Schatten-IT: Das Risiko aus der zweiten Reihe

In den IT-Abteilungen der Unternehmen wird jeden Tag intensiv daran gearbeitet, die IT-Landschaft bestmöglich zu schützen. Insbesondere gegen Angriffe von außen gilt es, sich zu verteidigen. Doch manchmal sitzt der „Feind" in den eigenen Reihen und zwar in Form von Mitarbeitern, die ihr „eigenes IT-Süppchen kochen“. Hier lädt ein Mitarbeiter schnell ein Programm runter, dort nutzt ein anderer seine privaten Geräte oder öffentliche Clouds zum Datenaustausch. In einem Unternehmen zählen bis zu fünfzig Prozent der IT-Landschaft zur Schatten-IT. Darunter versteht man Geräte oder Anwendungen, die ohne Kenntnis der IT-Abteilung benutzt werden. Auch wenn die Nutzer es meistens nicht böse meinen, sind die Risiken dieses unbedarften Handelns nicht zu unterschätzen.

Fehlende Verschlüsselung, die Verbindung mit infizierten Netzwerken, die Ansteuerung kompromittierender Websites oder der versehentliche Zugang von Phishing-Anhängen zum eigenen IT-System können die Folgen sein.

Auch aus Compliance-Sicht stellt der IT-Wildwuchs ein Risiko dar. Wer zum Beispiel Daten über nicht offiziell genehmigte Anbieter hochlädt, weiß nicht, wo sie letztendlich gespeichert werden oder in welchem Rechtsgebiet sie landen.

Lückenlose Erfassung - langfristige Sicherheit


Ein paar Grundregeln helfen, die Schatten-IT möglichst gering zu halten:
  • Informieren Sie die Mitarbeiter über die Risiken einer Schatten-IT (Hard- und Software) und sensibilisieren Sie sie für das Thema.
  • Bieten Sie Hilfe an, wenn die Mitarbeiter besondere Lösungen über die allgemeine Unternehmens-IT hinaus suchen und verhindern Sie so, dass die Mitarbeiter eigene Alternativen suchen.
  • Erschweren Sie die Up-/Download-Möglichkeiten auf Firmen-Rechnern oder das Ausführen von .exe-Dateien.
  • Erfassen sie regelmäßig die gesamte IT-Infrastruktur und dokumentieren sie den Einsatz. Berücksichtigen Sie dabei nicht nur feste Arbeitsplatzrechner, sondern auch mobile Geräte des Außendienstes oder in den Home Offices. Oft haben Mitarbeiter zudem noch ältere Geräte zu Hause oder benutzen offiziell ausgemusterte Geräte.
  • Achten Sie auf sorgfältiges Monitoring aller Komponenten. Nur so können Sie Unregelmäßigkeiten frühzeitig erkennen.
  • Lagern Sie Routine-Aufgaben wie zum Beispiel Daten-Backups an einen Dienstleister aus.