Wie IT-Verantwortliche Schatten-IT verhindern

Die Risiken der sogenannten Schatten-IT werden häufig unterschätzt. Auf den ersten Blick scheinen die Anwendungen, Cloud-Dienste und Konten, welche Abteilungen ohne Genehmigung der IT-Verantwortlichen nutzen, eher harmlos. Sie sind oft benutzerfreundlicher als die Unternehmens-IT und stehen kostenlos zur Verfügung. Für Unternehmen stellen Schatten-Tools jedoch ein ernstes Risiko für Sicherheit und Compliance dar. Viele IT-Verantwortliche schränken die Verwendung daher mit drastischen Maßnahmen ein. Meistens nicht mit dem gewünschten Erfolg.

Sinnvoller wäre es, eine Unternehmens-Software einzusetzen, die neben Datensicherheit auch ein hohes Maß an Anwenderfreundlichkeit bietet. IT-Verantwortliche können durch entsprechende Lösungsangebote an die Mitarbeitenden die Verwendung illegaler Software reduzieren und dem Entstehen von Schatten-IT entgegenwirken. 

Folgende Maßnahmen dämmen das Entstehen von Schatten-IT erfolgreich ein: 

1. Bedürfnisse der Mitarbeitenden verstehen

Schatten-IT entsteht dann, wenn Mitarbeitenden keine passenden Lösungen zur Verfügung stehen, um ihre Aufgaben effizient zu erledigen. Der Einsatz nicht genehmigter Anwendungen und Dienste ist zudem ein Zeichen, dass das aktuelle Angebot den Anforderungen und Bedürfnissen der Mitarbeitenden nicht gerecht wird. Nutzer weichen dann häufig auf andere Tools aus, weil diese leichter zu nutzen sind oder ihre Bedürfnisse besser erfüllen. In der Regel machen sie sich über die daraus entstehenden Risiken keine Gedanken: Etwa, wer auf welche Daten zugreifen kann oder ob Sicherheitslücken den Dienst zu neuen Einfallstoren für Cyberkriminelle machen.

Bevor Verantwortliche Maßnahmen gegen den IT-Wildwuchs ergreifen, müssen Sie jedoch erst herausfinden, wie weit dieser in ihrem Unternehmen verbreitet ist. Das Befragen der Mitarbeitenden ist da eine effiziente Möglichkeit. Hilfreich sind auch Monitoring-Programme, welche unbekannte IP-Adressen im Unternehmensnetz aufspüren. Haben die Verantwortlichen sich so einen Überblick verschafft, können sie ihr Anwendungs- und Dienstportfolio präziser auf die offenbar nicht bedienten Bedürfnisse der Mitarbeitenden abstimmen. Letztlich werden sie in die Lage versetzt, die nicht genehmigten Ressourcen mit bedarfsgerechten, sicheren und intuitiv bedienbaren Lösungen zu ersetzen.

2. Produktive sichere Arbeitsumgebungen schaffen

Selbst der Kommunikationsklassiker E-Mail unterstützt nicht immer alle praktischen Bedürfnisse. Das ist zum Beispiel dann der Fall, wenn Mitarbeitende regelmäßig große Dateninhalte in einer Nachricht übermitteln müssen, aber damit Limits der zulässigen Mailgröße überschreiten oder eine zu kleine Mailbox viel zu schnell zu voll wird. Nicht wenige Mitarbeitende weichen dann auf andere Mail-Anbieter aus. Damit entzieht sich die Nachrichtenübermittlung der Kontrolle durch die zentrale IT. Die Mehrzahl der angebotenen Lösungen übermittelt die Daten unverschlüsselt und bietet, oft ohne besonderen Schutz ausgestattet, Cyberkriminellen eine ideale Angriffsfläche. Nur ein vollständig abgesicherter E-Mail-Verkehr – beispielsweise durch eine durchgängige Ende-zu-Ende-Verschlüsselung – kann die Informationen im Nachrichtenverkehr soweit schützen, dass Mitarbeitende selbst sensible, personenbezogene oder geschäftskritische Daten ohne Bedenken versenden können. Und wenn der IT-Administrator die maximale Größe der Nachrichten und Mailboxen den Bedürfnissen entsprechend festgelegt, bleiben die Mitarbeiter dieser vorgeschlagenen E-Mail-Lösung treu.

Auch virtuelle, browserbasierte Datenräume bieten eine effiziente Möglichkeit für das Teilen von Informationen und für eine Kollaboration ohne Sicherheitsrisiko. Diese besonders abgesicherten Ressourcen schützen nicht nur personenbezogene und andere sensible Daten vor unerlaubtem Zugriff, sondern organisieren zugleich die Zugriffsrechte Einzelner und von Gruppen. Mitarbeitende können auf die in den Datenräumen gespeicherten Daten ortsunabhängig und sicher zugreifen und Dateien jeder Größe auch über Unternehmensgrenzen hinweg ohne Risiko austauschen.

3. Automatisierte Workflows für mehr Datensicherheit

IT-Verantwortliche können proaktiv ihren Mitarbeitenden Tools an die Hand geben, um gerade lästige Aufgaben automatisiert zu erledigen. Auch dadurch verhindern sie das Abwandern von Beschäftigten in die Schatten-IT. Lösungen für einen automatisierten Datenworkflow bieten eine einfach zu integrierende offizielle Alternative im Gegensatz zu dem in vielen Firmen vorhandenen Wildwuchs an einzelnen Tools, die automatisch Daten synchronisieren, verarbeiten, versenden, archivieren oder auch Freigaben generieren sollen. Die Ablage von Dokumenten, der postalische Versand von Gehaltsabrechnungen oder manuelle Bewerbungsprozesse können so schneller und zuverlässiger erledigt werden – für mehr Effizienz und Sicherheit im Tagesgeschäft. Geeignete Automatisierungs-Plattformen unterstützen dabei, Daten gesetzeskonform zu verarbeiten. Zudem bleiben auch hier die Daten während des gesamten Workflows Ende-zu-Ende verschlüsselt. Eine revisionssichere Prozessautomatisierung verhindert zudem eine nachträgliche Datenmanipulation. Durch ein solches Hilfsangebot erhalten Mitarbeitende mehr Freiraum, sodass sie sich auf wesentliche, höherwertige Aufgaben konzentrieren können. Solche Hilfen werden akzeptiert.

4. Mehr Sicherheitsbewusstsein durch Schulungen

Die meisten Mitarbeitenden nutzen die kostenfreien Tools nicht, um dem Unternehmen zu schaden. Sie fühlen sich eher durch zu rigide Sicherheitsbestimmungen im Unternehmen eingeschränkt oder ärgern sich über zu langsame Reaktionen der IT-Verantwortlichen auf ihre Anfragen. Persönliche, nicht von der IT freigegebene Konten lassen sich dagegen oft im ersten Schritt unkomplizierter, flexibler und schneller nutzen. In regelmäßigen Schulungen sollten Unternehmen daher ihre Mitarbeitenden über die Risiken nicht-autorisierter Software informieren und ihnen klar machen, dass ein unkontrolliertes Sammelsurium an IT-Tools den Datenschutz und die Datensicherheit des Unternehmens gefährden. Sie sollten Mitarbeitende außerdem ermutigen, fehlende Lösungen proaktiv einzufordern, anstatt hinter dem Rücken der IT eine gefährliche Selbsthilfe zu starten.

Durch regelmäßige, offene Kommunikation können Unternehmen einer Schatten-IT effektiv entgegenwirken. Um einen verantwortungsvollen Umgang mit Unternehmensdaten zu erreichen, sollten Geschäftsführung und IT-Verantwortliche daher sichere Software-Lösungen unterstützen, die Compliance und einfache Bedienbarkeit in den Mittelpunkt stellen.

Autor: Ari Albertini, Co-CEO, FTAPI Software GmbH