationsaustausch abzusichern bzw. bestehende so zu optimieren, dass sie den sich ändernden Anforderungen der verschiedenen Abteilungen entsprechen». Eine Aufgabe, die laut Nielacny so unauffällig wie möglich durchgeführt werden sollte, denn oft empfinden Mitarbeiter eventuell hinzuzufügende Sicherheitsmassnahmen als lästig. Die Herausforderung bestünde also grundsätzlich darin, von der IT validierte Mittel und Ressourcen zu implementieren, die als optimale Stütze für den beruflichen Alltag wahrgenommen und akzeptiert werden.
Beim kurativen Ansatz stellt die IT-Abteilung meistens anhand von Log-Analysen fest, ob externe Dienste eingesetzt werden, die nicht zur offiziellen IT-Infrastruktur gehören. Sie eruiert zudem ob und wie der Datenverkehr aus und zu Plattformen von Drittanbietern geschützt werden kann und trifft entsprechende Massnahmen. Kann diese Art von Datenverkehr nicht abgesichert werden, unterbindet ihn die IT-Abteilung. Letzteres ist aber nur beschränkt möglich, was ja der Kern der Problematik ist.
Beim dritten Ansatz steht die Auferlegung von Regeln und Best Practices von oben im Spiel. Mit der Einführung der DSGVO haben tatsächlich zahlreiche Unternehmen ihre Sicherheitsrichtlinien bereits verschärft. «Das kann man den IT-Leitern nicht verdenken. Die Schatten-IT stellt tatsächlich eine Herausforderung bezüglich der Einhaltung von Rechtsvorschriften dar, besonders hinsichtlich der korrekten Handhabung von personenbezogenen Daten», so Nielacny.
Die Steigerung des Risikobewusstseins sei jedoch meistens dem Auferlegen von Verboten vorzuziehen, denn das natürliche Bedürfnis nach Vereinfachung der Mitarbeiter würde sie definitiv wieder dazu verleiten, alternative Wege zum bequemeren und reibungsloseren Informationsaustausch zu suchen.
