In der heutigen digitalen Welt bieten immer mehr Software-Hersteller ihre Anwendungen als SaaS-Lösung in einem Abo-Modell an (z. B. M365, Dropbox). Viele Unternehmen setzen aufgrund verschiedener Vorteile vermehrt auf diese Software-as-a-Service (SaaS)-Lösungen, um ihre Geschäftsprozesse zu optimieren. Doch diese Entwicklung bringt auch Herausforderungen mit sich, insbesondere durch die Gefahren in der Schatten-IT.
Als Schatten-IT wird die Nutzung von IT-Systemen bezeichnet, die außerhalb der offiziellen Genehmigung oder Kontrolle der IT-Abteilung eines Unternehmens betrieben werden. Dies umfasst sowohl Hardware als auch Software, die von Mitarbeitenden eigenständig eingeführt und genutzt wird, ohne dass die IT-Abteilung davon in Kenntnis gesetzt wird. Dabei gehen diese Gefahren von Schatten-IT aus:
- Cybersicherheitsrisiken: Administratoren haben keine Kontrolle über Schatten-IT-Anwendungen oder wissen oftmals nichts über die eingesetzten Lösungen. Somit können Sicherheitslücken in diesen Anwendungen ausgenutzt werden, da diese nicht zentral verwaltet oder überwacht werden, was das Risiko von Cyberangriffen und Schadsoftware erhöht.
- Verstöße gegen Gesetze: Der Einsatz nicht genehmigter Software kann zu Verstößen gegen Datenschutzbestimmungen wie die DSGVO sowie der neueingeführten EU-KI-VO führen (siehe Die neue EU KI-Verordnung – Auswirkungen auf Schweizer Unternehmen (bithawk.ch)).
- Kosten: Es kann zu doppelten Lizenzkosten für Unternehmen kommen, wenn Mitarbeitende eigenständig Softwarelizenzen über den Bestellprozess erwerben, ohne die zentrale IT-Abteilung einzubeziehen. So können verschiedene Lösungen für dieselben Tätigkeiten im Einsatz sein (z. B. Planner, Jira, Asana, Project). Zudem können Mengenrabatte durch eine gebündelte Lizenzierung nicht genutzt werden.
- Unautorisierte Zugriffe: SaaS-Cloudlösungen bieten oft auch kostenfreie Abonnements an, um ein schnelles Testen der Anwendung zu ermöglichen. Bei diesen kostenfreien Plänen wird nur der rudimentäre Zugriff auf die Lösung sowie deren Funktionen bereitgestellt. Oftmals stehen Funktionen für einen geschützten Zugriff (z. B. SSO) erst bei höherpreisigen Abonnements zur Verfügung, welche allerdings oft von den Mitarbeitenden nicht ausgewählt werden.
Es gibt verschiedene Gründe, wieso Mitarbeitende auf Anwendungen zurückgreifen, die nicht von der zentralen IT bereitgestellt werden:
- Mangelnde Verfügbarkeit von IT-Ressourcen: Mitarbeitende greifen auf Schatten-IT zurück, wenn die offiziellen IT-Ressourcen nicht ihren Anforderungen entsprechen oder nicht rechtzeitig zur Verfügung stehen.
- Unzureichende Kenntnis der IT-Richtlinien: Mitarbeitende sind sich möglicherweise nicht bewusst, dass die von ihnen genutzten Anwendungen oder Geräte nicht den Unternehmensrichtlinien entsprechen. Zudem verstehen sie die Hintergründe der IT-Richtlinien nicht und können die potenziellen Schäden nicht abschätzen.
- Komplexität der offiziellen IT-Prozesse: Komplizierte Genehmigungsverfahren und langwierige Prozesse können Mitarbeitende dazu veranlassen, nach einfacheren Lösungen außerhalb der offiziellen Kanäle zu suchen.
- Streben nach Effizienz und Flexibilität: Mitarbeitende möchten ihre Arbeit effizient und flexibel gestalten weshalb sie Lösungen nutzen, die ihnen dies ermöglichen.
- Unzufriedenheit mit bestehenden Tools: Mitarbeitende greifen öfter auf andere Lösungen zurück, die sie bereits kennen. Dies können Anwendungen aus Schulungen oder dem Studium sein. So fühlen sie sich sicherer in der Anwendung, mit der sie bereits gearbeitet haben. (Z. B. Miro, Figma)
- Fehlende Flexibilität: Langsame Entscheidungsprozesse bei der Einführung neuer Software oder auch nicht nachvollziehbare Ablehnungen der eingereichten Idee können dazu führen, dass Mitarbeitende eigenständig handeln und weiterhin die nicht-genehmigte Anwendung nutzen.
- Mangelnde Kommunikation: Eine schlechte oder fehlende Kommunikation zwischen IT-Abteilung und anderen Abteilungen kann die Einführung von Schatten-IT begünstigen.
Zusammenfassend lässt sich festhalten, dass Mitarbeitende ihre Arbeit nachgehen wollen, jedoch aus unterschiedlichen Gründen dies nicht immer können. Weshalb sich die Mehrwerte von SaaS-Lösungen in den Fachbereichen schnell rumsprechen. Daraus ergibt sich oft der Wunsch, die Dateien/Funktionen abteilungsübergreifend einsetzen zu können. Erst wenn dieser Wunsch an die interne IT herangetragen wird, wird bekannt dass eine solche Lösung seit längerer Zeit im Schatten eingesetzt wird.
Insbesondere durch die stark gestiegene Anzahl von SaaS-Lösungen in den vergangenen Jahren steigt die Wahrscheinlichkeit von Schatten-IT in Unternehmen. IT-Verantwortliche und Führungskräfte sollten sich bewusst sein, dass ein gewisser Anteil an Schatten-IT in ihren Organisationen einfach existiert. Dies sollte auch in Grenzen toleriert werden, da es die Agilität und Innovationskraft des Unternehmens erhöht. Die Nutzung sollte sich jedoch im Rahmen halten und es sollte nicht als Kompensation für einen schlechten IT-Service dienen.
Was IT-Verantwortliche unternehmen können, um Licht ins Dunkeln der Schatten-IT zu bringen:
- Erfassung der Anforderungen und Bedürfnisse der Fachbereiche
- Ideenmanagement etablieren, um neue Anforderungen strukturiert erfassen und bewerten zu können
- Aufbereitung des Service- und Anwendungsportfolios
- Monitoring des Webzugriffs auf nicht-freigegebene SaaS-Lösungen
- Aufklärung der Mitarbeitenden über das Anwendungsportfolio und die Gefahren durch Schatten-IT
- Reaktanz von Benutzern vermeiden und von einer pauschalen Deaktivierung absehen
Schatten-IT stellt ein Risiko aber auch eine Chance für Unternehmen dar. Durch die angeführten Massnahmen kann das Risiko von potenziellen Sicherheitslücken reduziert werden. IT-Verantwortliche sollten die Chance nutzen, um ihre IT-Services näher an die Anforderungen der Fachbereiche auszurichten und aktiv die Ideen der Mitarbeitenden zu prüfen sowie nachvollziehbares Feedback zu geben.
Denn: IT ist kein Selbstzweck.
Wenn du wissen willst, welche Cloud-Plattformen bei dir im Einsatz sind, frage bei uns nach dem Schatten-IT Assessment und bringe auch in deine Infrastruktur Licht ins Dunkel. Wir möchten dich bei diesem Thema weiter unterstützen, da wir dies als einen der zentralen Hebel für eine zukunftsbeständige IT sehen. Daher teile uns mit, welche Themen dich interessieren, damit wir dir über unseren Blog weitere Inhalte bereitstellen können.
*Ergebnisse werden anonymisiert gespeichert
Interessiert Sie dieses Thema im Detail? Dann zögern Sie nicht und kontaktieren Sie uns unter marketing@bithawk.ch oder 058 226 01 01. Gerne nehmen wir uns die Zeit, um Ihre individuellen Anliegen oder Fragen dazu zu besprechen.
Weitere Themen auf unserem Blog