Thought Leadership
Fast alle tun es: Vertragsunterlagen werden durch den Google-Übersetzer gejagt oder exotische Dateiformate online konvertiert, um sie am Bürocomputer öffnen zu können. Laut einer Studie werden zudem in 8 von 10 Abteilungen Dateien auf kostenlosen Cloudspeicherdiensten gespeichert, die von der IT-Abteilung nicht genehmigt wurden. Aber anders als bei der privaten Nutzung, tragen Unternehmen auch Verantwortung für die Daten Dritter.
Ein aktuelles Beispiel zeigt, dass die Sorge nicht unbegründet ist: Dropbox war erst kürzlich wegen 68 Millionen gestohlenen Nutzerpasswörtern in den Schlagzeilen. Es ist anzunehmen, dass damit auch unzählige Firmen betroffen sind, ohne es zu wissen.
Warum ist Schatten-IT so verbreitet?
Jeder kennt die Trampelpfade, die sich dort bilden, wo Gehwege zu Umwegen für die Fußgänger werden. Ein klassisches Beispiel zu den Folgen schlechter Ergonomie: Mit den Trampelpfaden brechen die Fußgänger zwar Regeln, aber kommen schneller zum Ziel. Auch IT-Abteilungen schießen bei der Implementierung sicherer Lösungen und Regeln oft am praktischen Bedarf der Mitarbeiter vorbei. “Daraus entsteht schnell ein Dilemma: Entweder werden Vorschriften streng durchgesetzt, sodass die Mitarbeiter unproduktiv und unzufrieden werden – oder die Verbote werden umgangen”, erklärt David Kelm, Geschäftsführer des Startups IT-Seal, das die Sicherheitskultur in Unternehmen optimiert.
“Es gibt ein Beispiel aus den Anfängen unserer Firma”, ergänzt György Szilagyi, Produktvorstand bei Tresorit. “Wir sind ein verschlüsselnder Cloudspeicher und wollten auch unsere eigenen geschäftlichen Mails mit dem PGP verschlüsseln. Aber es ist sehr umständlich und ließ sich nicht vernünftig einrichten. In solchen Momenten ist man frustriert und wird dazu verleitet, bequemere und weniger sichere Lösungen zu nutzen.” Für Nutzer ist es wichtig, ihre Aufgaben schnell und reibungslos zu erledigen. “Konsumententools sind deshalb so beliebt, weil die Anbieter sehr viel dafür tun, dass die Software intuitiv zu bedienen ist”, erklärt Szilagyi. Studien geben ihm Recht: Einfache Konfiguration, Nutzerfreundlichkeit und Ineffizienz der verfügbaren Office-Tools sind die häufigsten Motive für den heimlichen Einsatz unerlaubter Konsumentensoftware.
Schatten-IT ist die bequeme Abkürzung, wenn der sichere Weg nicht zum Ziel führt.
Sicherheit hat geringe Priorität bei Konsumentenanwendungen
Während bei den großen, auf Konsumentenfreundlichkeit spezialisierten Software-Riesen Fragen der Sicherheit oft als Nebenbaustelle gelten, übersehen reine B2B-Anbieter und IT-Abteilungen dagegen oft die Nutzerdimension, wenn sie die strengen Feature- und Sicherheitsvorgaben von Unternehmen abarbeiten. Dadurch geraten Mitarbeiter in eine Zwickmühle: Konsumentensoftware ist nicht sicher genug, Unternehmenssoftware oft zu kompliziert in der Nutzung: “Mitarbeiter haben an neuer EDV meistens wenig Freude. Es ist daher wichtig, dass alles nahtlos läuft. Sicherheit und Vertraulichkeit muss einfach zu bedienen sein”, findet Dr. Christian Zeyer, Co-Geschäftsführer des Schweizer Wirtschaftsverbands swisscleantech und nimmt damit auch die Anbieter von Unternehmenssoftware in die Pflicht. György Szilagyi von Tresorit sieht das ähnlich: “Sicherheitsmaßnahmen funktionieren am besten, wenn User diese in den Arbeitsabläufen gar nicht bemerken.” Technisch sei das zwar mit wesentlich größerem Entwicklungsaufwand verbunden, aber eine selbstverständliche Erwartung der Nutzer.
Nutzerfreundlichkeit ist die Voraussetzung für Sicherheit
“Im Zentrum der Sicherheitskultur eines Unternehmens steht der Mensch. Und dem muss man gerecht werden”, erklärt Sicherheitsberater David Kelm. Dem sollten sich sowohl die Anbieter stellen, aber auch die Entscheidungsträger in Firmen, wenn sie Softwarelösungen auswählen. Ein guter Anfang ist es, intern zu evaluieren, ob die bereits eingesetzte Schatten-IT in der Business-Variante auch für einen offiziellen Einsatz geeignet ist. Wenn dem nicht so ist, muss der Bedarf trotzdem gestillt werden. Es finden sich fast immer sichere Alternativen, deren Usability leicht aus den Bewertungen in den App-Stores ablesbar ist. Wenn im Unternehmen Home-Office erlaubt ist, sollte zudem auch auf die Verfügbarkeit der Apps für andere Betriebssysteme geachtet werden. “Nutzerfreundlichkeit ist für mich ein eigenständiges Sicherheitsfeature, dass auf jede Anschaffungs-Checkliste gehört”, rät György Szilagyi.
