Setzen Mitarbeiter Software ohne Wissen der IT-Abteilung ein, entsteht eine Schatten-IT. Warum dieses Vorgehen eine akute Gefahr birgt und welche Maßnahmen Unternehmen dagegen idealerweise ergreifen, erklärt der IT-Dienstleister Avision.
Im digitalen Geschäftsalltag sind Unternehmen auf eine ganze Reihe verschiedener Applikationen und Technologien angewiesen. Um Daten- und Sicherheitsproblemen vorzubeugen, führen IT-Abteilungen offizielle Listen der verwendeten Software, halten sie stets auf dem aktuellen Stand und entwickeln sie weiter.
Neben diesen offiziellen Applikationen verbergen sich in vielen Unternehmen allerdings oft unzählige weitere Programme, die Mitarbeiter ohne Wissen der IT-Abteilungen zwar sorglos, aber meistens ohne böswillige Absicht verwenden. Der IT-Dienstleister Avision erklärt, was diese Schatten-IT ausmacht, zu welchen Problemen sie führt und wie Unternehmen ihr entgegensteuern.
1. Die Definition
Schatten-IT besteht als Parallelwelt neben den offiziell geführten Anwendungen und kann dennoch die gleiche Bedeutung erlangen. Die vielen kleinen Tools, Open-Source-Produkte oder Schnittstellen zu offiziellen Anwendungen sind in der Schattenwelt allerdings nicht dokumentiert und auch kein Teil des Monitorings.
2. Das Problem
Inoffizielle Software führt zu Sicherheitsschwachstellen, etwa dann, wenn undokumentierte Schnittstellen den unerlaubten Zugriff auf sensible Daten erlauben. Die Angriffe auf allfällige Sicherheitslücken zeigen, dass Unternehmen sich nicht vertrauensvoll auf Anwendungen von außerhalb verlassen dürfen. Hier kommt es schnell zu Kontrollverlust und ungewolltem Legacy Code. Beides sollten IT-Abteilungen nach Möglichkeit vermeiden.
3. Die Ursachen
Komplizierte Prozesse und zu knapp kalkulierte Budgets begünstigen die Entstehung einer Schatten-IT. Auch Misstrauen zwischen Fachabteilung und IT kann dazu führen, dass Mitarbeiter auf eigene Applikationen setzen.
4. Die Gegenmaßnahmen
IT-Abteilungen können durch entsprechende Voreinstellungen die Installation neuer Software durch Mitarbeiter unterbinden. Gleichzeitig sollten Systeme und Projekte auf bereits bestehende Schatten-IT überprüft werden. Der erste Schritt besteht in einer Bestandsaufnahme. Legacy Code und inoffiziell eingesetzte Anwendungen sind weiter verbreitet, als es sich viele IT-Abteilungen eingestehen wollen. Auch die Unternehmensstruktur sollte hinterfragt werden. Mit einem betrieblichen Vorschlagswesen für neue Lösungen können die Verantwortlichen Schatten-IT vorbeugen. Bei inoffiziellen Tools sollten Unternehmen prüfen, warum eine bestimmte Software genutzt wird, und ob deren Funktionen auf der Liste der offiziellen Anwendungen fehlen.
„Es ist durchaus legitim, dass Mitarbeiter selbstständig entscheiden, welche Applikationen sie zum Arbeiten benötigen“, erläutert Nadine Riederer, CEO bei dem auf Software Revival spezialisierten IT-Dienstleister Avision. „Unverzichtbar ist dabei aber die Kommunikation mit den entsprechenden Stellen. Nur auf diesem Weg lässt sich klären, ob eine Software für das Unternehmen sinnvoll ist und ob sie in die offizielle Liste aufgenommen wird. Gespräche mit der IT-Abteilung verhindern Schatten-IT.“ Jürgen Frisch