In jedem größerem Unternehmen gibt es in den Fachabteilungen mehr ungenehmigte und nirgendwo dokumentierte Software als sich die IT-Abteilungen "in ihren kühnsten Albträumen vorstellt“, mutmaßt der Eco-Verband
Andreas Burkert
Der Einsatz nicht genehmigter Hardware und Software, nicht vorgesehene IT-Betriebsabläufe und ähnliche “Nachlässigkeiten“ – im Fachjargon auch “Schatten-IT“ genannt – gefährden die Sicherheit in der deutschen Wirtschaft in erheblichem Maße. Diese Schlussfolgerung ergibt sich aus dem aktuellen Sicherheitsreport 2016 des Eco — Verband der Internetwirtschaft e.V., für den 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland befragt wurden.
Unkalkulierbare Risiken
Das zunehmend vielfältigere Angebot unterschiedlicher Cloud-Dienste verschärft die Problematik noch weiter. Denn dadurch werden nach Eco-Angaben Fachabteilungen heutzutage in die Lage versetzt, ganze Funktionsfelder auszugliedern, ohne ihre firmeneigene IT-Abteilung überhaupt informieren zu müssen. Für die IT-Sicherheit bedeutet das unkalkulierbare Risiken.
Bereits in jedem zweiten Unternehmen wird beispielsweise der Cloud Computing Service Dropbox verwendet, zumeist aber ohne Zustimmung der Unternehmensführung. Aus diesem Grund sollte sich jedes Unternehmen mit Schatten-IT beschäftigen, um diese aufzudecken und Gefahren zu minimieren oder gar in Potenziale umzuwandeln. Mobile Endgeräte, die unwissentlich in die IT-Infrastruktur von Unternehmen eingebracht werden, sind eine Teilmenge von Schatten-IT“, erläutern drei Springer-Autoren in dem Zeitschriftenartikel “Schatten-IT: Implikationen und Handlungsempfehlungen für Mobile Security“ in Ausgabe 1/2014 von 'HMD Praxis der Wirtschaftsinformatik' auf Seite 25.
Auch das BSI warnt vor den Gefahren
“Auf jeden Fall ist zu vermeiden, dass es zu einer sogenannten "Schatten-IT" kommt, indem die Mitarbeiter Public Cloud Services nutzen, ohne dass dies in ihrer Institution geregelt ist, denn die Gefahr, dass vertrauliche und schützenswerte Informationen an Unberechtigte gelangen, ist real und darf nicht unterschätzt werden“, warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Dossier zum Thema Cloud Computing.
Aufklärung der Mitarbeiter ist entscheidend
Zur Abhilfe empfiehlt der Eco-Verband den Unternehmen die Bereitstellung geeigneter Lösungen für die Fachbereiche durch die Zentral-IT, die tatsächliche Kontrolle der IT-Nutzung und die Sensibilisierung der Mitarbeiter in Bezug auf die Gefahren von Schatten-Lösungen. Denn unautorisierte Software und Cloud-Dienste würden in der Regel immer dann genutzt, wenn Bedarf auf Fachbereichsebene bestehe, den die IT nicht adäquat bedienen könne. Deshalb sollte die Deckung dieses Bedarfs durch akzeptable Lösungen eine hohe Priorität besitzen.