Freitag, 28.10.2016
Außer Kontrolle: In vielen Unternehmen gibt es eine Schatten-IT, also nicht autorisierte Software.

Foto: pixelnest/Thinkstock/Getty Images

Außer Kontrolle: In vielen Unternehmen gibt es eine Schatten-IT, also nicht autorisierte Software.

Personal
Gefahr durch Schatten-IT

Wenn Mitarbeiter eigene Software verwenden

Mitarbeiter setzten im Unternehmen oft eigene IT-Lösungen ein. Häufig verstößt diese Schatten-IT gegen Compliance-Vorgaben und geltendes Recht. Das müssen Unternehmen verhindern. Aber wie?

Aus ihrem privaten Alltag sind Mitarbeiter simpel zu nutzende Kommunikationslösungen gewohnt. Das erwarten sie auch im Büro. Kann die Unternehmens-IT das nicht bieten, suchen sich Anwender ihre eigene Lösung.

Dabei greifen sie oft auf Software zurück, die nicht den Compliance-Standards des Unternehmens entspricht – und dies unbemerkt von der IT-Abteilung. So entsteht die sogenannte Schatten-IT, das ist nicht autorisierte Software im Unternehmen.

Beispiel Datenaustausch: Sollen große Dateien an Kollegen oder Kunden geschickt werden, stößt das E-Mail-System des Unternehmens schnell an seine Grenzen. Kaum eine E-Mail-Lösung ermöglicht den Versand von Dateien, die größer als einige Megabyte sind. Public Cloud-Lösungen wie Google Drive, Dropbox oder iCloud versprechen da rasche Abhilfe. Für den Anwender ist das Problem kurzfristig gelöst. Die rechtlichen und organisatorischen Folgen sind jedoch teils schwerwiegend.

Schatten-IT macht Unternehmen zu Gesetzesbrechern

Wenn Mitarbeiter nicht autorisierte IT-Lösungen einsetzen, hat das Unternehmen keine zentrale Kontrolle über die Dateien, da sie auf öffentlichen Servern außerhalb der eigenen IT-Infrastruktur liegen. Schon dadurch verstoßen viele Unternehmen, die Kunden-, Patienten- oder Mandantendaten verarbeiten und austauschen, gegen das Gesetz oder regulatorische Vorgaben. Hinzu kommen Unwägbarkeiten bei der Sicherheit öffentlicher Cloud-Dienste.

Besonders für sensible Kundendaten oder vertrauliche Unternehmensdokumente ist der Einsatz von Software, die Daten nicht verschlüsselt oder die Schlüssel nicht hinreichend sicher ablegt, bedenklich. Unternehmen dürfen und müssen ihren Mitarbeitern die Nutzung untersagen – gleichzeitig sollten Geschäftsführung und IT-Verantwortliche jedoch Alternativen anbieten. 

Info

Schutz vor Schatten-IT:Wie Unternehmen ihre IT-Infrastruktur attraktiver machen

  1. Intuitive Bedienung: Im Idealfall muss der Anwender nichts Neues lernen.
  2. Verfügbarkeit: Spontane Nutzbarkeit erhöht die Nutzerakzeptanz.
  3. Eignung für alle relevanten Inhalte: Nachrichten und Dateien jeder Größe und Art können mit einer einzigen Lösung ausgetauscht werden.
  4. Kosteneffizienz: Besonders Externe wie Geschäftspartner oder Dienstleister sowie private Endkunden sollten keine Kosten tragen müssen.
  5. Vertraulichkeit: Die Transportwege und die Zwischenablage sollten verschlüsselt sein. Die Kontrolle über die Schlüssel sollte beim Unternehmen liegen.
  6. Sicherheit: Virenschutz und Data Loss Prevention (DLP) sind Pflicht.
  7. Einhaltung der Compliance-Vorgaben: Logging, Archivierung und Empfangsbestätigungen gewährleisten die Nachvollziehbarkeit.

 

 

Autor

Matthias Kess ist Technischer Leiter bei der befine Solutions AG in Freiburg.