Wenn nicht so, dann halt anders ...
In heißen Sommertagen ist Schatten etwas durchaus Willkommenes. Anders verhält es sich beim Thema IT, da sind diese dunklen Flecken überhaupt nicht gern gesehen.
Was versteht man eigentlich unter Schatten-IT?
Kurz zusammengefasst, ist die Schatten-IT der inoffizielle EDV-Bereich eines Unternehmens, der typischerweise dann entsteht, wenn die von der IT-Abteilung angebotenen Services und Funktionalitäten für die Mitarbeiter nicht ausreichen oder deren Anforderungen mangelhaft abdecken.
Dieses Thema kennt man einerseits in großen Unternehmen mit starren IT-Richtlinien und sehr engen Handlungsspielräumen, allerdings sind auch kleine Unternehmen immer häufiger mit dem Thema Schatten-IT konfrontiert. Der typische Mitarbeiter kommt bereits mit einem Set an Erfahrungen ins Unternehmen und kennt aus seinem Privatleben jede Menge Werkzeuge, die den Alltag erleichtern.
Stichwörter dazu sind beispielsweise: WhatsApp, Dropbox, OneDrive, Google Docs, Office365 und vieles mehr. Die Nutzung von IT-Services in einem Unternehmen unterliegt Rahmenbedingungen und Anforderungen:
- Zentrale Datenablage und Sicherung
- Zentrale Berechtigungsverwaltung und Benutzermanagement
- Vordefinierte Prozesse und Abläufe
- Gesicherte Kommunikationskanäle
- Verwendung von freigegebener/erprobter Hardware
- Gemanagtes Netzwerk
- Definierte IT-Support Prozesse
Warum ist die Existenz einer Schatten-IT unternehmenskritisch?
Die Antwort auf diese Frage ist sehr vielschichtig und würde detailliert beschrieben den Umfang dieses Artikels bei weitem sprengen. Darum wird hier anhand von plakativen Beispielen das Problem beleuchtet.
Verwendung von Dropbox für Datenaustausch
Wenn im Unternehmen keine geeignete Plattform zur Verfügung gestellt wird, beginnen MitarbeiterInnen häufig damit, Filesharing-Dienste wie Dropbox zu benutzen. Hier werden gleich mehrere Probleme deutlich sichtbar:
- Anmeldung bei kostenfreiem Filesharing-Dienst mit Firmen-Mailadresse
Haben Sie schon mal überlegt, was das rechtlich bedeutet, wenn ein Mitarbeiter Ihres Unternehmens mit seiner dienstlichen Mailadresse einen Dropbox-Account anmeldet? Wem gehört dann eigentlich die Dropbox? Dem Mitarbeiter, dem Unternehmen? Oder noch schlimmer ist die Konstellation, wenn der Mitarbeiter seine private Mailadresse zur Registrierung einer Dropbox verwendet hat und diese dann für dienstliche Zwecke nutzt um zum Beispiel Baustellenfotos draußen zu machen, diese hochzuladen und im Büro dann von der privaten Dropbox auf den Unternehmensserver zu übertragen. Rein rechtlich ein sehr spannendes Feld. - Daten landen auf unternehmensfremden Servern
Seit dem Inkrafttreten der EU Datenschutzgrundverordnung (DSGVO) sollte es zum allgemeinen Verständnis gehören, dass (vor allem sensible) Daten nicht einfach in der Weltgeschichte verteilt werden dürfen. Dropbox selbst schreibt ganz offen in deren Datenschutzrichtlinie (siehe https://www.dropbox.com/de/privacy), dass sie Kundendaten speichert, verarbeitet und überträgt. Sobald ein Mitarbeiter Unternehmensdaten bei Dropbox ablegt, wird Dropbox zum Verarbeiter dieser Daten. Auf welchen Servern und in welchen Ländern diese Daten gespeichert werden, liegt außerhalb des Einflussbereiches des Dropbox Benutzers. - Verbreitung der Daten
Wenn in Dropbox eine Datei freigegeben wird, so kann dies über einen Link gemacht werden. Dieser Link kann einer Zielperson geschickt werden. Ob diese den Link dann weiterschickt oder nicht, kann nicht mehr beeinflusst werden. Kündigt nun z. B. der Mitarbeiter und Eigentümer der Dropbox, entstehen gleich zwei Probleme. Einerseits sind Links im Umlauf, die auf eine Dropbox zeigen, die möglicherweise dem Mitarbeiter privat gehört. Andererseits entsteht damit auch eine Situation, dass Daten im Umlauf sind, die das Unternehmen nicht mehr beeinflussen kann. Der Eigentümer hat somit jegliche Handhabe über die Verbreitung von Unternehmensdaten verloren.
Mittel dagegen sind einerseits natürlich die entsprechende offizielle Verfügbarkeit von File-Sharing Lösungen. Auch über den Einsatz von Content-Filtern können die Zugriffe auf nicht freigegebene Systeme verhindert werden und so der Wildwuchs von Schatten-IT eingedämmt.
Zusätzliches WLAN
Wenn das WLAN im letzten Büro am Gang nicht so toll funktioniert und der Mitarbeiter der Meinung ist, dass man sich da auch selbst helfen kann, findet man häufig in IT-Netzwerken plötzlich einen zusätzlichen WLAN-Sender. Wer aller das Passwort bekommen hat, weiß die Unternehmensleitung nicht – und meist auch nicht, dass überhaupt so eine „private WLAN-Installation“ in Betrieb genommen wurde.
Abhilfe dagegen schaffen Mechanismen, die das Anstecken von firmenfremder Hardware am unternehmenseigenen Netzwerk unterbinden – diese müssen aber verwaltet werden und so schrecken viele aufgrund der zusätzlich entstehenden Kosten vor derlei Maßnahmen zurück. Lässt man aber eine derartige WLAN-Erweiterung zu, ist das fast gleichzusetzen damit, als würde man einfach ein Netzwerkkabel aus dem Fenster auf die Straße hängen lassen. Irgendwann wird sicher jemand ausprobieren, was darüber alles gemacht werden kann. Und schon haben Sie den ungebetenen Gast im hausinternen IT-Netzwerk.
Konklusion
Sorgen Sie in Ihrem Unternehmen für eine offene Kommunikationskultur und lassen Sie sich die Sorgen Ihrer Mitarbeiter berichten. Oft gibt es für die IT-Bedürfnisse einfache Lösungen, die sich nahtlos in die bestehende Umgebung einfügen.
Geben Sie Betriebs- und Verhaltensrichtlinien in Bezug auf die IT-Systeme aus. Sensibilisieren Sie Ihre Mitarbeiter und weisen Sie sie auf die Gefahren hin, die durch den Aufbau einer Schatten IT entstehen.
Treffen Sie geeignete Technische und organisatorische Maßnahmen, so dass sich der Wildwuchs von Parallelsystemen nicht unkontrolliert ausbreiten kann. Seien Sie sich immer bewusst, dass am Ende des Tages die Geschäftsführung dafür haftet, wenn plötzlich Daten fehlen oder über dunkle Kanäle an falschen Plätzen auftauchen.
Alexander Beck, BA
Geschäftsführer
26.06.2019