Home Blog Datensicherheit

Schatten IT – So bringen Sie Licht in die dunkle Seite der IT!

Joe Köller · 17.03.2023

Unter Schatten IT versteht man die unerlaubte Verwendung von Programmen und Geräten im betrieblichen Kontext. Der düstere Name erklärt sich aus den verbundenen Gefahren: Mitarbeiter, die Limitierungen oder Sicherheitsvorgaben der Unternehmens-IT im Sinne der Effizienz oder Bequemlichkeit umgehen, riskieren dabei oft unwissentlich Datenlecks, Cyberangriffe und Compliance-Verstöße. Was sich der Kontrolle der IT-Abteilung entzieht, kann nämlich auch nicht angemessen abgesichert werden. In diesem Beitrag sehen wir uns an, warum User nach kreativen Lösungen suchen, welche Risiken Schatten IT mit sich bringt und wie Firmen sich schützen können.

Was ist Schatten IT?

Der Begriff Schatten IT bezeichnet die nicht genehmigte Verwendung von Soft- und Hardware in einer Organisation, also zum Beispiel Mitarbeiter, die unerlaubt neue Programme auf ihrem PC installieren, Dokumente in ihrem privaten Cloud-Speicher ablegen oder einem Kollegen Dateien über das eigene Smartphone schicken.

Der Grund, warum Angestellte auf solche Umwege zurückgreifen, liegt meist in fehlenden Funktionen (es gibt keinen offiziellen Weg) oder in dringenden Aufgaben (der offizielle Weg dauert zu lange). Ob die Hindernisse, die User so umschiffen, dabei wirklich so ausgeprägt sind wie behauptet, ist Nebensache. Wichtig ist, dass sie vom Benutzer als Barriere wahregenommen werden.

Dass dieses Phänomen mit Schatten IT einen betont gruseligen Namen trägt, liegt an den Risiken, die mit dem unerlaubten Einsatz von Apps, Diensten und Geräten einhergehen. Ohne Kontrolle und professionellen Support durch die IT-Abteilung können diese kreative Lösungen neue Schwachstellen für das Unternehmensnetzwerk mit sich bringen, sensible Daten offenlegen, sowie Verstöße gegen Datenschutz- und Sicherheitsrichtlinien bedeuten.

Leider gestaltet sich der Umgang mit Schatten IT etwas kompliziert: Reine Verbote bzw. Sperren erweisen sich in der Regel als nicht effektiv, da Benutzer sich schlicht und ergreifend neue Umwege ausdenken. Erreicht der Einsatz von Schatten IT ein bedenkliches Ausmaß, ist es wichtig, dahinter das Symptom eines größeren Problems zu erkennen: Ihre Mitarbeiter betrachten die Werkzeuge, die ihnen von offizieller Seite zur Verfügung stehen, als nicht ausreichend.

Beispiele für Schatten IT

Schatten IT kann die unterschiedlichsten Formen annehmen und lokal installierte Software, Web-Anwendungen, Cloud-Dienste sowie persönliche Geräte einschließen. Das Ausmaß des Problems kann dabei von einer einzelnen Person reichen, die eine schnelle Lösung für ihr Problem sucht, bis hin zu einer ganzen Abteilung, welche auf eigene Faust eine neue Applikation installiert, um nicht auf den Tech-Support warten zu müssen.

Beispiele für Tools, Apps und Geräte, die häufig als Schatten IT verwendet werden:

  • Messaging-Dienste wie Slack, Skype, Discord oder WhatsApp

  • Kollaborationsplatformen wie Google Docs, Notion oder Zoho

  • Cloud Storage wie Dropbox, Box oder iCloud

  • File-Sharing-Plattformen wie WeTransfer und Megaupload

  • Projektmanagement-Tools wie Trello und Asana

  • Speichermedien wie SD-Karten, USB-Sticks oder externe Festplatten

  • Persönliche Geräte wie Smartphones, Tablets oder Notebooks

Gründe für Schatten IT

Der Grund, weshalb die Angestellten eines Unternehmens sich unerlaubter Behelfslösungen bedienen, liegt meist in einer wahrgenommenen Hürde zwischen ihnen und der Erledigung ihrer Aufgabe. Bei dem Hindernis kann es sich um eine fehlende Funktion der bereitgestellten Werkzeuge handeln. Oft liegt der eigentliche Auslöser für den Einsatz von Schatten IT jedoch in einer Mischung aus Stress, Frust und widrigen Umständen.

Ein häufiger Faktor, der Benutzer zu unerlaubten Umwegen verleitet, ist beispielsweise Zeitdruck. Nehmen wir an, ein Kollege hat einen Termin bei einem Business-Partner und möchte dort eine dringende Frage beantworten, stellt aber fest, dass die Datei mit der Antwort in einem Ordner liegt, der keinen Remote-Zugriff erlaubt. Das Problem lässt sich lösen, ohne Sicherheitsrichtlinien zu brechen: Etwa durch einen Anruf im Büro mit der Bitte, die gesuchten Daten in ein neues Dokument zu übertragen und im Sharing-Ordner abzulegen. In aller Eile kommt es aber nicht selten vor, dass Mitarbeiter diese Schritte überspringen und z.B. einen Kollegen bitten, die Datei auf ihr Handy zu schicken.

Ein weiterer Grund für die Ausbreitung nicht genehmigter Apps liegt in Plattformbarrieren bzw. dem Einsatz unterschiedlicher Dienste. Nehmen wir als Beispiel eine Firma, die OneDrive für das Teilen und die Zusammenarbeit an Dokumenten nutzt. Alle Abteilungen nutzen die gleiche Lösung, alle Teams können problemlos zusammenarbeiten. Doch die Design-Abteilung arbeitet seit kurzem an einem Projekt mit einer externen Agentur. Anstelle von OneDrive verwendet die Agentur Google Docs. Zwischen beiden Diensten hin und her zu wechseln erweist sich als mühsam. Nach kurzer Zeit beginnt daher auch das Design-Team damit, Dokumente in Google Drive hochzuladen. Und schon geht die Kontrolle über geteilte Daten verloren.

Gefahren von Schatten IT

Während Phänomene wie Insider Threats und Datendiebstahl durch Mitarbeiter den vorsätzlichen Missbrauch von IT-Systemen beschreiben, entsteht Schatten IT in der Regel aus guten Absichten: Benutzer möchten schnell und effizient ein Problem lösen, ohne der IT-Abteilung Arbeit zu machen. Obwohl User mit ihrem Alleingang hehre Ziele verfolgen, stellt der resultierende Wildwuchs ein massives Problem für Unternehmen dar.

Die Risiken von Schatten IT im Unternehmen sind unter anderem:

  • Keine Kompatibilität: Werden neue Dienste ohne zentrale Abstimmung in Betrieb genommen, wählen unterschiedliche Abteilungen oft verschiedene Lösungen für den gleichen Zweck aus. Plötzlich hat jedes Team seine eigene bevorzugte Plattform, die Zusammenarbeit innerhalb der Organisation gestaltet sich schwierig.

  • Verschwendete Zeit: Obwohl Schatten IT Zeit sparen soll, entsteht durch schnelle Notlösungen auf lange Sicht mehr Aufwand. Dutzende Mitarbeiter, die unabhängig voneinander einen je eigenen Workaround entwickeln, verschwenden dadurch mehr Zeit, als die einmalige Entwicklung einer offiziellen Lösung beanspruchen würde.

  • Daten-Silos: Wenn einzelne Teams damit beginnen, Informationen außerhalb der offiziellen Systeme zu speichern, können andere Abteilungen diese nicht mehr effektiv nutzen. Entweder, weil sie keinen Zugriff haben, oder weil sie nicht einmal wissen, dass diese existieren. Es entstehen Silos und dezentrale Strukturen, die die Zusammenarbeit behindern.

  • Leaks & Datenverlust: Schlimmer noch als die Tatsache, dass Schatten IT Informationen unerreichbar macht, ist die Gefahr, dass Mitarbeiter dort sensible Daten öffentlich zugänglich machen oder diese durch ein Datenleck an die Öffentlichkeit geraten, ohne dass das Unternehmen überhaupt davon weiß. Ohne Kontrolle durch die IT ist es unmöglich nachzuvollziehen, welche Informationen Mitarbeiter hier mit wem teilen.

  • Sicherheitsrisiken: Durch die Anmeldung bei Online-Diensten mit der geschäftlichen E-Mail-Adresse steigt das Risiko für Phishing-Versuche sowie den Diebstahl von Zugangsdaten vom jeweiligen Anbieter. Installieren Mitarbeiter eigene Programme auf ihrem PC, ergeben sich daraus neue Schwachstellen, die das Netzwerk angreifbar machen. Admins können diese nicht schließen, wenn sie nichts davon wissen. Ebenso kann es dazu kommen, dass Mitarbeiter selbst Malware herunterladen, weil sie auf nachgebaute Seiten, falsche URLs oder betrügerische Ads hereinfallen.

  • Compliance-Verstöße: Datenschutz- und Sicherheitsgesetze wie die DSGVO und KRITIS-Verordnung geben strenge Richtlinien vor, wie der Zugang zu sensiblen Daten und Systemen zu steuern ist. Teilen Mitarbeiter Informationen auf inoffiziellen Kanälen bzw. speichern diese in Cloud-Diensten oder auf privaten Geräten, kann dies rechtliche Folgen haben und empfindliche Strafen nach sich ziehen.

Umgang mit Schatten IT: So stoppen Sie das Problem effektiv!

Angesichts der zahlreichen Nachteile von Schatten IT in Unternehmen ist es nachvollziehbar, dass Betriebe nach einem Weg suchen, das Problem unter Kontrolle zu bringen. Das Blockieren, Sperren und Verbieten einzelner Apps erweist sich dabei in der Regel nur als kurzfristige Lösung. Wird der eigentliche Auslöser des Problems nicht behoben, finden Mitarbeiter in Kürze einen neuen Umweg. Doch keine Sorge: In unserem Ratgeber erklären wir, wie Sie das Problem dauerhaft lösen und Licht ins Dunkel der Schatten IT bringen.

1

Das zugrundeliegende Bedürfnis identifizieren

Die kreativen Workarounds, die die eigene Belegschaft entwickelt, können dabei helfen, Limits der eigenen IT zu identifizieren. Greifen Benutzer etwa immer wieder auf Doodle-Links zurück um sich zeitlich abzustimmen, ist das ein Zeichen, dass man die Terminfindung für Meetings erleichtern sollte. Beispielsweise können Kollegen durch das automatische Teilen von Kalenderdaten aus Outlook sehen, wann ein Kollege beschäftigt bzw. verfügbar ist. Wird das zugrundeliegende Problem nicht gelöst, suchen User auf kurz oder lang neue Alternativen, selbst wenn man die Nutzung bestimmter Dienste sperrt.

2

Realistische Richtlinien setzen

Die Wahrheit über Schatten IT ist, dass gelegentliche Abkürzungen sowohl unvermeidbar als auch harmlos sind. Die meisten von uns arbeiten nicht in Hochsicherheitsnetzen, die auf völlige Isolierung und vollständige Überwachung angewiesen sind. Wir arbeiten in normalen Büros, wo sich Teammitglieder ab und zu auch in privaten Chats zu beruflichen Themen austauschen.

Betriebe, die an das Thema Schatten IT mit realistischen Erwartungen herantreten, haben oft mehr Erfolg bei der Reduktion des Problems. Anstatt jeglichen Umweg zu verbieten erweist es sich als produktiver, die eigene Belegschaft darüber aufzuklären, wo die Grenze zwischen akzeptablen und inakzeptablen Workarounds zu ziehen ist. Etwa sich während eines Meetings Notizen auf dem eigenen Smartphone zu machen vs. berufliche Dokumente im privaten Cloud-Speicher abzulegen.

3

Hindernisse aus dem Weg räumen

Es liegt in der Natur des Menschen, den Weg des geringsten Widerstands zu suchen. Erweisen sich die offiziellen Tools also als unnötig kompliziert und aufwändig, ist die Versuchung groß, nicht-genehmigte Alternativen zu nutzen. Eine der effektivsten Optionen, um die Nutzung von Schatten IT im Unternehmen zu verringern, liegt entsprechend darin, den korrekten Weg so einfach wie möglich zu gestalten.

Je nach Ausgangslage kann diese Vereinfachung bedeuten, neue Tools in das bestehende Setup zu integrieren, um Benutzern jene Möglichkeiten zu bieten, die sie bislang auf inoffiziellem Weg gesucht haben. Teils kann es auch notwendig sein, vorhandene Anwendungen durch Lösungen mit höherer Benutzerfreundlichkeit auszutauschen. Eine weitere Möglichkeit, Barrieren aus dem Weg zu räumen liegt darin, einige Aufgaben aus der IT in die Fachabteilungen auszulagern. Mit den passenden Tools lassen sich viele Funktionen auch an Benutzer ohne technische Kenntnisse übertragen, wodurch der Zugang zu IT-Dienstleistungen erheblich vereinfacht wird.

4

Zugang zu IT-Services mit tenfold erleichtern

Wer den eigenen Benutzern den schnellen und einfachen Zugang zu wichtigen Dienstleistungen der IT ermöglichen möchte, findet in tenfold das optimale Werkzeug. Unsere Identity und Access Management Lösung erlaubt nicht nur die automatische Benutzerverwaltung und Berechtigungsverwaltung, sondern stellt darüber hinaus auch ein Self-Service Interface zur Verfügung, über das Mitarbeiter ihr eigenes Passwort zurücksetzen, Zugang zu Ressourcen sowie neue Rechte anfordern und Abwesenheitsnachrichten für Kollegen festlegen können. Damit löst tenfold also genau die häufigen Probleme, die zum Einsatz von Schatten IT führen.

Das Beste daran? Anfragen aus dem Self-Service können direkt innerhalb der Abteilung vom zuständigen Ansprechpartner bearbeitet werden. Das Anliegen lässt sich also in wenigen Minuten klären, ohne auf einen Rückruf der IT warten zu müssen. Gleichzeitig sorgt tenfold für die vollständige Dokumentation aller Prozesse, um diese für Admins nachvollziehbar zu machen. So werden User ermächtigt, Admins entlastet und das Unternehmen behält die Kontrolle.

Sie möchten mehr darüber erfahren, wie tenfold Ihnen hilft, durch effiziente IT-Administration Zeit und Geld zu sparen? Unser Demo-Video gibt Ihnen einen Überblick der wichtigsten Funktionen unserer IAM-Plattform. Wenn Sie sich erster Hand von der Benutzerfreundlichkeit, einfachen Installation und enormen Flexibilität von tenfold überzeugen möchten, melden Sie sich noch heute für einen kostenlosen Test unserer Software an!

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Überzeugen Sie sich selbst!

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.