Die Anwendung der Informationstechnik ist so vielfältig wie die Welt, in der wir leben. IT-Lösungen haben mittlerweile einen zentralen Platz in unserem täglichen Leben eingenommen. Sie unterstützen uns im Haushalt, begleiten uns beim Sport, bei unserer Freizeitgestaltung und sind oft auch im Berufsleben eine große Hilfe. Diese zunehmende digitale Affinität bietet zahlreiche Vorteile, birgt jedoch auch Risiken. Mit ihr steigt ebenfalls der Einsatz von sogenannter Schatten-IT im beruflichen Kontext. Doch was genau ist Schatten-IT? Welche Chancen und Risiken ergeben sich daraus und wie kann ein Unternehmen den Einsatz von Schatten-IT sinnvoll reduzieren. Das alles erfahrt ihr in diesem Beitrag.
Was ist Schatten-IT?
Als Schatten-IT bezeichnet man alle informationstechnischen Systeme, die außerhalb der offiziellen, von der IT-Abteilung kontrollierten IT-Infrastruktur genutzt werden. Schatten-IT kann von individuellen Mitarbeitenden wie auch in einigen Fällen von ganzen Abteilungen eingesetzt und genutzt werden. Dabei kann es sich sowohl um Hardware als auch um Software handeln. Diese Systeme können von der IT-Abteilung nicht kontrolliert und abgesichert werden. Beliebte Schatten-IT-Lösungen sind zum Beispiel Filehosting-Dienste wie Google Drive oder Dropbox, Instant-Messenger, private Laptops, Tablets und Smartphones.
Warum nimmt Schatten-IT zu?
Eine unzureichende organisatorische Abstimmung von IT und einzelnen Abteilung führt häufig zur Nutzung von Schatten-IT. Fehlende Absprache über Erwartungen und Bedürfnisse führt oft dazu, dass einzelne Abteilungen ihre eigenen Lösungen entwickeln, ohne die IT-Abteilung einzubeziehen. Der Einsatz von Schatten-IT durch Mitarbeitenden und Abteilungen erfolgt meist dann, wenn der offizielle Lösungsweg als unbequem, ineffizient oder umständlich empfunden wird. Dieses Phänomen wird zusätzlich von hohem Arbeitsdruck und Wettbewerbsdenken verstärkt.
Ein weiterer, nicht zu unterschätzender Grund für die zunehmende Nutzung von Schatten-IT ist der schnelle Zuwachs an Cloud-Diensten, Software-as-a-Service (SaaS), die immer weiter steigende digitale Affinität der Mitarbeitenden und die Consumerization der Informationstechnik des Arbeitsplatzes. Dank des technologischen Fortschritts sind besonders die jungen Mitarbeitenden daran gewöhnt, bequeme IT-Lösungen in ihrem privaten Umfeld zu finden und zu nutzen.
Die Vorteile von Schatten-IT
Schatten-IT birgt gewisse Vorteile, von denen nicht nur Mitarbeitende, sondern auch das Unternehmen selber profitieren kann. Zwei nicht zu unterschätzende Faktoren sind beispielsweise die Steigerung der Produktivität und der Zufriedenheit der Belegschaft. Wenn Mitarbeitende mit einem bestimmten Problem konfrontiert werden und die vom Unternehmen angebotenen Lösungen ihren Bedürfnissen nicht entspricht, könnten sich diese eigenständig nach geeignetere Lösungen umsehen. Die Produktivität und Zufriedenheit steigt dann, wenn Mitarbeitende Probleme schnell beheben können und dabei Anwendungen und Tools nutzen, die sie persönlich bevorzugen. Schatten-IT-Lösungen sind häufig effizienter, einfacher bedienbar, flexibler und mit einer erheblichen Zeitersparnis verbunden.
Die Nachteile von Schatten-IT
Vertrauliche Dokumente werden über diverse Services geteilt, private Informationen werden über Instant-Messenger-Dienste ausgetauscht und Software-Updates werden nicht installiert. Das und noch viel mehr kann zu Datenverlust, -Diebstahl und weiteren Schäden führen. Schatten-IT schafft zusätzliche Sicherheitslücken. Diese Sicherheitslücken sind für Unternehmen und Organisationen besonders gefährlich, da sie von der IT-Abteilung unentdeckt bleiben.
Darüber hinaus kann der Einsatz von Schatten-IT auch die Zusammenarbeit zwischen Teams behindern. Wenn Mitarbeitende für ihre Aufgaben auf unterschiedliche Anwendungen angewiesen sind, kann das zu Problemen führen. Die Konsequenzen sind zum Beispiel nicht kompatible Dokumenttypen oder mehrfach hoch- und heruntergeladene Dokumente.
Wie können Unternehmen Schatten-IT vermeiden?
Auch wenn die Nachteile von Schatten-IT überwiegen, stellt ein schlichtes Verbieten und Sperren von nichtgenehmigten IT-Lösungen ohne Alternativen zu bieten in den meisten Fällen keine wünschenswerte Lösung dar. Daraus entsteht in der Regel ein Gefühl der Frustration bei den Angestellten. Wichtiger ist es, eine Balance zwischen den Risiken und Chancen von Schatten-IT zu finden. Das gilt allerdings nur solange keine sensiblen Daten verwaltet werden sind.
Die Nutzung von Schatten-IT entsteht oft aus Unzufriedenheit mit der eigenen IT oder mit der Arbeit der IT-Abteilung. Wichtig ist es also zunächst die genaue Ursache des Problems zu finden. Eine offene Kommunikationskultur zwischen den verschiedenen Abteilungen und der IT-Abteilung ist unverzichtbar. Die IT eines Unternehmens sollte praxisorientierte Lösungen für aufkommende Probleme bieten und die IT-Abteilung sollte ein offenes Ohr für die Bedürfnisse der Mitarbeitenden haben. Die IT-Infrastruktur kann gegebenenfalls erweitert und verbessert werden. Wenn die IT-Infrastruktur des Unternehmens ihren Mitarbeitenden sinnvolle Lösungen bietet, sinkt das Bedürfnis nichtgenehmigte Services zu nutzen.
Damit die genehmigten Dienste von den Mitarbeitenden genutzt werden, müssen sie bekannt und einfach zu bedienen sein. Sinnvolle Maßnahmen sind in diesem Fall das genaue Definieren und Dokumentieren von Prozessen, die Nutzung eines Wissensmanagementsystems sowie die Veröffentlichung von Schritt-für-Schritt-Anleitungen.
Mitarbeitende sollten vor allem auch über die Risiken von Schatten-IT sensibilisiert werden. Sie sollten sich darüber bewusstwerden, welche Daten sie wo teilen und welche Anwendungen sie nutzen. Wenn es zur Nutzung von Schatten-IT kommen sollte, sollte die/der Mitarbeitende*r in der Lage sein, zu erkennen, ob eine Anwendung vertrauenswürdig ist. Ebenso sollte darüber unterrichtet werden, die eigene Anwendung immer auf dem neusten Stand zu halten. Auch das Veröffentlichen von Listen mit vertrauenswürdigen und von der IT geprüften Tools, kann Mitarbeitenden einen guten Überblick bieten.
Mehr Bewusstsein für IT-Sicherheit führt zu einem verantwortungsvolleren Umgang mit Informationstechnik. Ihr wollt auch mehr über dieses Thema erfahren? In unserem Blog findet ihr alle Beiträge dazu unter dem Tag IT-Sicherheit.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.