Sie sind praktisch, erleichtern den Arbeitsalltag und sind unkompliziert beziehbar: Software-Tools aus der Cloud. Aber sie bergen auch Risikofaktoren, derer sich die meisten Mitarbeiter gar nicht bewusst sind. Torsten Boch, Senior Product Manager bei Matrix42, warnt Mitarbeiter vor den Konsequenzen der Gefahren, die mit der Nutzung von SaaS- (Software-as-a-Service) und Webanwendungen einhergehen. IT-Leiter können die 5 Risiken auch als Argumentationshilfe gegenüber Anwendern nutzen.
Bis 2017, so prognostiziert Gartner, werden in 75 Prozent der Organisationen SaaS-Anwendungen ohne Genehmigung und Kontrolle durch das Unternehmen genutzt werden. Aus Mitarbeitersicht durchaus verständlich, kann man sich die praktischen Softwarehelferlein doch einfach und schnell im Web besorgen, ohne den zumeist als komplizierter angesehenen Weg über die IT gehen zu müssen. Mitarbeiter, die eigenständig und an der IT vorbei Softwareprodukte aus der Cloud beziehen, gehen aber eine Reihe von Risiken ein. Die wichtigsten sind:
1. Der Initial-Käufer der Software ist auch deren Verwalter
Angenommen, ein Abteilungsleiter bezieht eine Cloud-Software, die er mit seinem Team nutzen will. Da er derjenige ist, der das Tool verwaltet, muss er auch für jeden Anwender ein Konto anlegen und natürlich den Account löschen, wenn ein Mitarbeiter zum Beispiel das Unternehmen verlässt. Sitzen die Anwender der Software in mehreren Abteilungen, ist das Ausscheiden eines Nutzers oft gar nicht bekannt. Dieser Nutzer, zum Beispiel ein Vertriebsmitarbeiter, wechselt dann mit vollem Zugriff auf die Software und die darin hinterlegten Daten vielleicht zu einem Konkurrenzunternehmen.
2. Die IT kann keinen Support leisten
Da der Softwarekauf an der IT vorbei vorgenommen wurde, ist dem Service Desk das Produkt gar nicht bekannt und er kann dementsprechend auch keine Hilfe anbieten. Klassisches Beispiel: Ein Mitarbeiter hat sein Passwort vergessen und kann sich nicht mehr einloggen. Die IT hat keinerlei Zugriff auf die Software und kann somit auch nicht helfen.
3. Hohes Risiko durch unzureichenden Datenschutz
Welcher Mitarbeiter prüft vor dem Kauf eines Cloud-Produkts, wo die unternehmenseigenen Daten liegen werden und ob dem Datenschutz ausreichend genüge getan wird? Welcher dieser Mitarbeiter liest die in Juristen-Sprache verfassten, langen Geschäftsbedingungen überhaupt im Detail durch, bevor er das Häkchen für sein Einverständnis darunter setzt? Es verwundert nicht, wenn dann Kunden- und interne Daten in Bereichen abgespeichert sind, die als definitiv nicht sicher eingestuft werden können.
4. Account-Sharing kann sehr teuer werden
Die Tools erleichtern wirklich den Alltag, also lässt man auch Kollegen davon profitieren und „leiht“ seine Zugangsdaten anderen Mitarbeitern. Im Endeffekt arbeiten mit einem Single-Account mehrere Nutzer. Den Herstellern dieser Softwareprodukte bleibt das nicht verborgen. Sie haben einen genauen Überblick darüber, wie die Anwendung genutzt wird und sehen, wenn über ein und denselben Account an verschiedenen Orten über verschiedene Geräte zeitgleich zugegriffen wird. Die Folge: Der betroffene Hersteller fordert das Unternehmen zur vertragskonformen Nutzung auf. Das bedeutet: Lizenzen für alle Nutzer müssen nachgekauft werden. Die Anwendung, für die ursprünglich ein Jahresbudget von 120.000 Euro für 100 Nutzer eingeplant wurde, kostet das Unternehmen plötzlich ein Vielfaches. Bei einem Audit möglicherweise sogar rückwirkend ab Vertragsabschluss!
5. Kostenkontrolle ist nicht möglich
Die von der Fachabteilung bezogene Anwendung lebt im Schatten der IT und wird daher auch nicht aktiv verwaltet. Zumeist fehlt die Information, wer sie tatsächlich nutzt und wer nur einen Account hat, für den Kosten anfallen, diesen aber nicht nutzt. Unter Umständen werden über einen langen Zeitraum Lizenzen unnötigerweise bezahlt.
Mitarbeitern sei aus all diesen Gründen große Vorsicht im Umgang mit Cloud-Software und vor allem die Einbeziehung der IT empfohlen. Unternehmen sollten sich erstens des Problems bewusst sein, zweitens eine nutzerfreundliche Lösung finden und drittens klare Regeln für SaaS-Apps definieren. Das gesamte Dilemma vermeiden können Verantwortliche durch die Einführung eines Workspace Management Tools wie etwa MyWorkspace von Matrix42, mit dem alle Mitarbeiter eine persönliche Cloud mit all ihren Anwendungen bekommen – aber eine von der IT kontrollierte. Gibt es dazu eine klare Corporate Governance und wird Zuwiderhandeln sanktioniert, dann bleibt es Mitarbeitern und Unternehmen erspart, in die Cloud-Falle zu tappen.
Über den Autor: Torsten Boch ist seit 2006 Produktmanager bei Matrix42 im Bereich „Compliance“ mit den Schwerpunkten License, Asset und Contract Management. Davor war er 15 Jahre als Entwickler, Berater und Projektleiter bei verschiedenen Unternehmen für die Gestaltung und den Einsatz von Standardsoftware verantwortlich. Er ist Diplom Betriebswirt mitSpezialisierung auf Steuer- und Handelsrecht sowie Bilanzierung und Buchführung.
Sehr geehrter Herr Boch,
vielen Dank für Ihren ausführlichen und sehr fundierten Kommentar über die möglichen Risiken bei der Anwendung von Cloud-Systemen im Unternehmen seitens der Mitarbeiter ohne Absprache mit Verantwortlichen oder mit der IT.
Ich hätte die Reihenfolge der Argumentationspunkte vermutlich anders gewählt, jedoch nur weil ich der Meinung bin, dass der wichtigste Punkt am Ende erwähnt werden sollte. Meines Erachtens ist es der Punkt 3: unzureichender Datenschutz!
Es ist nicht zu verachten, wie „teuer“ die Anwendung von solchen Softwares werden kann. Wie Sie richtig beschrieben haben, können durch Mehrfachnutzung des Cloudprogramms schnell die Kosten in die Höhe schnellen und keiner bekommt das so wirklich mit. So ist auch keine Kontrolle gegeben, wie sich mögliche Kosten entwickeln. Was aber kann man dagegen machen? Ich bin der Auffassung, dass der Schlüssel zum Erfolg in der Kommunikation liegt. Und zwar fundierte Kommunikation, beim Gespräch mit den Mitarbeitern sollten die Aussagen plausibel sein und die möglichen Risiken klar erleutert werden. Mittels der hier veröffentlichten Argumentationspunkte kann so ein Gespräch sehr effektiv und wirkungsvoll sein. In welcher Form sollte das Gespräch verlaufen? Hier ein paar MÖglichkeiten:
– Meeting (im Team)
– Einzelgespräche (kann jedoch den Druck auf den Mitarbeiter erhöhen, sodass sich beim Mitarbeiter Unwohlsein breit macht)
– Workshops
– Informationstage zum Thema Sicherheit allgemein mit Vertiefung in SaaS
Denn Sicherheit ist ein ungemein wichtiges Thema. Täglich werden tausende von sehr geheimen Informationen „geklaut“ und verbreitet. Da sollte man in dieser Hinsicht als Unternehmen gut aufgestellt sein und sich vor möglichen Angriffen schützen. Ich kann das nur bestätigen, denn ich wurde selber schon mal Opfer eines Cyber Angriffes. Auch wenn keine wichtigen Daten entwendet wurden, so bleibt ein komisches Gefühlt. Daher rate ich jeder Privatperson und jedem Unternehmen sich dahingehend ausreichend zu schützen. Vor allem hinsichtlich Darknet und P2P-Netzwerken empfiehlt es sich professionelle Hilfe zur Rate zu ziehen. Die Firma Riskworkers kann in solchen Bereichen sehr hilfreich sein.
Vielen Dank für den informativen Kommentar!
Mit freundlichen Grüßen
Bernd