IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Der Einsatz nicht genehmigter Hardware und Software, nicht vorgesehene IT-Betriebsabläufe und ähnliche „Nachlässigkeiten“ – im Fachjargon „Schatten-IT“ genannt – gefährden die Sicherheit in der deutschen Wirtschaft in erheblichem Maße. Diese Schlussfolgerung ergibt sich aus dem aktuellen eco Sicherheitsreport 2016, der auf der Umfrage unter 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland basiert. „Es gibt in jedem größerem Unternehmen in den Fachabteilungen vermutlich mehr nicht genehmigte und nirgendwo dokumentierte Software und genutzte Cloud Services, als sich die IT-Abteilungen in ihren kühnsten Albträumen vorstellen“, mutmaßt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.
Über drei Viertel der von eco für den Report befragten Experten gehen davon aus, dass Schatten-IT in ihrem Unternehmen genutzt wird. Ein knappes Viertel vermutet sogar, dass die Nutzung von Schatten-IT in erheblichem Umfang stattfindet. Lediglich 16 Prozent sind überzeugt, dass in ihrem Betrieb keine Schatten-IT existiert.
„Durch Cloud-Dienste werden Fachabteilungen heutzutage in die Lage versetzt, ganze Funktionsfelder auszugliedern, ohne ihre firmeneigene IT-Abteilung überhaupt informieren zu müssen“, sagt Oliver Dehning: „Das mag für die Performance in der jeweiligen Fachabteilung durchaus zuträglich sein, aber für die IT-Sicherheit bedeutet es unkalkulierbare Risiken.“
Quelle: eco
Aufklärung der Mitarbeiter ist entscheidend
Zur Abhilfe empfiehlt der eco Verband den Unternehmen die Bereitstellung geeigneter Lösungen für die Fachbereiche durch die Zentral-IT, die tatsächliche Kontrolle der IT-Nutzung und die Sensibilisierung der Mitarbeiter in Bezug auf die Gefahren der Schatten-IT. Dazu Dehning: „Zur Schatten-IT kommt es in der Regel, wenn ein Bedarf auf Fachbereichsebene besteht, den die IT nicht adäquat bedient. Die Deckung dieses Bedarfs durch akzeptable Lösungen sollte also eine hohe Priorität besitzen.“
Zudem empfiehlt der Kompetenzgruppenleiter eine strikte Kontrolle; so lässt sich etwa bei der Revision eingesetzter Endgeräte feststellen, welche Anwendungen installiert sind. Außerdem sollte geprüft werden, ob es IT-Ausgaben gibt, von denen die IT-Abteilung nichts weiß. „Eine Schlüsselrolle spielt auch die Aufklärung der Mitarbeiter, die Aufstellung und Vermittlung von Regeln für die akzeptable Nutzung und die Information über die Vorteile alternativer Lösungen“, stellt Dehning klar.
Interessante Umfrage.
Soweit ich das sehe ist die Schatten-IT mittlerweile ein „fester Bestandteil“ der IT geworden.
Immer wieder kommen interne Supportanfragen für Software und Cloudsysteme rein, die wir offiziell nicht nutzen.
Leider ist es mit einer einfachen Aufklärung der Mitarbeiter nicht getan. Die meisten bei uns kennen die Richtlinien. Ignorieren sie aber einfach.
Und die Aussage „Zur Schatten-IT kommt es in der Regel, wenn ein Bedarf auf Fachbereichsebene besteht, den die IT nicht adäquat bedient. Die Deckung dieses Bedarfs durch akzeptable Lösungen sollte also eine hohe Priorität besitzen.“ ist lecherlich!
Dank den Sicherheitsvorgaben darf ich weder WLan noch Cloud Speicher anbieten. Den Mitarbeitern ist das aber egal, sie nutzen einfach Dropbox, Google Drive, … und Mobilfunk. Hin und wieder muss ich sogar einen Accesspoint aus unserem Netz fischen, den da „niemand“ angeschlossen hat.
Und das beste daran, die Leitende Abteilung weist mich immer wieder darauf hin derartiges zu unterbinden. Nutzt aber selber Skype, weil die VK Anlage nicht kompfortabel genug ist.