Was ist Schatten-IT und welches Risiko birgt sie?

Wenn Mitarbeiter Hardware oder Software verwenden, ohne dass die IT-Abteilung davon weiß oder sie genehmigt hat, wird das als Schatten-IT bezeichnet.

Das kann von einzelnen Tools oder Diensten bis hin zu ganzen Infrastrukturen reichen, die parallel zur offiziellen IT-Umgebung in einer Organisation genutzt werden. Oft entsteht Schatten-IT, weil Mitarbeiter Tools suchen, die ihre Arbeit effizienter machen, da die offiziellen Plattformen und Systeme als unzureichend oder zu kompliziert wahrgenommen werden.

Für Unternehmen entstehen durch Schatten-IT mehrere Risiken:

1. Sicherheitsrisiko: Durch den Zugriff auf Unternehmensdaten durch nicht genehmigte Geräte, Tools oder Dienste ist die Datenintegrität in Gefahr.
2. Compliance-Risiko: Durch die fehlende Dokumentation, den potenziell unkontrollierten Abfluss von Kunden- oder anderen sensiblen Geschäftsdaten, oder den Einsatz nicht Datenschutzkonformer Tools oder IT-Services kann die Compliance nicht mehr gewährleistet werden. 
3. Kontrollverlust: Unternehmen verlieren den Überblick und die Kontrolle über ihre Daten, möglicherweise ohne es zu wissen.
4. Datenverlust: Unternehmensdaten können potenziell (unwissentlich) verloren gehen oder gestohlen werden.
5. Bildung von Datensilos: Verschiedene Geräte und Plattformen werden für dieselben Aufgaben verwendet, was zu einer Fragmentierung der Daten führt und sie schlimmstenfalls für das Unternehmen unzugänglich macht.

Um den Begriff etwas greifbarer zu machen, geben wir Ihnen ein paar praktische Beispiele einer Schatten-IT:

• Geschäftliche Nutzung privater Geräte wie Laptops, Smartphones oder externe Datenspeicher.
• Geschäftliche Nutzung privater E-Mail-Konten oder nicht genehmigte E-Mail-Clients (z.B. Outlook, Thunderbird).
• Nicht genehmigte Notiz- oder Projektmanagement-Tools (z.B. Notion, Trello).
• Nicht genehmigte Messenger-Apps (z.B. WhatsApp).
• Nicht genehmigte Dienste wie Cloud-Speicher, Dokumentenmanagement- oder Dateifreigabe-Tools.
• uvm.

Warum entsteht Schatten-IT?

Schatten-IT entsteht immer dann, wenn Mitarbeiter entweder zu große Nachteile in der Verwendung der offiziellen Software, oder gewisse Vorteile durch die Nutzung nicht genehmigter Software sehen. Die Gründe können dabei sehr unterschiedlich sein:

• Mitarbeiter sind sich der Sicherheits- und Datenschutzrisiken der Schatten-IT nicht bewusst und bewerten den Nutzen größer als das damit verbundene Risiko.
• Die bestehende, offizielle Unternehmenssoftware deckt die Bedürfnisse der Mitarbeiter nicht (vollständig) ab.
• Vorhandene Plattformen und Tools sind zu kompliziert, langsam oder umständlich in der Bedienung und kosten unverhältnismäßig viel Zeit.
• Mitarbeiter fühlen sich zu stark eingeschränkt oder überwacht und weichen daher auf andere, private Optionen aus.
• Mitarbeiter nutzen eigene Geräte und Dienste, um unbemerkt privaten oder unerlaubten Tätigkeiten nachzugehen. Hier liegt das Problem an einer ganz anderen Stelle.

Wie können sich Unternehmen vor den Risiken schützen?

• Nutzen Sie in Ihrer Organisation Sicherheitsvorkehrungen ein wie Zugriffskontrollen und Mechanismen zur Data Loss Prevention (DLP).
• Richten Sie ein VPN für Ihre Organisation ein und setzen Sie dessen Nutzung voraus, um auf die IT-Infrastruktur zuzugreifen.
• Gehen Sie auf die Anforderungen, Bedürfnisse und Wünsche der Mitarbeiter bezüglich bestimmter Funktionen und Tools ein.
• Setzen Sie intuitive und benutzerfreundliche Plattformen und Tools ein (Stichwort: Citizen Developer), um nicht auf dem Papier eine adäquate Lösung zu haben, die in der Praxis jedoch gemieden wird.
• Sensibilisieren Sie Ihre Mitarbeiter bezüglich der Risiken einer Schatten-IT mithilfe von Schulungen und Trainings.
• Sensibilisieren Sie neue Mitarbeiter zu diesem Thema bereits im Onboarding-Prozess.

Was können Sie tun, um die Bildung einer Schatten-IT zu verhindern?

Verschaffen Sie sich einen Überblick über die aktuelle Situation

Zuerst sollten Sie sich einen Überblick über die aktuelle Situation der IT-Landschaft und mögliche Ineffizienzen oder Funktionslücken verschaffen.

• Welche Anwendungen und Dienste werden im Unternehmen offiziell verwendet?
• Welche Funktionen überschneiden sich?
• Welche Anwendungen und Dienste der bestehenden Software-Suite werden häufig verwendet und welche nicht?
• Sind bestimmte Funktionen bekannt, für die Mitarbeiter Eigenlösungen einsetzen und welche sind das?
• Werden im Unternehmen Softwarelösungen eingesetzt, die als ineffizient bzw. aus anderen Gründen als ungeeignet oder überholt angesehen werden?
• Wie riskant ist der Einsatz bekannter Schatten-IT-Lösungen im Unternehmen in Bezug auf Datensicherheit und Compliance?

Prüfen Sie, ob die eingesetzte Unternehmenssoftware alle Anforderungen erfüllt

• Deckt die vorhandene IT-Infrastruktur alle geschäftlichen Anforderungen ab?
• Sind die aktuellen Lösungen benutzerfreundlich, effizient und auf die Arbeitsprozesse der Mitarbeiter abgestimmt?
• Gibt es bereits konkretes Mitarbeiterfeedback zur Funktionalität und Effizienz der eingesetzten Software?
• Welche Software kann weiter genutzt werden?
• Welche Anwendungen und Dienste sollten ersetzt werden?
• Welche Alternativen können den Mitarbeitern angeboten werden?
• Gibt es einen Prozess, um neue Softwareanforderungen systematisch zu erfassen und zu bewerten?

Ergreifen Sie geeignete Maßnahmen

• Etablieren Sie eindeutige Richtlinien für die IT-Governance und richten Sie einen unkomplizierten Genehmigungsprozess für neue Tools und Anwendungen ein.
• Stellen Sie Möglichkeiten bereit, über die Mitarbeiter der IT-Abteilung ihre Anforderungen, Feedback und Wünsche mitteilen können.
• Sensibilisieren Sie Ihre Mitarbeiter mit Schulungen und Trainings über die Risiken der Schatten-IT und bieten Sie Support für den Umgang mit der eingesetzten Unternehmenssoftware an.
• Gleichen Sie Ihren Software-Stack regelmäßig mit den Geschäftsanforderungen und Bedürfnissen der Mitarbeiter ab und etablieren Sie eine agile IT-Strategie, um flexibel auf Änderungen des Anforderungsprofils reagieren zu können.
• Fördern Sie eine offene Feedback-Kultur und einen offenen Dialog über IT-Bedürfnisse und -Herausforderungen der Mitarbeiter.
• Arbeiten Sie im Hinblick auf neue Softwarelösungen eng mit den jeweiligen Fachabteilungen zusammen, da diese die Anforderungen am besten verstehen.

Wie No-Code-Plattformen dabei helfen, die Bildung einer Schatten-IT zu verhindern

Es gibt immer IT-affine Mitarbeiter, die auch mit komplizierter Software umgehen können, doch sie sollten niemals die Messlatte sein. Je steiler die Lernkurve eingesetzter Softwarelösungen in einem Unternehmen desto eher werden Mitarbeiter auf eigene Lösungen zurückgreifen.

Die Erfahrung zeigt, dass unautorisierte Parallel-Lösungen der Schatten-IT im Unternehmen schnell ein reges Eigenleben führen. Spätestens nach dem Ausscheiden des jeweiligen Mitarbeiters oder der Mitarbeiterin kann weder den Transparenz- und Sicherheitsanforderungen entsprochen, noch in irgendeiner Weise nachvollzogen werden, welche Daten betroffen sind und welche ungenehmigten Eigenlösungen eingesetzt wurden.

Eine effektive Lösung, die Bildung einer Schatten-IT zu verhindern, ist der Einsatz benutzerfreundlicher No-Code-Plattformen wie Lobster_data, die eine breite Palette an Funktionen abdecken und die Einstiegshürde so niedrig wie möglich halten, da sie keine tiefgreifenden technischen Kenntnisse voraussetzen.

Als intuitive No-Code-Plattform kann eine Middleware wie Lobster_data die Basis der gesamten IT-Landschaft bilden und dabei wichtige Funktionen abbilden, die für die tägliche Arbeit benötigt werden, wie:

• Datenintegration: Die einfache Verknüpfung aller Systeme und Anwendungen in einer intuitiven, grafischen Oberfläche.
• Application Development: Die Entwicklung und Integration und von (Business-)Anwendungen ohne Programmierkenntnisse.
• Prozessautomatisierung: Die Automatisierung von Workflows ohne manuellen Code.
• API-Management: Die Verwaltung und Optimierung aller vorhandenen Schnittstellen (APIs).

Fachbereichsexperten, die einen Beitrag zur Digitalisierung in Unternehmen leisten wollen, erhalten mit Lobster_data eine standardisierte Entwicklungsumgebung, die den unternehmenseigenen Performance- und Sicherheitsanforderungen entspricht und vollkommen ohne Programmierkenntnisse bedient werden kann. So werden die Daten und Informationen in Ihrem Unternehmen demokratisiert, es entstehen keine Ineffizienzen durch fehlende technische Kenntnisse und niemand muss auf eigene Lösungen zurückgreifen.

Treten Sie gerne mit uns in Kontakt, wenn Sie mehr darüber erfahren möchten, wie Sie eine ganzheitliche No-Code-Lösung etablieren können, um der Bildung einer Schatten-IT in Ihrer Organisation aktiv zu begegnen.