Schatten-IT

Glossar

Smartphone, Fitnessuhr und intelligente Kaffeemaschine sind schnell im firmeneigenen WLAN angemeldet. Cloud-Dienste lassen sich gut nutzen, um größere Datenmengen unkompliziert zu übertragen. Dieses Verhalten kann jedoch enorme Risiken für die Datensicherheit von Unternehmen bergen.

Was ist Schatten-IT eigentlich genau?

Der Begriff Schatten-IT bezieht sich auf die Nutzung von IT-Systemen, Software und Diensten innerhalb eines Unternehmens ohne ausdrückliche Genehmigung oder Kontrolle durch die IT-Abteilung.

In der heutigen hyper-vernetzten, digitalen Welt versuchen Unternehmen, mit der sich ständig weiterentwickelnden Technologie-Landschaft Schritt zu halten. Dieses Streben nach Innovation ist für die Erhaltung der Wettbewerbsfähigkeit für viele Unternehmen sicher unerlässlich, kann aber negative Auswirkungen haben, sollten Unternehmen in ihrem Drang nach schneller Entwicklung, Prozessoptimierung oder auch Gewinnsteigerung wesentliche Sicherheitsmerkmale – allen voran die IT-Sicherheit – vernachlässigen.

Das Vorhandensein von Schatten-IT ist für Unternehmen problematisch, wenn sie über einen längeren Zeitraum und ohne das Wissen der Verantwortlichen entstehen und sich im Unternehmen verfestigt. Dennoch können Organisationen auch positive Aspekte aus der Existenz einer Schatten-IT ableiten. Welche das sind, zeigen wir im folgenden Blogartikel. Wir tauchen tiefer in die Thematik der Schatten-IT ein und beleuchten ihre Ursachen, ihre Auswirkungen und die Maßnahmen, die im Umgang mit Schatten-IT ergriffen werden sollten.

Die Entstehungsgeschichte der Schatten-IT

Wie bereits kurz erwähnt, entsteht eine Schatten-IT in der Regel, wenn Mitarbeitende in einem Unternehmen Lösungen, Dienstleistungen oder Tools verwenden, die von den zuständigen Personen oder von der verantwortlichen IT-Abteilung nicht bereitgestellt oder genehmigt wurden.

Die kann aus unterschiedlichen Gründen geschehen:

  • Bedürfnisse werden nicht getroffen: Möglicherweise haben Mitarbeitende spezielle Bedürfnisse, die von den offiziellen IT-Lösungen nicht erfüllt werden. Beispielsweise kann eine bestimmte Funktion von dem bereitgestellten Tool nicht ausgeführt werden oder die Handhabung stellt den Nutzenden vor Herausforderungen. Oftmals suchen Mitarbeiter und Mitarbeiterinnen dann auf eigene Faust nach Alternativen, um ihre Produktivität zu steigern oder ihre Arbeit zu optimieren.
  • Flexibilität und Schnelligkeit: Die offiziellen IT-Prozesse können manchmal langsam sein und Genehmigungen und Wartezeiten mit sich bringen. Wenn Mitarbeitende schnell handeln müssen, greifen sie oftmals auf Anwendungen zurück, die sie bereits kennen und mit denen sie vertraut sind, anstatt auf die offiziellen Lösungen zu warten.
  • Einfacher Zugang: Mit dem Aufkommen von Cloud-Diensten und leicht verfügbarer Software können sich Angestellte einfacher anmelden und die für ihre Bedürfnisse geeigneten Anwendungen nutzen, ohne dass die IT-Verantwortlichen eingeschaltet werden müssen.
  • Mangelndes Problembewusstsein: Teilweise sind sich die Mitarbeitenden nicht bewusst, dass das, was sie tun, unter die Kategorie der Schatten-IT fällt. Sie sehen es vielleicht eher als eine Umgehung als eine Abweichung von den offiziellen Prozessen.
  • Wahrgenommene Bürokratie: Wenn die IT-Abteilung als zu streng wahrgenommen wird oder die Prozesse als zu bürokratisch angesehen werden, vermeiden die Angestellten möglicherweise den Weg über die zuständigen Instanzen oder Personen.
  • Mangelndes Personal: Sollte die IT-Abteilung unterbesetzt sein oder die zuständigen Personen fallen krankheitsbedingt aus oder sind im Urlaub, kann es vorkommen, dass Mitarbeiterinnen und Mitarbeiter aus der Not heraus eigene Entscheidungen treffen und selbst nach Alternativen suchen und so zur Entstehung der Schatten-IT beitragen.

Es wird deutlich, dass die Gründe, warum eine Schatten-IT entstehen kann, vielfältig sind. Sehr schnell – und oft ohne sich dessen bewusst zu sein – kann jeder Mitarbeitende zur Entstehung einer Schatten-IT oder zur Ausbreitung einer bereits bestehenden Schatten-IT-Strukturen beitragen. Die folgenden alltägliche Arbeitssituationen zeigen, wie Mitarbeiter und Mitarbeiterinnen abseits der internen, sicheren IT-Infrastruktur agieren und welche möglichen Bedrohungen daraus resultieren.

Unerlaubte Cloud-Speicher-Nutzung:

Um einen zu großen Dateianhang zu versenden, nutzen Mitarbeitende persönliche Cloud-Speicherkonten, um Firmeninformationen auf ein anderes Gerät zu übertragen.

  • Mögliche Bedrohungen: Datenlecks, Verlust der Kontrolle über sensible Informationen, Verstöße gegen die Vorschriften, fehlende Verschlüsselung, potenzielle Gefährdung durch Cyberangriffe.

Messaging-Apps für die Arbeitskommunikation:

Verschiedene Teams nutzen unautorisierte Messaging-Apps, z.B. Whatsapp, für die schnelle Kommunikation untereinander.

  • Mögliche Bedrohungen: Fehlende Ende-zu-Ende-Verschlüsselung, potenziell unsichere Weitergabe vertraulicher Daten, fehlende Kontrolle über die Speicherung von Nachrichten, Risiko der Verbreitung von Malware durch Dateifreigabe.

Persönliche Projektmanagement-Tools:

Um Projekte besser planen, kontrollieren, monitoren und abwickeln zu können, setzen die Abteilungen ihre eigenen Management-Tools ein.

  • Mögliche Bedrohungen: Datenfragmentierung, Integrationsschwierigkeiten, Sicherheitsschwachstellen, Unfähigkeit, eine konsistente Projektaufsicht aufrechtzuerhalten, gefährdeter Datenschutz.

Nicht genehmigte SaaS-Abonnements:

Mitarbeitende abonnieren unautorisierte SaaS-Anwendungen, z.B. Microsoft 365, für bestimmte Aufgaben.

  • Mögliche Bedrohungen: Datenschutzverletzungen, fehlende Datenverschlüsselung, begrenzter Einblick in die Datenverarbeitungspraktiken Dritter, Risiko der Nichteinhaltung von Datenschutzvorschriften, Unzureichende Sicherheitseinstellungen, Fehlendes Sicherheitsupdate-Management

Was ist so gefährlich an Schatten-Geräten?

Allein diese vier Beispiele zeigen einige der möglichen Bedrohungen, die durch das Vorhandensein einer Schatten-IT entstehen könnten. Das Problem an der Nutzung von Schatten-Geräten lässt sich relativ leicht zusammenfassen: Was man nicht kennt, kann man nicht sichern.

Dadurch stellt jedes Gerät, jedes Programm ein mögliches Sicherheitsrisiko für Unternehmensdaten dar. Wenn die Verantwortlichen nicht von ihrer Existenz wissen, können sie nicht die notwendigen sicherheits- oder datenschutzrelevanten Vorkehrungen treffen. Auch können Mitarbeitende beispielsweise so nicht für die spezifischen Gefahren der einzelnen Technik sensibilisiert werden, Datenschutzeinstellungen werden nicht gesetzt und Sicherheitsprogramme wie Firewall nicht oder nur unzureichend eingerichtet.

Im Allgemeinen gilt, dass sich die Angriffsfläche für Cyberkriminelle erhöht, wenn zusätzliche Programme und Geräte eingesetzt werden und die IT-Infrastruktur dadurch komplexer wird. Dieser Faktor wird deutlich erhöht, wenn diese Anwendungen ungesichert genutzt werden.

Eine Schatten-IT kann zwar auch positive Auswirkungen auf ein Unternehmen haben (Förderung von Innovation, schnellere Entscheidungsfindung von Mitarbeitenden oder auch die Erforschung von neuen Technologien), dennoch überwiegen die Risiken.

Neben den oben-genannten Datensicherheitsrisiken, dem Verlust von Daten und Kontrolle oder die Verstöße gegen Compliance-Richtlinien, können auch zusätzliche Kosten für das Unternehmen entstehen, sollten beispielsweise verschiedene Abteilungen ähnliche Anwendungen getrennt voneinander nutzen und so doppelt für Lizenzen oder Abos bezahlen. Auch können sich Produktivitätsverluste oder auch Probleme bei der Skalierung einstellen, sollte die Schatten-IT nicht für Wachstumsprozesse ausgelegt sein.

Umgang und Bekämpfung der Schatten-IT

Wird festgestellt, dass sich eine Schatten-IT im Unternehmen etabliert hat oder im Begriff ist, sich zu entwickeln, sollten Maßnahmen ergriffen werden. Das Ziel sollte sein, ein sicheres, effizientes und produktives Arbeitsumfeld für die Beschäftigten zu schaffen. Eine Analyse, warum sich die Schatten-IT ausgebreitet hat, ist empfehlenswert. Vielleicht ist einer der oben genannten Gründe der Auslöser. Anschließend sollten die Beweggründe verstanden und gemeinsam mit dem Team an der Lösung des Problems gearbeitet werden. Dies kann erreicht werden, indem folgende Tipps befolgt werden.

  1. Erkennen  und Verstehen: Es sollte verstanden werden, warum die Schatten-IT existiert oder warum sie entstanden ist. Es ist wichtig, die Beweggründe zu verstehen und auf die Bedürfnisse der Mitarbeitenden einzugehen.
  2. Offene Kommunikation: Ermutigen Sie die Belegschaft, ihre Bedürfnisse offen und transparent mit der IT-Abteilung oder den verantwortlichen Personen zu teilen und zu besprechen.
  3. Aufklärung: Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter über die Risiken einer Schatten-IT.
  4. Kooperative Lösungen: Arbeiten Sie mit den Mitarbeitenden zusammen an Lösungen. Finden Sie gemeinsam mit dem Team Dienstleistungen, Werkzeuge und Anwendungen, die den Bedürfnissen gerecht werden.
  5. Prozessoptimierung: Implementieren Sie straffe Prozesse für die Einführung neuer Anwendungen, die Genehmigung von neuen Technologien und die Bereitstellung dieser Tools.
  6. Regelmäßige Audits und Feedback-Schleifen: Führen Sie regelmäßige Untersuchungen durch, um  nicht autorisierte Anwendungen zu identifizieren und befragen Sie Ihre Mitarbeitenden, ob sie mit bestehenden Prozessen und Anwendungen zufrieden sind.
  7. Aktualisierungen: Halten Sie die verwendete IT auf dem aktuellen Stand, um sie an die sich ändernden Bedürfnisse anzupassen.
  8. Feiern Sie Erfolge: Zeigen Sie Ihrem Team auf, warum eine Anwendung oder eine Lösung genutzt werden sollte oder welche positiven Entwicklungen sich durch die Nutzung eingestellt haben.

 

Verwandte Beiträge

  • Darknet

    Dieser anonyme Bereich im Internet ist nicht offen sichtbar und nicht durch eine Suchmaschine zu erreichen. Er ist nur mithilfe eines speziellen Netzwerkes erreichbar, dem sogenannten Tor-Netzwerk.

    mehr lesen

Weitere Beiträge

  • Gefahrenwarnung: Cybersicherheitsvorfall bei T-Mobile US betrifft Millionen Kunden

    Gefahrenwarnung

    Bei einem Angriff auf T-Mobile US wurden Daten von mindestens 40 Millionen Kunden gestohlen. Wir bringen auf den Punkt, was genau passiert ist und was Sie selbst tun können.

    mehr lesen

Sie sind neugierig geworden?

Fragen Sie noch heute eine unverbindliche Produkt-Demo von Perseus an.

Wir befähigen Ihre Mitarbeitenden, aktiv zur Cybersicherheit Ihres Unternehmens beizutragen.

Überzeugen Sie sich selbst, wie einfach und schnell sich Perseus in Ihre Unternehmensstruktur integrieren lässt.

Live Demo

Sie haben Fragen zu unseren Leistungen?

Zögern Sie nicht anzurufen: + 49 30 95 999 8080

  • Plug & Play-Lösung, die einfach und schnell integriert ist
  • Kurze, spannende Online-Trainings für Cybersicherheit und Datenschutz
  • Trainings unterstützen bei der Erfüllung einzelner Compliance-Anforderungen (z. B. zu ISO 27001)
  • Simulierte Phishing-E-Mails testen das Erlernte der Mitarbeitenden in der Praxis
  • Zertifikate dokumentieren Lernerfolge und dienen als Nachweis für Versicherungen oder Behörden
  • Das Cybernotfall-Management ist jederzeit zur Stelle, falls es doch einmal zum Cybervorfall kommt

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited