Schatten-IT: Was ist das? Welche Risiken bringt der Einsatz?

»Schatten-IT blüht und sie ist bestimmt kein Mauerblümchen – sondern ein Grundsatzphänomen.«

Interview mit Frank Müller, Gesellschafter und Vorstand der Axsos AG


Herr Müller, was genau ist Schatten-IT?

Im Regelfall bedeutet dies, dass Mitarbeiter im Unternehmen IT-Technologie verwenden, die weder von Unternehmensseite geprüft noch freigegeben wurde. Ebenso fällt unter diesen Begriff die Nutzung privater Geräte wie iPhones, Smartphones, Tablets oder Cloud-Dienste, weil die Angestellten denken, damit besser arbeiten zu können. Ein klassisches Beispiel ist hier Dropbox, mittels der man schnell Daten mit Kollegen austauschen kann. Für viele mag dies die bequemere und einfachere Alternative zu den Lösungen aus der IT-Abteilung darstellen.

Welche Folgen kann die Nutzung von nicht geprüften Diensten haben?

Zum einen kann es wirklich einen Reputationsverlust für das Unternehmen bedeuten, wenn Informationen nach außen dringen, die nicht für die Öffentlichkeit bestimmt sind – beispielsweise wenn ein Vertriebsmitarbeiter sein privates Handy verliert, auf das er unverschlüsselt seine ganzen Geschäftsdaten gespeichert hat und jemand findet es.

Auf der anderen Seite kann die Nutzung einer nicht freigegebenen oder nicht geschützten Plattform sehr teuer zu stehen kommen – nicht nur im finanziellen Sinne. Beispielsweise wenn jemand seine innovative Idee, den Bauplan seiner Erfindung oder das selbstentwickelte Softwareprogramm, also sein geistiges Eigentum, auf eine Internetplattform hochlädt und sich nicht die allgemeinen Geschäftsbedingungen durchgelesen hat. Doch manchmal funktioniert das Prinzip ›Wird schon gutgehen‹ nicht und der Inhalt geht in das Eigentum des Plattformbetreibers über. Hier kann der Schaden in die Millionen gehen. Auch bei Dropbox geht es relativ schnell, dass die Vergabe des Links außer Kontrolle gerät.

Wie leicht lässt sich Schatten-IT aufspüren?

Noch steckt dieser Bereich in den Kinderschuhen. Wenngleich die IT hier nach neuen Lösungen sucht, hinkt sie dennoch dem Ist-Zustand stets ein wenig hinterher. Dropbox ist hier ein gutes Beispiel, denn selbst wenn der IT-Administrator an der Firewall sieht, dass Mitarbeiter auf Dropbox zugreifen, gibt es Schlupflöcher, denn der Mensch ist erfinderisch, wenn er was erreichen möchte – er lädt die Daten einfach auf die polnische Dropbox-Seite und schickt den Link weiter. Es ist schwierig, hier immer alles zu finden. Eine weitere Möglichkeit, Schatten-IT aufzuspüren ist der Einsatz von Analyse- und Auswertungstools – der allerdings eine gute Verwaltung der von der Firma ausgegebenen Geräte zur Basis haben muss. Außerdem muss der WLAN-Bereich mit den Geräten abgeglichen werden. Im Regelfall sollten die Geräte, die von der IT verwaltet werden, mehr Zugriff erhalten, während private Smartphones und Tablets sich ausschließlich in ein eigens eingerichtetes Gäste-WLAN einwählen dürfen.

Abgesehen von zwei WLAN-Kennwörtern – inwieweit gibt es von Unternehmensseite Mechanismen, um Schatten-IT zu vermeiden?

Einerseits muss man dies von vertraglicher Seite regeln, andererseits gehe ich nicht davon aus, dass Schatten-IT aus reiner Böswilligkeit seitens der Mitarbeiter angewandt wird. Die meisten möchten einfach nur einen guten Job machen. Wenn nun Mitarbeiter zu ihrem Chef gehen und ihn um gewisse Lösungen bitten, dann sollte auch die IT gut zuhören und versuchen zu verstehen, welche Form von Unterstützung gebraucht wird. Menschen möchten ernstgenommen werden und nicht das Gefühl vermittelt bekommen, dass sie keine Ahnung haben. Denn in diesem Fall suchen sie lieber im Internet nach Lösungen als bei der IT-Abteilung. Daher ist es wichtig, neben Verboten und klaren Regeln zugleich ein Bewusstsein zu schaffen, damit die Mitarbeiter nicht unbewusst Schaden für sich, ihren Arbeitsplatz und die Firma verursachen.

Demnach liegt es manchmal auch in der Verantwortung des Unternehmens, dass Schatten-IT entstehen kann?

Ich kenne etliche Fälle, in denen die höchste Ebene der Geschäftsleitung selbst zu Schatten-IT greift, weil sie sich von der IT nicht verstanden oder gemaßregelt fühlt. Schatten-IT ist ein Thema der zwischenmenschlichen Beziehungen und Geflechte. In den seltensten Fällen ist der Chef einer Firma zugleich IT-Experte. Wenn dieser ein Problem hat, sollte die IT ihm die Lösung hierfür verständlich erklären können. Oftmals läuft die Kommunikation aber so ab, als wären die Fragen auf deutsch und die Antworten auf französisch. Hinzu kommt, dass die beiden Seiten häufig aneinander vorbeireden. Während der ITler erklärt, warum manche Lösungen nicht funktionieren, möchte der Chef nur wissen, welche Möglichkeiten es gibt, damit er eine Entscheidung treffen kann.

Wie arbeiten Sie als Experte im Bereich der Schatten-IT, wenn Unternehmen Ihre Unterstützung zur Aufspürung selbiger anfordern?

Momentan gibt es nur wenige Lösungen auf dem Markt, die das Ganze transparent machen oder beheben. Ebenso steckt das Bewusstsein für die damit verbundenen Risiken noch in den Kinderschuhen. Wir unterstützen die Unternehmen dabei, einen gewissen Blick für Schatten-IT zu entwickeln.

Weiter machen wir auch verschiedene Tests, um in einer Grobübersicht die höchstriskanten Dienste, die die Mitarbeiter nutzen, aufzuzeigen. Dabei kann es von angenommenen 80 Diensten durchaus möglich sein, dass real über tausend verwendet werden – von denen aber die Geschäftsführung bislang keine Ahnung hatte.

Wie reagiert diese auf solche Zahlen?

Wenn die reale Zahl das Zehnfache der bisher angenommen übersteigt, sind viele Chefs erstmal schockiert. Allerdings verharren sie nicht allzu lange in dieser Schockstarre, sondern machen sich auf die Suche nach Lösungen. Wir unterstützen sie dabei, indem wir ihnen Entscheidungsmatrixen an die Hand geben und aufzeigen, was verboten werden muss und welche Risiken akzeptabel sind.

Es gehört zum Tagesgeschäft von Unternehmern, dass sie nach einem Schock die Ärmel hochkrempeln und aufräumen. Wir haben letztes Jahr einen Hersteller neu aufgenommen, der die ganzen Dienste, die es in der Cloud gibt, gesammelt und in Kategorien wie ›Datenrisiko‹ oder ›Imageverluste‹ sortiert hat. Damit lässt sich relativ gut auswerten, welche Plattformen und Dienste die Mitarbeiter benutzen, um diese entweder abzuschalten oder Lizenzen zu erwerben, sollte der Großteil der Firma bestimmte Datenaustauschplattformen nutzen. Schließlich scheint es durchaus einen Bedarf zu geben, wenn von 300 Mitarbeitern 200 den Dienst regelmäßig nutzen. Chefs, die dies bislang kategorisch abgelehnt haben, sollten in diesem Fall das Ganze nochmals überdenken und den Mitarbeitern eine saubere Lösung bieten. Das mag zwar mit Kosten verbunden sein, aber im Gegenzug dazu sind die Daten sicher.

Würden Sie demnach Schatten-IT auch als Chance sehen?

Auf jeden Fall! Nehmen beispielsweise 300 Mitarbeiter 20 verschiedene Datenaustauschplattformen in Anspruch, für die sie korrekterweise auch noch Gebühren zahlen, lässt sich unter anderem viel Geld sparen, wenn nicht von allen 20 Diensten Lizenzen erworben werden, sondern nur von den am häufigsten genutzten, während die weniger genutzten Dienste abgemeldet werden. Hinzu kommt, dass auch die Außenwirkung des Unternehmens besser ist, wenn dieses eine Einheit abbildet. Das Gleiche gilt für den Austausch der Kollegen untereinander: Wenn alle den gleichen Dienst verwenden, ist einerseits der Aufwand geringer und die Arbeit effizienter.

Schatten-IT bietet demnach viele Chancen, Unternehmen müssen diese nur ergreifen und gemeinsam mit ihren Angestellten umsetzen. Ihnen die Löffel langzuziehen, weil sie ihre eigenen Plattformen aus vermeintlichen Effizienzgründen verwenden, ist der falsche Ansatz.


Frank Müller, 43 Jahre, ist seit 2009 Gesellschafter und Vorstand der Axsos AG, einem Stuttgarter Unternehmen, das anwenderorientierte IT in den Kernbereichen IT-Sicherheit, IT-Infrastruktur und Individualentwicklung anbietet. Müller ist seit 20 Jahren in der IT-Branche tätig und hat bereits in vielen Ländern weltweit gearbeitet.

Das Interview führte Evelyn Eberl.

Schatten-IT: Versteckt und entdeckt

Schatten-IT: Versteckt und entdeckt. Foto: geralt / Quelle: Pixabay unter CC0
Schatten IT

Was ist Schatten-IT ?

Wenn Arbeitnehmer firmenfremde Hard- und Software ins Unternehmen schleusen, um effizient arbeiten zu können, spricht man von Schatten-IT. Da die IT-Abteilungen kaum davon wissen, können sie diese nur selten nutzenstiftend einsetzen. Ein Einblick. Mal angenommen: In deinem Job sitzt du täglich vorm Rechner, musst aber auf Facebook oder andere soziale Netzwerke verzichten. Skypen oder Twittern sind auch tabu – privat, aber auch beruflich. Schwer vorstellbar? Eben.

Ähnlich sehen das heute viele Arbeitnehmer und schleusen daher Anwendungen oder Geräte ins Unternehmen ein, die nicht zur offiziellen IT am Arbeitsplatz gehören. Die Hard- und Softwaresysteme, die sich auf diese Weise ohne Mitwirken der IT-Abteilung ansammeln und weiterentwickeln, bezeichnen Experten als Schatten-IT. Mindestens jeder Dritte der Berufstätigen im Alter bis 32 Jahre nutzt soziale Netzwerke sowie Instant-Messaging-Angebote für die Arbeit. Etwa jeder Zweite davon tut dies ohne das Wissen seines Arbeitgebers. Das ist das Ergebnis einer Studie des Beratungsdienstleisters Accenture aus dem Jahr 2009.

Das Phänomen der Schatten-IT ist aber noch viel älter

»Es gibt sie, seit es IT in den Unternehmen gibt, vor allem aber seit PCs im Einsatz sind«, sagt Prof. Dr. Christopher Rentrop, der an der Hochschule Konstanz eigens ein Forschungsprojekt zu dem Thema ins Leben gerufen hat. Nach seinen Beobachtungen ist die Schatten-IT trotz ihres vergleichsweise hohen Alters in der Praxis aber noch wenig beachtet: »Es gibt derzeit kaum Unternehmen, die auf diesem Gebiet große Erfahrungen haben.«

Und das, obwohl die Bedeutung inoffiziell genutzter IT am Arbeitsplatz zunimmt. Das liegt vor allem daran, dass Technologien, insbesondere webbasierte Services, auch für Laien inzwischen alltäglich geworden sind.

Entsprechend hoch sind auch die Ansprüche in Bezug auf die IT-Unterstützung im Beruf

Wer sein Smartphone mit allerlei Apps ausgestattet hat, möchte schließlich auch am Arbeitsplatz Informationen schnell und überall verfügbar haben.

»Das führt dazu, dass die Geduld mit der IT-Abteilung sinkt«, so Professor Rentrop.

Neben einzelnen Mitarbeitern greifen auch Fachabteilungen bisweilen auf externe IT-Systeme und -Anwendungen zurück, zum Beispiel in Form von ›Cloud Services‹ – Dienste, die kostenlos oder -günstig und zum Teil ohne Absprache mit der IT-Abteilung bei einem Anbieter ›angemietet‹ werden: »Solche Anwendungen bergen hohe Risiken, was die Sicherheit der Daten angeht«, sagt Stephan Dawo vom Softwareunternehmen agentes.

Auch im Bereich der sozialen Netzwerke sieht der Experte ein Datenleck:

»Wenn Mitarbeiter am firmeneigenen Intranet vorbei solche Dienste nutzen, können vertrauliche Informationen nach außen gelangen. Zudem bieten die Arbeitsplätze mehr Angriffsfläche für Malware – ganze Abteilungen können auf diese Weise an Produktivität verlieren.«

Hinzu kommt Stephan Dawo zufolge auch die fehlende Kontrolle: Je mehr Anwendungen im Unternehmen kursieren, desto weniger lässt sich durch die IT-Abteilung nachvollziehen, woher diese stammen und wer welche Rechte für sie besitzt.

Intransparenz und fehlende Datensicherheit vor externen Zugriffen sind für Unternehmen große Risiken

Davide Restivo / Quelle: Flickr.com CC BY SA 2.0
Schatten-IT: Gefahren

Der Einsatz von Schatten-IT birgt für das jeweilige Unternehmen viele Risiken. Darüber hinaus sind auch Szenarien denkbar, in denen das System ausfällt und Daten womöglich komplett verloren gehen: »Denn Schatten-IT ist meist nicht in das Notfallmanagement der unternehmenseigenen IT einbezogen«, erklärt Holger Gerlach, Geschäftsführer bei der IT-Sicherheitsberatung Schutzwerk, die als Projektpartner das Forschungsprojekt an der Hochschule Konstanz mit begleitet.

 

 

Das Unternehmen ist zudem an Pilotprojekten mit einem Großkonzern beteiligt: Im Fokus steht hierbei die Identifizierung von Schatten-IT-Systemen innerhalb komplexer Netzwerkstrukturen. Nicht zuletzt kann Schatten-IT auch auf rechtlicher Ebene Probleme bereiten. So gelten vor allem in großen Unternehmen gesetzliche und interne Verhaltensstandards, die unter den Begriff ›Compliance‹ gefasst werden. »Die Einhaltung dieser Standards kann etwa gefährdet sein, wenn steuerrechtliche Verfahren wie die Rechnungslegung durch Schatten-IT abgewickelt werden – einfachstes Beispiel hierfür sind vom Benutzer selbst entwickelte Excel-Sheets«, so Holger Gerlach. Und auch das Verwenden von Schatten-IT an sich kann schon mit unternehmensinternen Vorschriften kollidieren. Scheinbar riesig sind die Risiken – daneben bergen von außen ins Unternehmen eingeführte Systeme aber auch Chancen: So setzen sich technische Innovationen auf diesem Wege eher durch als über die IT-Abteilungen, da die jeweiligen Fachbereiche den Nutzen neuer Anwendungen für ihr operatives Geschäft direkt erkennen.

 

»Schatten-IT-Systeme sind häufig eben sehr bedarfsgerecht und flexibel«, bestätigt auch Oliver van Laak von der Unternehmensberatung Cassini – ebenfalls ein Partner des Forschungsprojekts an der Hochschule Konstanz. »Gerade wenn es um innovative Themen geht, die im bestehenden IT-Portfolio nicht abgedeckt sind, haben solche Lösungen eine Rechtfertigung.«

 

Und mit einer derart maßgeschneiderten IT geht sicher auch die Zufriedenheit der Nutzer einher. Zudem lassen sich derartige Anwendungen, die sich womöglich über Jahre etabliert haben, auch in die bestehende IT-Infrastruktur integrieren. Ältere Technologien, die ihr Dasein als Schatten-IT fristen, machen für agentes einen Großteil der Arbeit aus: Das Softwareunternehmen hat sich auf die Ablösung solcher Altanwendungen spezialisiert und berät hierzu vornehmlich Kunden aus der Finanzbranche. Dementsprechend ist für eine Tätigkeit bei agentes vor allem Entwickler-Know-how gefragt: Informatiker sollten sich bestenfalls auch mit älteren Technologien auskennen und in der Lage sein, diese auf moderne Architekturen zu übertragen.

 

Darüber hinaus könnten nach Angaben von Stephan Dawo auch große IT-Dienstleister im Banken- und Versicherungsumfeld Beschäftigungsmöglichkeiten im Bereich Schatten-IT bieten. Weitere Arbeitgeber könnten Konzerne sein, die etwa für die Einhaltung besagter Compliance-Richtlinien IT-Experten hinzuziehen. So viel zur Theorie. Aktuell aber ist das Interesse der Unternehmen an Schatten-IT und an entsprechenden Tätigkeitsfeldern für Informatiker nach Angaben von Prof. Dr. Christopher Rentrop noch sehr gering ausgeprägt. Auch die Frage, wie mit Schatten-IT umgegangen werden sollte, ist für die Praxis noch zu klären:

 

»Ziel in den Unternehmen muss es sein, nicht die Schatten-IT abzuschaffen – was vermutlich ohnehin nicht funktioniert –, sondern sie zu einer offiziellen benutzergetriebenen IT weiterzuentwickeln. Damit können die Chancen genutzt und die Risiken reduziert werden«, so Rentrop.

 

Ein Aufgabengebiet für Informatiker könne es demnach im ersten Schritt sein, Schatten-IT zu identifizieren und zu bewerten

In einem zweiten Schritt gehe es um die Zusammenarbeit zwischen IT und dem operativen Bereich: Hier gilt es, so Rentrop, darauf zu achten, dass die Benutzer bei der Entwicklung ihrer Systeme unterstützt und dass die offiziellen Systeme entsprechend angepasst werden. Innerhalb von Unternehmen könnten sich in Zukunft Beschäftigungsmöglichkeiten in den IT-Abteilungen selbst oder in den Bereichen ergeben, die für das Geschäftsprozessmanagement zuständig sind. Für eine Tätigkeit im Bereich Schatten-IT sollten Informatiker vor allem analytische und kommunikative Fähigkeiten mitbringen. Um Aufgaben wie die technische oder organisatorische Identifikation von Schatten-IT oder die Migration der jeweiligen Systeme zu übernehmen, sind entsprechende fachliche Kompetenzen wichtig.

 

Hierfür vermittelt beispielsweise die Hochschule Konstanz im Rahmen ihrer Masterstudiengänge Informatik und Business Information Technology das nötige Rüstzeug.

 

Schatten-IT-Forschung

 

Das Forschungsprojekt von Prof. Dr. Christopher Rentrop an der Fakultät Informatik der Hochschule Konstanz befasst sich mit dem Phänomen der Schatten-IT und den Risiken und Chancen für Unternehmen. Hierbei sollen praxistaugliche Methoden zur Erhebung, Bewertung und zum strategischen Umgang erarbeitet werden. Nach ersten Beobachtungen des Forschungsteams ist Schatten-IT in Unternehmen zwar alltäglich, aber noch wenig beachtet. Der Arbeitsmarkt für Informatiker ist dementsprechend noch im Aufbau. 

www.schattenit.in.htwg-konstanz.de  

Ausbildung im Bereich Informatik:

Freie Stellen für Informatiker: