Fachabteilungen schaffen ihre IT-Lösungen zunehmend selbst an, Mitarbeiter nutzen Cloud-Dienste von Drittanbietern oder bringen ihre eigenen Devices mit, um auf Firmendaten zu-zugreifen. Die Folge: eine Schatten-IT, die für Unternehmen große Risiken mit sich bringt.
Ob eigenmächtig installierte Cloud-Dienste oder selbstständig angeschaffte Hardware: IT-Lösungen, die nicht von der IT-Abteilung gekauft und genehmigt sind, bedrohen die Vertraulichkeit sowie Datensicherheit und stellen zudem ein wirtschaftliches Risiko für Unternehmen dar.
Eine Schatten-IT liegt in einem Unternehmen vor, wenn Mitarbeiter Anwendungen nutzen, die ohne Wissen der IT-Abteilung und Geschäftsführung beschafft und nicht im Rahmen des IT-Service-Managements betrieben werden. Laut einer europaweiten Studie ist dies keine Seltenheit. Demnach habe bisher fast jeder vierte Beschäftigte auf solche Anwendungen bereits zugegriffen.
Im Fokus der »heimlichen Nutzung« stehen insbesondere Dienste zur Datenspeicherung, cloud-basierte E-Mail-Dienste und Messaging-Services. Seit viele dieser Dienste kostenfrei verfügbar sind, nutzen Mitarbeiter diese in großem Stil – vorbei an der Unternehmens-IT. Das belegt die Skyhigh-Studie »Cloud Adaption & Risk Report« Q1 2015. Danach kommen in Unternehmen durchschnittlich 738 Cloud-Dienste zum Einsatz, aber nur weniger als ein Zehntel davon sind bei der IT-Abteilung bekannt. Als Hauptgründe werden die Vertrautheit mit den Anwendungen aus dem Privatgebrauch sowie langwierige Genehmigungsverfahren in der jeweiligen IT-Abteilung genannt.
Bring Your Own Device (BYOD). Neben Public-Cloud-Diensten macht den IT-Abteilungen insbesondere der Trend, dass Mitarbeiter ihre privaten Mobile Devices für Arbeitsaufgaben nutzen, zu schaffen. Die Frage ist: Woher kommt der Trend zu BYOD überhaupt? Die wahrscheinlichste Erklärung ist die, dass mit dem Aufkommen der ersten leistungsfähigen, mobilen Touch Devices viele Mitarbeiter damit begannen, E-Mails und Termine auf ihre privaten Geräte weiterzuleiten. Zum ersten Mal hatten die Mitarbeiter einen technologischen Vorsprung gegenüber der Firmen-IT und nutzten ihn, ohne Kenntnis geschweige denn Erlaubnis der IT-Abteilungen. Im Laufe der Zeit wurden die »unternehmensrelevanten Aktivitäten« auf den privaten Geräten immer umfangreicher, worin auch die grundlegende Sicherheitsproblematik von BYOD liegt. Die Motivation der Mitarbeiter ergibt sich aus dem Nutzen, schnell und ohne größere Umwege über ihre eigenen Geräte auf IT-Ressourcen beziehungsweise die Infrastruktur des Unternehmens zugreifen zu können.
ERP-System bringt Licht in den Schatten. Noch vor wenigen Jahren handelten alle Artikel vom »Stoppen der Schatten-IT« oder der »Schatten-IT-Drohung«. IT-Abteilungen haben über Jahre hinweg einen konstanten Kampf geführt, Regeln festgelegt und dabei gehofft, dass die Benutzer sie einhalten würden. Aber mit Regeln, so ist heute oft die späte Einsicht, ist der Kampf gegen die Schatten-IT nicht zu gewinnen.
Die offene, objektorientierte Systemarchitektur erlaubt nicht nur die Prozesssteuerung über Unternehmensgrenzen hinweg, sondern auch eine komfortable Einbindung von Fremdsystemen und einen systemübergreifenden Datenaustausch.
Was viele bisher nicht wissen: Moderne ERP-Systeme wie caniasERP können einen wichtigen Beitrag zur Vermeidung von Schatten-IT leisten beziehungsweise die negativen Folgen von Schatten-IT weitestgehend verhindern. Unternehmensdaten sind immer sehr sensibel und sind auch entsprechend zu behandeln. Für den Zugriff auf diese Daten gilt, unabhängig vom Endgerät, dass prinzipiell sichergestellt werden muss, dass Benutzer nur auf die Daten zugreifen können, die für sie freigegeben sind. Hierzu ist zunächst eine entsprechende Systemarchitektur notwendig, um etwa beim mobilen Zugriff – egal von welchem Endgerät – verschiedenste Benutzerrollen zu erlauben.
Hier hat sich die Drei-Schichten-Architektur bewährt. Dabei ist es möglich die verschiedenen Schichten – GUI, Logik und Datenhaltung – voneinander zu trennen. In caniasERP wird dies mit einem Datenbankserver, 1 bis n Applikationsserver und einem Client realisiert. Bei mehreren aktiven Applikationsservern verteilt ein Load Balancer die Arbeitslast. Auf Basis dieser Struktur bietet caniasERP die Möglichkeit, die Software über den Rich Client, ein HTML-Interface oder die caniasERP-App zu steuern. Dabei können für die Benutzer Profile hinterlegt werden, die den Zugriff auf die Datenbasis einschränken.
Dabei unterscheidet caniasERP auf der Ebene der feinsten Granularität auch zwischen lesenden und schreibenden Rechten auf die einzelnen Daten. Natürlich ist es auch möglich einen gesamten Bereich, wie etwa die Finanzbuchhaltung, für Benutzerprofile zu sperren. Die Sicherheit im Allgemeinen wird zum einen dadurch gewährleistet, dass die Kommunikation zwischen Client und Server verschlüsselt werden kann, und zum anderen keine direkte Verbindung zwischen Client und der Datenbasis (Datenbank) besteht. Damit kann ein Zugriff, etwa durch andere Apps oder Spionagesoftware auf dem Handy des Nutzers effektiv verhindert werden.
Als universelle Schnittstelle hat sich dabei das HTML-Gateway bewährt. Über das HTML-Gateway kann caniasERP komplett gesteuert werden. In den Bereichen, wo eine Touch/Scan-Optimierung von Relevanz ist, wurde diese schon umgesetzt. Das betrifft hauptsächlich die Bereiche Betriebsdatenerfassung in der Fertigung, die Bestandsführung und das Servicemanagement. Unsere Kunden können ihre GUI für den Rich Client in der caniasERP-eigenen Programmiersprache TROIA implementieren. Dabei wird auch gleichzeitig der HTML-Code generiert und steht sofort auf jedem HTML-fähigen Endgerät zur Verfügung. Das Endgerät dient dabei quasi lediglich als Anzeigefläche. Dabei ist es egal, ob es sich um ein Firmengerät oder um ein BYOD handelt.
Kollaboration im ERP. Auch hinsichtlich der Nutzung von unsicheren kostenlosen Cloud-Lösungen bieten moderne ERP-Systeme, wie etwa caniasERP, Lösungen, die die Nutzung solcher Drittanbieter-Dienste überflüssig machen. So verfügt caniasERP über eine ausgereifte Groupware, die als kollaborative Kommunikationssoftware agiert. Dabei steht die IT-gestützte Zusammenarbeit im Team im Fokus. Sie bildet eine einheitliche Plattform, um Daten und Informationen auszutauschen. Das muss sowohl bei räumlicher als auch bei zeitlicher Distanz funktionieren. Dies ist über das systemeigene Messaging-System oder dem integrierten E-Mail-Dienst möglich.
Des Weiteren bietet das System einen komfortablen, gemeinsamen Kalender und eine gemeinsame Aufgabenverwaltung an, um die Teamarbeit transparent abbilden und planen zu können. So lassen sich in der Groupware jeder Aufgabe Ressourcen wie Poolfahrzeuge, Besprechungsräume, Präsentationsausstattung und Ähnliches zuordnen und im Kalender als planbare oder bereits verplante Ressource anzeigen. Durch anwenderspezifisch eingerichtete Cockpits können in der caniasERP Groupware-Lösung benötigte Informationen übersichtlich dargestellt werden. Diese Informationen können aus unterschiedlichsten Systemen und Datenbanken kommen, idealerweise hat man aber eine zentrale Datenspeicherung, um redundante Informationen zu vermeiden. Geräteunabhängigkeit ist ein weiteres Kriterium für die Groupware-Lösung. So lassen sich Informationen unabhängig vom Anzeigegerät, wie Laptop, Smartphone oder Tablet über die caniasERP-App erstellen und abrufen.
Ein integriertes Dokumentenmanagementsystem bietet mehr. Mit dem Dokumentenmanagementmodul von caniasERP können die Mitarbeiter eines Unternehmens alle Dokumente und Belege verwalten, die im Unternehmensalltag anfallen. Hier wird nahezu jedes Format (Text, Bild, Audio, Zeichnungen, etc.) unterstützt. Die Dokumente werden zentral abgelegt und können jederzeit wieder – auch mobil – abgerufen werden. Um Daten vor unberechtigten Zugriffen zu schützen, ist es möglich, für Dokumente beziehungsweise Dokumentenmappen Passwörter zu vergeben und diese zu sichern. Ferner können einzelnen Personen oder Personengruppen Berechtigungen zum Lesen, Ändern, Löschen und Anlegen von Dokumenten zugewiesen werden. Darüber hinaus können Mitarbeiter Dokumente archivieren, Schlüsselwörter zur Wiederauffindbarkeit vergeben (Verschlagwortung mit Keywords) und Verknüpfungen zu anderen Dokumenten hinterlegen. Mithilfe solcher Verlinkungen, können bei der Erzeugung von etwa Vertriebs- und Einkaufsbelegen automatisch gespeicherte Dokumente, sowohl zentral über das Dokumentenmanagement als auch direkt aus dem Beleg heraus aufgerufen, gedruckt oder per E-Mail versendet werden.
Ansprechpartner Timur Kücük, Marco Volk
www.caniaserp.de
Illustration: © Sergey Nivens /shutterstock.com
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Schattengewächse und ihre Früchte – drei Schritte gegen Schatten-IT
Schatten-IT: Wie undurchsichtig wird die IT-Sicherheit durch die Cloud?