Unterschätztes Sicherheitsrisiko Schatten-IT

Der Einsatz von Schatten-IT gefährdet nachhaltig die Sicherheit der deutschen Wirtschaft. Zu diesem erschreckenden Ergebnis kommt der aktuelle eco-Sicherheitsreport 2016 [1]. Der Verband eco – Verband der Internetwirtschaft e.V. hat dazu in einer Umfrage 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland befragt. Hinter dem Schlagwort Schatten-IT verbergen sich nicht genehmigte Hard- und Software sowie Cloud-Dienste, die unabhängig von der Firmen-IT im Unternehmen existieren und so sensible Unternehmensdaten gefährden.

Rund drei Viertel der befragten Unternehmen gehen davon aus, dass in ihrem Unternehmen Schatten-IT genutzt wird, 23 Prozent vermuten sogar eine Nutzung in »erheblichem Umfang«. Nur magere 16 Prozent der Umfrageteilnehmer sind sich sicher, dass bei ihnen keine Schatten-IT existiert. Aber warum sind denn diese auf den ersten Blick für den User oftmals sinnvollen IT-Anwendungen so gefährlich für die Unternehmen? Und wie können mehr Unternehmen von der Schattenseite der IT auf die Sonnenseite wechseln?

 

Dazu Björn Bröhl, Head of Marketing Communications & Sales beim IT-Dienstleister Trivadis:

Die Schatten-IT ist ein von vielen Unternehmen unterschätztes Sicherheitsrisiko. Sie koexistiert meist als historisch nach und nach gewachsenes, inoffizielles IT-System neben der offiziellen Unternehmens-IT. Die IT-Verantwortlichen ahnen oft nichts von der Existenz dieser Subsysteme: Fachabteilungen gliedern beispielsweise mit Hilfe von Cloud-Diensten ganze Funktionsfelder aus – ohne darüber jemals mit den verantwortlichen IT-Experten gesprochen zu haben. Die Konsequenzen für die IT-Sicherheit können die Fachabteilungen dabei kaum einschätzen. Für sie steht naturgemäß die Verbesserung ihrer Arbeitsprozesse, die mit dem Einsatz der nicht genehmigten Anwendung erzielt wird, im Vordergrund – ein neues Schatten-IT-System ist geboren.

Schatten-IT macht Unternehmen angreifbar

Das große Problem dieser »Maulwurf-Systeme«, die unterhalb des Radars der IT-Abteilung existieren, ist folgendes: Sie werden weder strategisch noch technisch in das IT-Service-Management der Organisation eingebunden. Dies hat zur Folge, dass diese Systeme in Hinblick auf Datensicherheit, Datenintegrität und Datenschutz nicht den IT-Richtlinien des Unternehmens entsprechen und die Unternehmens-IT von außen verwundbar machen.

Auch wird die Schatten-IT bei der Weiterentwicklung der IT im Rahmen der digitalen Transformation nicht berücksichtigt und kann im schlimmsten Fall im Zusammenspiel mit den offiziellen IT-Systemen zu technischen Problemen führen.

Probleme mit Compliance-Anforderungen

Ein weiteres Konfliktpotenzial liegt im Compliance-Bereich. Durch die Nutzung von Schatten-IT werden oft Prozesse in den Fachabteilungen etabliert, die bestehende Compliance-Regeln verletzen. Viel grundlegender ist allerdings, dass die Einführung und Nutzung der Schatten-IT selbst ja schon einen Verstoß gegen die Compliance-Regeln darstellen.

Der Schatten-IT den Kampf ansagen

Die Gründe für die Implementierung von Schatten-IT mögen aus Sicht der jeweiligen Fachabteilung plausibel sein. Aus der Perspektive von Unternehmensleitung- und IT-Abteilung überwiegen jedoch die Risiken. Die Eindämmung der Schatten-IT muss daher ein zentrales Thema auf der Agenda jedes Unternehmens sein. Denn je weiter die Digitalisierung voranschreitet, desto angreifbarer machen diese Parallel-Systeme das Unternehmen.

Wir beim IT-Dienstleister Trivadis haben die Erfahrung gemacht, dass ein erster konkreter Schritt im Kampf gegen die Schatten-IT der konstruktive Dialog ist. In ihm werden die Fachabteilungen für die Thematik sensibilisiert. Auf der anderen Seite können die Fachabteilungen thematisieren, warum die vorhandenen IT-Lösungen ihren Anforderungen entsprechen und welche Funktionen benötigt werden. Erst wenn dieser Dialog begonnen hat und die vorhandene Schatten-IT identifiziert wurde, ist die erste Hürde zur Abschaffung dieser gefährlichen, versteckten Strukturen genommen.

[1] https://ap-verlag.de/schatten-it-ist-katastrophe-fuer-die-betriebliche-sicherheit/22681/

Der IT-Dienstleister Trivadis veranstaltet am Dienstag, 21.02.2017, von 16.00 Uhr bis 17.00 Uhr einen Webcast zum Thema »Schatten-IT«. Darin zeigt das Unternehmen die Chancen und Risiken, die die Nutzung von Schatten-IT bietet, auf und gibt konkrete Hilfestellungen, wie Unternehmen das Problem Schatten-IT in Angriff nehmen können. Weitere Informationen sowie das Anmeldeformular zum Webcast sind hier (https://bit.ly/2laKuS8) verfügbar.

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Ist Schatten-IT bereits Realität?

Schatten-IT führt zu Angriffen

Schatten-IT: Wie undurchsichtig wird die IT-Sicherheit durch die Cloud?

Unternehmen müssen die Schatten-IT einbeziehen, um wettbewerbsfähig zu bleiben

Das Ende der Schatten-IT – Ablösung des Primats der Infrastruktur durch Daten

Interview zur Schatten-IT – Gravierende Probleme durch Schattensysteme

Digitalisierung – ein Wandel von Geschäftsmodellen und Realitäten

Datenmanagement in der Cloud – 2017 wachsende Nachfrage an Cloud Security

Schnelle Entwicklung von Software in guter Qualität ist große Herausforderung für Unternehmen

Statt Schatten-IT bekämpfen, Unified Communications leben

Konzerne investieren in Cybersicherheit und digitale Revolution

CIO-Studie: Kampf gegen Schatten-IT

CIOs sollten Chancen aus der Schatten-IT nutzen