Was ist Schatten-IT? Beispiele, Risiken und Lösungen

Schatten-IT ist definiert als nicht autorisierte Anwendungen, Hardware oder Software, die von anderen Abteilungen als der IT-Abteilung implementiert und verwaltet werden. Mit dem Aufkommen von Cloud-basierten SaaS-Lösungen ist die Schatten-IT-Nutzung explodiert - und könnte bis zu zehnmal höher sein als die bekannte IT-Nutzung.

Schatten-IT erscheint oft harmlos. Aber es kann das Unternehmen einem erheblichen Risiko aussetzen. Von der Nichteinhaltung gesetzlicher Vorschriften bis hin zur Datenexfiltration - Unternehmen haben gute Gründe, Schatten-IT an ihren digitalen Arbeitsplätzen zu verhindern.

Warum nutzen Menschen Schatten-IT?

Um gegen Schatten-IT vorzugehen, müssen Unternehmen zunächst verstehen, was ihre Mitarbeiter dazu bringt, sie zu nutzen. Die meisten Menschen wollen ihre Arbeit so effizient und effektiv wie möglich erledigen. Das bedeutet, dass Sie Tools einsetzen müssen, um sich wiederholende Prozesse zu beschleunigen, Bürokratie zu vermeiden und die Arbeit zu erleichtern. Wenn das Unternehmen nicht die richtigen Werkzeuge für die Arbeit zur Verfügung stellt, werden die Mitarbeiter sie sich selbst suchen.

Jedes Programm kann Teil eines Schatten-IT-Netzwerks werden, wenn es nicht von der Organisation genehmigt und reguliert wird. Auch - oder vielleicht gerade - bei Tools, die für den Einsatz in Unternehmen entwickelt wurden. Und manchmal sind Software-Entscheidungen nichts weiter als eine Frage der persönlichen Vorliebe.

Wenn das Unternehmen Microsoft Teams für die Kommunikation verwendet, das Entwicklerteam aber einseitig beschließt, zu Slack zu wechseln, dann wird Slack Teil der Schatten-IT des Unternehmens. Wenn das Marketing Pages anstelle von O365 oder der Vertrieb Dropbox anstelle der vom Unternehmen genehmigten Dateispeicherplattform verwendet, führen sie eine Schatten-IT ein.

Weitere Beispiele für Schatten-IT

Greg verknüpft seine Arbeits-E-Mails mit seinem Outlook-Konto auf seinem privaten Telefon, um Sicherheitsprotokolle zu umgehen, die ihn daran hindern, von unterwegs auf seine Nachrichten zuzugreifen. Er gibt diesen Tipp an seine Kollegen weiter, die ihn alle befolgen.

Sally zieht es vor, ihren Zeitplan über Asana statt über Basecamp zu verwalten. Sie lädt Mitglieder ihres Teams ein, sich an ihrem Projekt zu beteiligen und sie wandern von den vom Unternehmen sanktionierten Tools ab.

Jose muss eine PDF-Datei aufteilen, um sensible Informationen vor einem wichtigen Meeting zu entfernen. Er lädt die Datei auf eine kostenlose Website hoch, um das Dokument zu ändern. Die Website funktioniert so gut, dass er das Freemium-Tool für die künftige Nutzung herunterlädt und den Rest seiner Abteilung ermutigt, dasselbe zu tun.

Schatten-IT-Software kommt in der Regel an den Arbeitsplatz, um einen ungedeckten Bedarf zu decken. Bei der Suche danach, wo es in Ihrem Unternehmen vorhanden ist, sollten Sie die üblichen Tätigkeiten Ihrer Mitarbeiter und die potenziellen Hindernisse, die ihnen die Arbeit erschweren, berücksichtigen.

• Verfügen sie über Tools zum Erstellen und Bearbeiten gängiger Dateitypen?
• Können sie effektiv mit internen und externen Kontakten kommunizieren?
• Ist es einfach, auf Dokumente zuzugreifen, sie gemeinsam zu nutzen und gemeinsam daran zu arbeiten?
• Wie viele Sicherheitsschritte sind nötig, um sich bei alltäglichen Programmen anzumelden?

Cloud-basierte Anwendungen machen in den meisten Unternehmen den Großteil der Schatten-IT aus. Jede Abteilung innerhalb des Unternehmens hat ihre eigenen Aufgaben und Anforderungen, und für alle gibt es spezielle Softwarelösungen. Vom Marketing über den Vertrieb bis hin zur Personalabteilung ist es wichtig, mit allen Beteiligten im gesamten Unternehmen zu sprechen, um die verschiedenen IT-Lösungen zu verstehen, die derzeit im Einsatz sind.

Sicherheitsrisiken der Schatten-IT 

Wenn der Zweck der Schatten-IT darin besteht, den Mitarbeitern zu helfen, besser zu arbeiten, wo liegt dann das Problem? Vor allem, wenn die Mitarbeiter Programme verwenden, die für den Einsatz in Unternehmen konzipiert sind. Es ist verlockend, die Schatten-IT als unvermeidlichen Teil des Geschäftsbetriebs abzutun und ihre Risiken für überbewertet zu halten. 

Aber ohne die Aufsicht der Rechtsabteilung, der Compliance- und der IT-Verantwortlichen können Schatten-IT-Assets das Unternehmen anfällig für Datenexfiltration, Nichteinhaltung von Vorschriften und mehr machen.

Sicherheitslücken und Datenexfiltration

Das vielleicht größte Risiko, das von Schatten-IT ausgeht, betrifft die Daten Ihres Unternehmens. Wenn Mitarbeiter nicht autorisierte Programme verwenden, um geschützte Informationen zu speichern und weiterzugeben, verliert das Unternehmen die Kontrolle darüber, wo diese Daten landen - oder wer sie am Ende zu sehen bekommt. Das ist ein großes Problem, wenn 83% der IT-Profis berichten, dass ihre Mitarbeiter Unternehmensdaten auf nicht genehmigten Plattformen speichern (G2).

Fallstudie Schatten-IT: Die Zunahme der Fernarbeit seit dem Ausbruch der Pandemie geht Hand in Hand mit einer Zunahme von Datenlecks. Die Zahl der Vorfälle steigt um 63%, wobei die Gefährdung durch Schatten-IT-Assets allein im Jahr 2021 um 40% zunehmen wird. Mehr als die Hälfte aller Cyberangriffe stammen inzwischen aus der Schatten-IT.

Nichteinhaltung gesetzlicher Vorschriften

Ein weiteres Problem für moderne Unternehmen ist die Schatten-IT, die häufig - absichtlich oder unabsichtlich - eingesetzt wird, um die Einhaltung von Gesetzen und Vorschriften zu umgehen. Mitarbeiter, die PII/PCI/PHI über private Kanäle speichern oder weitergeben, werden keiner Prüfung standhalten.

Unternehmen, die sich an Regeln und Vorschriften wie HIPAA, FINRA oder CMMC 2.0 halten müssen, sind besonders gefährdet, aber jedes Unternehmen kann durch Schatten-IT in Schwierigkeiten geraten. Wenn Sie nicht die volle Kontrolle darüber haben, wo Ihre Mitarbeiter Daten erstellen oder speichern, können Sie die Einhaltung von Gesetzen wie GDPR oder CCPA nicht gewährleisten.

Fallstudie Schatten-IT: Der Bankensektor wurde mit einer Reihe von weitreichenden Untersuchungen - und rekordverdächtigen Geldstrafen - konfrontiert, nachdem die SEC und andere Aufsichtsbehörden begannen, die Nutzung von Messaging-Apps für geschäftliche Zwecke zu untersuchen. Die SEC hat seit langem klargestellt, dass die Aufbewahrungsvorschriften des Securities and Exchange Act für jede Form der modernen Kommunikation gelten, einschließlich Collaboration- und Messaging-Apps. Institutionen, die nicht in der Lage sind, alle Kommunikationswege ihrer Mitarbeiter zu erfassen, setzen sich damit einem großen Risiko aus.

Ineffizienzen des Systems

Eines der Ziele eines IT-Lösungspakets ist es, Programme zu integrieren, damit die Mitarbeiter effizient arbeiten können. Aber wenn ein Team zu einer anderen Anwendung wechselt, kann das bei der Zusammenarbeit mit anderen zu Problemen führen. Unterschiedliche Benutzerzugriffs- und Bearbeitungsberechtigungen für verschiedene Programme können unnötige Barrieren schaffen, die eine effektive Zusammenarbeit zwischen verschiedenen Abteilungen verhindern.

Eine weitreichende Auswirkung der Schatten-IT besteht darin, dass sie Ineffizienzen in den breiteren Tech-Stack einbaut. Ohne einen vollständigen Überblick können IT-Abteilungen die Kapazität nicht genau einschätzen und nicht für Leistung und Sicherheit planen. Jede Analyse des Stapels ist unvollständig und daher ungenau. Und auch die Berichte über die Geschäftsfunktionen selbst können unvollständig sein. Dieser Kontrollverlust kann dazu führen, dass wichtige Entscheidungen auf der Grundlage falscher Daten getroffen werden.

Vergeudete Ausgaben

Die Preise für Software steigen. Da immer mehr Unternehmen SaaS-Verträge anstelle von einmalig erworbenen Lizenzen abschließen, müssen die IT-Abteilungen ihre Kosten sorgfältiger denn je verwalten. Dennoch wird mehr als ein Drittel aller Softwareausgaben verschwendet, was die US-Unternehmen jährlich mehr als 30 Milliarden Dollar kostet.

Schatten-IT wirkt sich in mehrfacher Hinsicht auf die Ausgaben aus. Zunächst dringen die meisten Produkte über kostenlose persönliche Konten in das Unternehmen ein. Aber um ein beliebtes Schatten-IT-Programm für die geschäftliche Nutzung zu aktivieren, sind in der Regel Unternehmenslizenzen erforderlich, die mit erheblichen Kosten verbunden sind.

Vorhandene Software kann auch ungenutzt bleiben, wenn Mitarbeiter Schatten-IT-Lösungen bevorzugen, was zu den 30 Milliarden Dollar beiträgt, die jedes Jahr verschwendet werden. Und Schatten-IT-Programme lassen sich nicht immer gut in die bestehende IT-Infrastruktur des Unternehmens integrieren. Dies verursacht zusätzliche Kosten für Sicherheit und Kompatibilität.

Vorteile der Schatten-IT

Trotz ihrer Risiken kann die Schatten-IT mehrere Vorteile bieten, wenn sie mit Bewusstsein und einer angemessenen Governance angegangen wird.

1. Steigert die Produktivität und Flexibilität

Mitarbeiter verwenden oft nicht autorisierte Anwendungen, um Aufgaben zu rationalisieren, vor allem wenn die offiziellen Tools zu starr oder begrenzt sind. Wenn Teams schnellere oder intuitivere Plattformen wie Google Drive verwenden, können sie effizienter zusammenarbeiten und ihre Arbeitsabläufe aufrechterhalten.

2. Ermutigt zu Innovation und Agilität

Schatten-IT ermöglicht es Teams, neue Cloud-Dienste zu testen und zu übernehmen, ohne auf die traditionellen Genehmigungszyklen zu warten. Dieser Umgang mit neuen Tools kann Unternehmen helfen, wettbewerbsfähig zu bleiben und bessere Wege zur Problemlösung zu finden.

3. Oberflächen Unerfüllte Bedürfnisse

Die Zunahme nicht genehmigter Anwendungen zeigt oft Lücken in der bestehenden IT-Infrastruktur des Unternehmens auf. Ein Sicherheitsteam, das die Trends in der Schatten-IT beobachtet, kann besser verstehen, was die Benutzer brauchen - und den genehmigten Technologie-Stack entsprechend aktualisieren.

Warum ist Schatten-IT eine große Sache, und kann sie wirklich Schaden anrichten?

Ihre Mitarbeiter wollen ihre Arbeit effektiv erledigen. Collaboration Tools können die Kommunikation beschleunigen und interne Silos aufbrechen, die sonst die Arbeit verlangsamen. Daher ist die Implementierung von Schatten-IT selten bösartig. Dennoch kann sie dem Unternehmen und seinen Mitarbeitern ernsthaften Schaden zufügen, indem sie Datenverlusten und der Nichteinhaltung von Vorschriften Tür und Tor öffnet.

• Die HIPAA-Bußgelder haben in den Jahren 2020-21 ein Allzeithoch erreicht, und bis heute haben die HIPAA-Bußgelder nicht konforme Praktiker mehr als 133 Millionen Dollar gekostet.
• Die Nichteinhaltung von PCI-Vorschriften kann je nach den Umständen zwischen $10k und $100k USD pro Monat kosten.
• Die Nichteinhaltung der GDPR kann bis zu 4% des weltweiten Umsatzes eines Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.

Diese Vorschriften dienen dem Schutz der Verbraucher, und Mitarbeiter können ihnen oder ihren Kollegen durch die Verwendung nicht zugelassener Software versehentlich schaden.

Wie man Schatten-IT am Arbeitsplatz kontrolliert

Für IT-Führungskräfte, die ihre Geschäftsdaten schützen und ihre Budgets maximieren möchten, ist es wichtig, der Nutzung von Schatten-IT zuvorzukommen. Der wichtigste Schritt besteht darin, den vorhandenen Technologie-Stack zu überprüfen, um zu verstehen, wo Schatten-IT innerhalb der Unternehmensinfrastruktur bereits existiert. Es ist von grundlegender Bedeutung, mit den verschiedenen Abteilungen des Unternehmens zu sprechen, da jeder Bereich einzigartige Softwarelösungen verwendet.

Überlegen Sie, wie Sie Fragen zur Nutzung von Schatten-IT formulieren, um ein vollständiges Bild zu erhalten. Vier von fünf Arbeitnehmern geben zu, dass sie nicht autorisierte IT-Anwendungen für berufliche Zwecke nutzen (G2). Manche betrachten die von ihnen verwendeten Tools nicht einmal als Schatten-IT oder sind sich der Risiken, die sie mit sich bringen, nicht bewusst. Konzentrieren Sie sich zunächst auf die Entdeckung und dann auf die Umschulung, um die Schatten-IT effektiv zu kontrollieren.

Wie Mimecast Unternehmen bei der Verwaltung von Schatten-IT hilft

Mit Mimecast Aware bringen Sie Ordnung in das Chaos von Remote-Arbeitsumgebungen. Unsere Plattform bietet umfassende Sicherheit und Einblicke für Collaboration-Lösungen wie Slack, Microsoft Teams, Google Workspace und Yammer und Workplace von Meta.

Schützen Sie Ihr Unternehmen mit KI/ML-infundierten Workflows, um Datenverluste zu verhindern und Governance, Risiken und Compliance zu überwachen. Schotten Sie mehrere Collaboration-Lösungen mit einem Tool ab, das in Ihrem gesamten Ökosystem funktioniert. Vereinfachen Sie die Verwaltung Ihres IT-Stacks mit automatischen Benachrichtigungen über unautorisierte Aktivitäten. Und verwalten Sie alles von einem single Glasscheibe aus.

Wenn Sie mehr über andere Risiken für den digitalen Arbeitsplatz erfahren möchten, laden Sie unser kostenloses Whitepaper herunter. Entdecken Sie die wichtigsten Bedrohungen für die Datensicherheit in modernen Unternehmen und erfahren Sie, wie Sie Ihre Unternehmensdaten proaktiv schützen können.