Cloud Computing ist in der Unternehmenswelt endgültig angekommen. Trotzdem polarisiert dieses Thema die IT Abteilungen wie kaum ein anderes. Viele Unternehmen lehnen Cloud-Lösungen nach wie vor mit einer „no-cloud-policy“ strikt ab, um mögliche Gefahrenquellen nicht ins Haus zu lassen. Das führt allerdings zu Schatten-IT.
Laut einer Studie des Marktforschungsunternehmens YouGov, die im Auftrag von NTT.com durchgeführt wurde, nutzt jeder achte Mitarbeiter Consumer-Clouds auch im Unternehmen. Jene Nutzer, die auf diese – meist nicht genehmigten Dienste – ausweichen, suchen vor allem nach besserer Effizienz und einer höheren Produktivität.
Zudem begründen sechs von zehn Schatten-IT-Nutzern ihren Alleingang damit, die IT-Abteilungen entlasten zu wollen. Das sind durchaus nachvollziehbare Gründe, führen jedoch zu Gefahren. Deswegen ist es wichtig, Schatten-IT im Unternehmen zu kennen bzw. zu erkennen.
Erkennen via Logfile-Analyse
Schatten-IT lässt sich z.B. mit einer Analyse mittels Lösungen wie der Cloud App Security von Microsoft, die über 13.000 Cloud-Applikationen erkennt, herausfinden. Analysiert werden hierfür – in Kategorien geclustert – die Anzahl der genutzten Daten und man sieht, welcher Dienst wie viele Daten in Anspruch nimmt. In einem weiteren Schritt wird die Sicherheit der Cloudanbieter geprüft. Anhand eines Screenings lässt sich einschätzen, wie sicher oder unsicher die Daten in der Cloud gespeichert sind. Wesentlich für die Sicherheit sind z.B. Zertifizierungen für die Lösungen.
Interne Kommunikation fördern & Bedürfnisse erkennen
Im Zentrum der Suche nach den Ursachen für Schatten-IT liegt die Motivsuche:
- Wieso greifen Mitarbeiter auf diese Lösungen zurück?
- Werden beispielsweise häufig große Dateienanhänge verschickt?
- Wissen sie nicht, wie bestehende Systeme und Anwendungen funktionieren oder erfüllen diese nicht die spezifischen Anforderungen?
- Weiß die IT-Abteilung um die Bedürfnisse der Mitarbeiter? Und wenn ja – liefert sie Lösungen in angemessener Qualität und innerhalb kurzer Zeit?
Fühlen sich Mitarbeiter von IT-Abteilungen nicht ernstgenommen oder ausgeschlossen, werden sie sich ihre eigenen Lösungen suchen, was heute einfacher ist als je zuvor. Consumer-Cloud-Lösungen sind simpel in der Anmeldung und Anwendung.
Verbietet ein Unternehmen strikt die Anwendung von Cloud-Lösungen oder gehen IT-Abteilungen nicht auf die Bedürfnisse des restlichen Unternehmens ein, kommt es dazu, was eigentlich verhindert werden soll: Sensible Firmendaten liegen auf ungesicherten Diensten – in vielen Fällen außerhalb des EU-Rechtsraumes.
Gefahren von Consumer-Clouds
Schatten-IT untergräbt die Unternehmens-IT, wenn auch oft ohne böse Absicht der Mitarbeiter. Man brauche die Lösung schnell, wolle eigentlich nur helfen und keinen großen Aufwand verursachen. Deswegen registriert sich der Mitarbeiter mit einem Privat-Account bei einer kostenlosen Consumer-Cloud-Lösung wie DropBox. Was er dabei oft nicht beachtet, ist das Kleingedruckte.
Die gespeicherten Daten liegen z.B. auf Servern, die meist außerhalb der Kontrolle des Unternehmens sind. Verlässt der Mitarbeiter das Unternehmen, bleiben zahlreiche Dokumente, Budgetlisten oder gar geheime Firmenstrategien auf seiner Consumer-Cloud und das Unternehmen weiß davon nicht einmal etwas.
Diese Probleme werden durch die Datenschutzgrundverordnung (DSGVO), die mit 25. Mai in Kraft tritt, verschärft. Laut Gartner wird bis zum Jahr 2020 ein Drittel der Sicherheitsverletzungen auf Schatten-IT zurückzuführen sein. Das kann im schlimmsten Fall teuer werden und einen irreparablen Schaden des Unternehmensimages nach sich ziehen.
Sichere Alternative: Business Cloud
Statt Clouds generell zu verbieten, können Unternehmen kontrollierte Möglichkeiten anbieten, die dieselben Standards erfüllen. Steigt man auf eine Business-Cloud-Lösung um, zahlt man je nach Anbieter einen gewissen Betrag pro Monat oder Jahr und erhält somit die volle Kontrolle über seine Daten und Zugriffe.
Die Daten gehören somit dem Unternehmen und nicht dem Anbieter der Cloud-Lösung. Außerdem melden sich Mitarbeiter über einen Business-Account an, der jederzeit gesperrt werden kann, wenn er die Abteilung wechselt oder das Unternehmen verlässt. Die Mitarbeiter können aber weiterhin die Vorteile von Cloud-Lösungen nutzen.
Fazit Umgang mit Schatten IT
Eine no-cloud-policy führt in den meisten Unternehmen unweigerlich zu versteckter Schatten-IT. Mitarbeiter nutzen nicht genehmigte Lösungen ohne der internen IT-Abteilung Bescheid zu geben. In nahezu jedem Unternehmen wird IT genutzt, von denen offizielle Stellen nichts wissen. Schatten-IT lässt sich jedoch mittels Analysetools feststellen.
Warum Sie über Schatten-IT Bescheid wissen sollten, liegt schlicht und ergreifend im Datenschutz begründet. Consumer-Clouds garantieren keine Datensicherheit, eher im Gegenteil: das Geschäft mit Daten ist ihr Kerngeschäft. Dessen sind sich die User oft nicht bewusst.
Für sie steht Effizienz und rascheres tägliches Arbeiten im Vordergrund. Um seine Mitarbeiter zu unterstützen, können Unternehmen auf eine sichere Business-Cloud-Variante umsteigen, bei der sie die volle Kontrolle über ihre Daten behalten.
Jetzt teilen
Mit Office 365 und OneDrive eine sichere Alternative zur Schatten IT schaffen
Warum Mitarbeiter aus Notwehr auf Schatten-IT zurückgreifen
