Die «Schatten-IT» ist für jedes Unternehmen gefährlich und ihre Risiken sollten so weit wie möglich verringert werden, sagen beispielsweise die Swisscom oder das Schweizer Cybersicherheitsunternehmen Ispin. Dies zumal auch darum, weil die «Schatten-IT» durch die Auswirkungen der Coronapandemie völlig neue Dimensionen erreicht hat. Viele Unternehmen waren für den Umzug ihrer Mitarbeitenden ins Homeoffice nicht gerüstet, schon gar nicht, was die Cybersicherheit betrifft. Lesen Sie, was die «Schatten-IT» ist, welche Risiken sie in sich birgt und mit welchen Massnahmen sie unter Kontrolle gehalten werden kann.

Das ist die «Schatten-IT»

Die «Schatten-IT» umfasst alle IT-Systeme, IT-Lösungen, IT-Geräte oder IT-Technologien, die in einem Unternehmen von Mitarbeitenden oder ganzen Abteilungen ohne das Wissen und die Genehmigung des oder der IT-Verantwortlichen verwendet werden. Dazu gehören:

• Persönlich beschaffte Software, die auf Unternehmensressourcen installiert ist.
• Cloudbasierte Speicherlösungen ausserhalb der Unternehmenscloudlösung.
• Software as a Service(SaaS)-Anwendungen von Drittanbietern wie Datenanalyse, Business Intelligence oder Human Relations(HR)-Anwendungen ausserhalb der unternehmenseigenen Lösungen.
• Drahtlose Zugangspunkte, Router, Switches, Drucker, Computer: Im Grunde alles, was mit dem Netzwerk eines Unternehmens ungenehmigt verbunden wird.
• Physische Speichergeräte wie externe Festplatten und USB-Sticks, die nicht genehmigt sind.
• Chatanwendungen und Messaginganwendungen, die nicht genehmigt sind.

Warum nutzen die Mitarbeitenden «Schatten-IT»-Anwendungen?

Überwiegend nutzen Mitarbeitende «Schatten-IT»-Anwendungen aus den folgenden vier Gründen:

• Es gibt im Unternehmen keine «Schatten-IT»-Richtlinien, namentlich für private IT-Anwendungen.
• Die Mitarbeitenden halten die IT-Lösungen des Unternehmens für nicht ausreichend, ineffizient oder für zu kompliziert und nutzen deshalb Lösungen, mit denen die Arbeit schneller und besser erledigt werden kann.
• Die Mitarbeitenden sind sich mangels Aufklärung der Risiken der «Schatten-IT» überhaupt nicht bewusst.
• Der oder die IT-Verantwortlichen des Unternehmens ignorieren das «Schatten-IT»-Problem: Es gibt schlicht keine systematische «Schatten-IT»-Kontrolle.

Das sind die Risiken der «Schatten-IT»

• Unberechtigter Datenzugriff und Datenverlust: Bei der Verwendung von «Schatten-IT»-Lösungen» können Mitarbeitende Zugriff auf Daten erhalten, auf die sie eigentlich keinen Zugriff haben sollten. Zudem können sie ungewollt einen Datenverlust verursachen.
• Sicherheitslücken wegen fehlender Updates: Die Updates von Geräten und Anwendungen der «Schatten-IT» werden von Mitarbeitenden vernachlässigt, was das Cybersicherheitsrisiko des Unternehmens erhöht.
• Verletzung des Datensicherheitsgesetzes: Gibt es in einem Unternehmen eine «Schatten-IT» können der oder die IT-Verantwortlichen die Vorschriften des Datenschutzgesetzes und namentlich den Umgang mit sensiblen Daten nicht wie gesetzlich vorgeschrieben umfassend überprüfen.
• Ineffizienzen: Auch wenn die Steigerung der Effizienz einer der Gründe ist, warum Mitarbeitende «Schatten-IT»-Anwendungen einsetzen, ist die Wahrscheinlichkeit gross, dass das Ergebnis genau das Gegenteil ist. Jede IT-Anwendung muss von dem oder der IT-Verantwortlichen geprüft und getestet werden, bevor sie in die Unternehmens-IT integriert wird.
• Finanzielle Risiken: Vorfälle mit «Schatten-IT»-Anwendungen können mit mannigfaltigen Kosten verbunden sein, zum Beispiel: Teure Gesetzesverstösse oder Behebung von Schäden am unternehmenseigenen IT-System.

Massnahmen zur Kontrolle der «Schatten-IT»

Zur Unterbindung der «Schatten-IT» können je nach Bedarf die folgenden Massnahmen ergriffen werden:

• Unternehmensrichtlinie: Erlass einer durchdachten «Schatten-IT»-Richtlinie
• Risikobewusstsein schaffen: Die Mitarbeitenden über die Gefahren der «Schatten-IT» umfassend aufklären.
• Offenes Ohr für IT-Unmut: Proaktiv im Unternehmen eine Atmosphäre schaffen, damit die Mitarbeitenden ihren IT-Unmut aussprechen und nicht heimlich auf vermeintlich bessere «Schatten-IT»-Anwendungen ausweichen. Aufgrund des ausgesprochenen IT-Unmuts lassen sich im Unternehmen bei erwiesenem und abgeklärtem Bedarf systematisch die bestmöglichen IT-Lösungen einführen.
• Verbot von heimlich genutzten Clouddiensten: Bei weitem nicht alle Clouddienste bieten eine angemessene Datensicherheit. Der oder die IT-Verantwortlichen müssen sich deshalb jederzeit einen Überblick verschaffen, welche Clouddienste im Unternehmen heimlich genutzt werden und die Clouddienste ausserhalb der unternehmenseigenen Cloud verbieten.
• Überwachung des unternehmenseigenen IT-Netzwerkes: Die Überwachung der Vorgänge im unternehmenseigenen IT-Netzwerk ist eine effektive Methode, um Informationen über die Software, IT-Anwendungen und Webressourcen zu sammeln, mit denen die Mitarbeitenden arbeiten. Auf der Grundlage dieses Wissens lässt sich feststellen, wer im Unternehmen wann mit nicht genehmigten IT-Anwendungen arbeitet. Bleibt es nach der entsprechenden Analyse bei der Nichtgenehmigung, sind die betroffenen IT-Anwendung zu untersagen.