Shadow IT - eine neue Bedrohung für die IT-Sicherheit von Unternehmen?
Wenn das Thema Schatten-IT (auch Rogue IT genannt) zur Sprache kommt, wird es oft mit einer negativen Konnotation verbunden. Das ist auch richtig so, denn diese Nutzung kann negative Auswirkungen auf Unternehmen haben, insbesondere auf die Sicherheit ihrer Informationssysteme.
Allerdings offenbart Schatten-IT auch unerfüllte Geschäftsbedürfnisse.
Deshalb sollte man genau verstehen, worum es sich dabei handelt, und die Gefahren dieser Praxis sowie die Gründe für ihre Entwicklung kennen. Auf diese Weise werden die CIOs in der Lage sein, eine angemessene Antwort zu geben und Vorteile daraus zu ziehen.
Shadow IT: Definition
Was ist Schatten-IT?
Shadow IT bedeutet, dass Informations- und Kommunikationssysteme ohne Zustimmung der IT-Abteilung für geschäftliche Zwecke genutzt werden.
Diese recht weit gefasste Definition umfasst eine Vielzahl von Praktiken.
Cloud-Anwendungen
Dank der enormen Entwicklung in den letzten Jahren ist es für Arbeitnehmer leicht, den Cloud-Reflex zu übernehmen - und damit auch eine Reihe von Anwendungen, die auf den ersten Blick "kostenlos" sind. Besonders verbreitet sind Lösungen zur gemeinsamen Nutzung von Dokumenten wie Google Drive oder zum Versenden von Dateien wie Wetransfer.
Tabellenkalkulationen
Im Fall von Tabellenkalkulationen (insbesondere Excel ) äußert sich Schatten-IT durch den Einsatz von Makros, einer Programmiersprache. Wenn sie ohne Aufsicht durch die IT-Abteilung entwickelt werden, kann es an dem Tag, an dem der Mitarbeiter, der die Programmierung vorgenommen hat, das Unternehmen verlässt, zu einem Informationsverlust kommen.
Persönliche Messenger
Ein Mitarbeiter sendet interne Dokumente an seine persönliche Mailbox, damit er zu Hause weiterarbeiten kann? Auch dies ist ein Beispiel für Schatten-IT.
Die Hardware
BYOD, oder Bring Your Own Device, ist eine immer häufiger anzutreffende Praxis. Dabei handelt es sich um die Tatsache, dass man seine persönliche Ausrüstung (Computer, Smartphone, Tablet, USB-Sticks usw.) in einem beruflichen Umfeld verwendet.
Die Streaming-Plattformen
Schatten-IT zeigt sich auch in der Angewohnheit, während der Arbeitszeit auf Unterhaltungsplattformen zu surfen. Einige Arbeitnehmer arbeiten z. B. gerne mit Musik und besuchen deshalb Seiten wie Deezer oder YouTube.
Soziale Netzwerke
LinkedIn und sogar Facebook werden in Unternehmen regelmäßig genutzt, um sich im beruflichen Umfeld auszutauschen - manchmal aber auch, um Dokumente auszutauschen.
Warum hat es sich entwickelt?
Auf der Suche nach Leistung ...
Laut einer Studie des Beratungsunternehmens Frost & Sullivan geben über 80 % der Arbeitnehmer zu, dass sie IT-Lösungen ohne die formelle Zustimmung ihrer IT-Leitung nutzen. Darüber hinaus wurden sieben von etwa 20 Anwendungen, die in Unternehmen eingesetzt werden, nicht vorab genehmigt.
In der Tat hat das Phänomen Schatten-IT in den letzten zehn Jahren stark zugenommen.
Es ist jedoch nicht auf den bösen Willen der Mitarbeiter zurückzuführen. Sie sind vor allem von der Idee motiviert, effizienter zu werden, ohne "Zeit zu verlieren, um die Zustimmung der IT-Abteilung einzuholen". Einige weisen auf langwierige und veraltete Prozesse hin:
Es waren diese schwerfälligen Prozesse, die seit mehr als 25 Jahren eingeführt und genutzt wurden, die diese Grauzone erzeugten.
Le Journal du Net
... und Entwicklung des Cloud Computing
In unserer zunehmend digitalisierten Welt ist die Nutzung von Technologie immer alltäglicher geworden. Und dank der Entwicklung von Cloud Computing und SaaS ist es einfach, sie zu nutzen. Google Doc, Skype, Dropbox... sind nur einige Beispiele.
Die Mitarbeiter bleiben also Internetnutzer, die es gewohnt sind, Anwendungen herunterzuladen oder zu nutzen, die a priori kostenlos sind und sofort auf ihre Bedürfnisse reagieren.
In diesem Zusammenhang ist Schatten-IT eher ein Reflex als ein Wille, die von den IT-Direktoren aufgestellten Regeln zu brechen.
Die Gefahren der Schatten-IT
Die mangelnde Einhaltung von Vorschriften.
Schatten-IT kann zu Problemen bei der Einhaltung bestimmter IT-Standards führen, wie z. B. ITIL.
Vor allem aber ist diese Praxis nicht sehr DSGVO-konform. Denn es ist schwierig für ein Unternehmen, die Einhaltung der EU-Verordnung zu gewährleisten, wenn es keinen Überblick über die von den Teams verwendeten Tools und die über sie übertragenen Daten hat.
Die Risiken der IT
Die Schatten-IT soll für eine große Anzahl von Cyberbedrohungen für Unternehmen verantwortlich sein, wie z. B. Angriffe durch Computerviren.
Das liegt daran, dass es für CIOs unmöglich ist, Sicherheitsmaßnahmen für Soft- oder Hardware zu ergreifen, von deren Existenz sie nichts wissen.
Das Datenleck
Die Nutzung von Tools in der Cloud kann zu einem Datenleck führen, das für das Unternehmen sehr schädlich ist. Das Unternehmen Dropbox beispielsweise hat bereits bekannt gegeben, dass ihm über 68 Millionen Benutzerkennungen gestohlen wurden.
Die Schatten-IT stellt also für Personen mit bösen Absichten ein Einfallstor zu den sensiblen Dateien Ihrer Organisation dar.
Der Verlust von Informationen
Schatten-IT beeinträchtigt die Standardisierung und Interoperabilität der Systeme eines Unternehmens. Die Folge: Informationen fließen nicht richtig zwischen den Mitarbeitern und die Zusammenarbeit scheint gefährdet.
Andererseits tritt dieser Informationsverlust häufig bei der Kündigung oder Entlassung eines Mitarbeiters auf. Wenn dieser z. B. Kundendateien von einer Software oder Tabellenkalkulation aus verwaltet hat, die den CIOs nicht bekannt ist, können wertvolle Informationen verloren gehen.
Technische und betriebliche Probleme
Schließlich können die im Rahmen der Schatten-IT verwendeten Technologien operative und verwaltungstechnische Probleme verursachen, da sie insbesondere Bandbreite verbrauchen.
Wenn sich die IT-Abteilungen nicht über das Ausmaß der Schatten-IT in ihrer Organisation im Klaren sind, können sie Kapazitäten, Upgrades usw. nur schwer vorhersagen.
Die Chancen der Schatten-IT?
Die Risiken der Schatten-IT sind jedoch zu relativieren, denn viele Experten sind sich einig, dass sie auch Chancen bietet:
- Zeitersparnis und Produktivitätssteigerung für die Mitarbeiter und im weiteren Sinne auch für die IT-Abteilungen,
- die vereinfachte Ermittlung der geschäftlichen Anforderungen durch die IT-Abteilung.
Wenn sie sieht, auf welche Art von Lösungen die Mitarbeiter spontan zurückgreifen, erhält sie wertvolle Informationen, die sie in ihre Überlegungen zu den einzusetzenden Tools und zu möglichen Alternativen einfließen lassen kann, damit das gesamte Unternehmen an Leistung gewinnt - und an Sicherheit!
Shadow IT: Beispiele für Verbesserungsmöglichkeiten für die ISD.
Unterscheiden Sie zwischen schlechter und "guter" Schatten-IT.
Zuallererst sollten Sie messen, was harmlos ist und was sich als schädlich für das Unternehmen erweist.
So konzentrieren Sie Ihre Bemühungen dort, wo die Risiken für den Datenschutz und die Vertraulichkeit von Daten am größten sind.
Bleiben Sie ansprechbar und reagieren Sie auf die Bedürfnisse Ihrer Mitarbeiter.
Eine gute Kommunikation ist nach wie vor einer der besten Ansatzpunkte für Verbesserungen. Seien Sie daher aufmerksam für die Bedürfnisse der Beschäftigten. Nur sie verfügen über das nötige Fachwissen, um die benötigten Tools zu identifizieren. Und wenn sie diese nicht haben, werden sie sie selbst finden.
Parallel dazu sollten Sie bei der Verbesserung von Informations- und Kommunikationssystemen reaktiv oder sogar proaktiv bleiben. Mit anderen Worten: Beweisen Sie den Teams, dass die IT-Abteilung nicht als Bremse bei der Einführung neuer Lösungen erscheinen sollte.
Bieten Sie konforme und einfach zu bedienende Alternativen an.
Wenn die IT-Abteilung ein offenes Ohr für die Bedürfnisse des Unternehmens hat, kann sie Tools anbieten, die denen der Schatten-IT ähneln, aber dennoch die Sicherheits- und Compliance-Roadmap des Unternehmens erfüllen.
Die DSGVO bietet beispielsweise die Möglichkeit, die Vorschriften einzuhalten und gleichzeitig die Geschäftsgepflogenheiten der Unternehmen zu berücksichtigen. Tauschen Ihre Mitarbeiter beispielsweise Dateien mithilfe der kostenlosen, aber nicht EU-konformen Anwendung Wetransfer aus? Verweisen Sie sie auf eine DSGVO-konforme Lösung wie LockTransfer. Sie ist dank der Möglichkeit, sie in Ihre E-Mail zu integrieren, einfach zu verwenden und bietet ein hohes Maß an Sicherheit für die geteilten Daten, ohne von Ihren Mitarbeitern als Belastung empfunden zu werden. Ein weiterer Vorteil ist das Hosting der Daten, da die Speicherung in Frankreich oder auf den Servern Ihres Unternehmens erfolgen kann.
Indem Sie solche Alternativen anbieten, übernimmt Ihr Unternehmen Verantwortung angesichts der gesetzlichen Anforderungen und verringert das Risiko, dass persönliche Daten beim Austausch mit Ihrem Ökosystem oder intern nach außen dringen.
Richten Sie Überwachungssysteme ein
Es ist möglich, Werkzeuge einzusetzen, die das Vorhandensein von Schatten-IT innerhalb der Organisation aufdecken.
Zu diesen technischen Lösungen gehören Cloud Access Security Broker ( CASB ). Eine Software wie Netskope beispielsweise bietet Einblick in die Cloud-Ströme, ermöglicht die Überwachung des Zugriffs auf sensible Informationen und begleitet die Einhaltung der DSGVO. Sie erkennt auch riskante Verhaltensweisen, um dem Nutzer eine Alternative anzubieten.
Schärfen Sie das Bewusstsein und schulen Sie die Mitarbeiter.
Das mangelnde Wissen über die Risiken, die durch Schatten-IT verursacht werden, bleibt einer der Hauptgründe für ihre Entwicklung. Laut einer Umfrage von Entrust Datacard gaben 42 % der Mitarbeiter an, dass sie neue Tools eher in Einklang mit den Vorschriften bringen würden, wenn die Politik der IT-Abteilung in diesem Bereich klarer wäre.
Nehmen Sie sich also die Zeit, um das gesamte Unternehmen über die Gefahren dieser Praxis, aber auch über die eingeführten Regeln und Verfahren aufzuklären .
Schließlich sollten Sie Schulungen zu den von der IT-Abteilung genehmigten Tools organisieren. Denn wenn die Mitarbeiter sie nicht verstehen, werden sie sie nicht übernehmen. Und wenn sie sie nicht annehmen, gehen sie woanders hin...
Artikel übersetzt aus dem Französischen