5 Gefahren für Ihre IT: Teil 5 – Wachsende IT-Schatten

Letzter Teil einer fünfteiligen Serie über die größten Gefahren für Business IT-Sicherheit.

Verfasser: York Albrecht
Datum: 11. Oktober 2016
Lesedauer: 3 Minuten

Der Garant für einen umfassenden Schutz Ihrer IT-Infrastruktur sind die Systemadministratoren. Sie verwalten die Sicherheitsarchitektur und müssen auf Bedrohungen schnellstmöglich reagieren und Lösungen erarbeiten, der Gefahren bereits am Gateway abfängt. Für diese anspruchsvollen Aufgaben benötigen die SysAdmins einen ganzheitlichen Überblick über alle Geräte und die gesamte IT-Infrastruktur – haben sie diesen nicht, versagt der Schutz.

Heutzutage gehört das Phänomen der „Schatten-IT“ in Unternehmen zur Tagesordnung. Mitarbeiter nutzen ihre eigenen Mobilgeräte im Firmennetzwerk oder verwenden Cloud-Dienste zum schnellen Dateienaustausch im Projektmanagement. Besonders unregistrierte Cloud-Services entziehen sich jedoch oftmals der Übersicht und Verwaltung der IT-Verantwortlichen. Einer vom japanischen Telekommunikationsanbieter NTT beauftragten aktuellen Studie zufolge sind sich 78% der IT-Entscheidungsträger der Ausbreitung einer Schatten-IT in ihrem Unternehmen bewusst. „Einsicht ist der erste Schritt zur Besserung“ lautet ein Sprichwort – doch das Wissen um die Schatten-IT in Unternehmen sorgt nicht gleich auch für deren Bekämpfung. Denn derselben Untersuchung zufolge sind 81% der IT-Manager der Auffassung, dass Arbeitsleistung der Kollegen beeinträchtigt werden würde, wenn man ihnen ihre versteckten Dienste nehmen würde.

Die Schatten-IT sorgt in Unternehmen also nicht nur für erhebliche Sicherheitslücken, sondern verselbstständigt sich im betrieblichen Alltag: Mitarbeiter sind zum effektiven Arbeiten auf ihre Schatten-Services angewiesen, die sie statt der angebotenen und kuratierten Lösungen nutzen. Das macht die Beseitigung von unsicheren Services zu einem langwierigen Prozess, der auch die Mitarbeiterzufriedenheit beeinträchtigt.

Denn die für IT-Entscheider eigentlich interessante Frage zur Schatten-IT ist folgende: warum verwenden Angestellte überhaupt bei der IT-Abteilung nicht registrierte Dienste und Geräte? Wohl kaum aus reiner Bosheit den Kollegen gegenüber. Vielmehr geben 62% der in der NTT-Studie befragten Mitarbeiter an, dass die nicht registrierten Dienste schneller aufzusetzen seien, immerhin jeder Zweite war der Meinung, dass sie einfacher zu bedienen seien. Solche Ergebnisse sollten auch IT-Verantwortlichen zu denken geben. Wenn die administrierten Services dem Arbeitsalltag der Kollegen nicht angemessen sind, sind hier dringend Anpassungen von Nöten. Denn in besagter Studie gab auch fast ein Drittel der Befragten an, dass die IT-Abteilung die Bedürfnisse ihrer Nutzer nicht verstehe.

Doch nicht nur Cloud-Services leisten ihren Teil zu einer Schatten-IT, die sich der Kontrolle der Administratoren entzieht. Laut einer Studie von techproresearch.com   mit amerikanischen Unternehmern aus dem Januar 2016 ist die Benutzung privater Geräte für Geschäftszwecke in 57% der befragten Unternehmen erlaubt. Weitere 13% planten die Zulassung innerhalb des nächsten Jahres. Zum Vergleich: 2013 hatten noch fast zwei Drittel der Unternehmen BYOD verboten. Der Trend ist also längst kein Trend mehr und im Jahr 2016 im Alltag von Unternehmen angekommen – und damit auch die Risiken. Denn wenn Mitarbeiter mobil auf dem privaten Gerät sensible Geschäftsdaten mit sich führen, entzieht sich der Schutz des Gerätes jeder Kontrolle der IT-Abteilung. Auch wenn Angestellte ihre eigenen Geräte in den Firmennetzwerken anmelden, über die auch Geschäftsprozesse laufen, wird es für IT-Verantwortliche nahezu unmöglich, den Überblick über registrierte Geräte und Nutzer zu erhalten.

Um die Schatten-IT in ihren Unternehmen zu bekämpfen und die größtmögliche Sicherheit wiederherzustellen, sollten IT-Verantwortliche die betroffenen Dienste sprichwörtlich „ins Licht heben“. Sie sollten also laufend analysieren, welche Dienste die Kollegen im Alltag tatsächlich nutzen und wie ihre Bedürfnisse besser gedeckt werden können. Unter Berücksichtigung Unternehmensrichtlinien und Datenschutzbestimmungen können so Dienste ins Portfolio aufgenommen werden, die sich vorher dem Zugriff der Administratoren entzogen. Für private Geräte am Arbeitsplatz sollte grundsätzlich ein zweites Netzwerk eingerichtet werden, welches streng getrennt vom Geschäftsnetzwerk ist. In jedem Fall benötigen Unternehmen einen stetigen, engen Austausch zwischen dem IT-Department und anderen Abteilungen, um den Bedarf der Mitarbeiter und deren tatsächlich verwendete Lösungen zu vergleichen. Mit diesen Maßnahmen garantieren die IT-Verantwortlichen, dass die eigenen Kollegen weiterhin effizient arbeiten können und sich die Schatten in ihrem Unternehmen nicht weiter ausbreiten.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s