Schattengefecht Wie CIOs Licht ins Dunkel bringen

Autor / Redakteur: Ulf Schitkowsky * / Ulrike Ostler

Selbst ist der IT-affine Mitarbeiter: Meist genügen wenige Minuten und noch weniger Klicks, um eine Datei etwa bei Dropbox oder Google Drive abzulegen. Die Nutzung der Public-Cloud-Services geschieht oft ohne Wissen der IT-Abteilung, so dass die Folgen verheerend sein können. Wie gelingt es der IT, inoffiziell genutzte Anwendungen aus dem Dunkel ans Licht zu zerren?

Firmen zum Thema

Wie schaffen es CIOs, dass inoffiziell genutze Anwendungen aus dem Schatten ins Licht kommen?
Wie schaffen es CIOs, dass inoffiziell genutze Anwendungen aus dem Schatten ins Licht kommen?
(Bild: Photocreo Bednarek/Fotolia.com)

Natürlich hat der Mitarbeiter keine bösartigen Absichten, wenn er auf eigene Faust nach IT-Lösungen sucht und sie nutzt. Er handelt so, weil er damit seine Aufgaben einfacher und schneller erledigen kann, als wenn er auf regulärem Wege bei der IT eine Lösung anfragt.

Diese in immer mehr Unternehmen gängige Praxis offenbart allerdings nicht nur die Tatsache, dass das offizielle IT-Angebot nicht im gewünschten Maße den Anforderungen der Nutzer entspricht. Was wesentlich schwerer wiegt: Der Mitarbeiter, der sich auf diese Weise selbst behilft, kann der gesamten Organisation unbeabsichtigt großen Schaden zufügen. Und er ist längst nicht mehr allein.

Seitdem viele Public-Cloud-Dienste kostenfrei zur Verfügung stehen, werden sie von Mitarbeitern an der Unternehmens-IT vorbei im großen Stil genutzt: Laut der Skyhigh-Studie „Cloud Adoption & Risk Report Q1 2015“ kommen in Unternehmen durchschnittlich 738 Cloud-Dienste zum Einsatz – und damit mehr als das Zehnfache der bei der IT bekannten und genehmigten Services. Gegenüber Skyhigh gaben 82 Prozent der befragten Mitarbeiter zu, inoffizielle Cloud-Apps zu nutzen – aus unterschiedlichen Gründen: weil sie sie aus dem Privatgebrauch kennen oder weil die Genehmigungsprozesse der IT zu langwierig sind.

Wolken, die Schatten werfen

Doch nicht nur die Public Cloud, sondern auch Hardware wird vielerorts ohne Genehmigung der IT eingesetzt, wie zum Beispiel Server, die sich Fachabteilungen selbstständig beschaffen, weil sie mit den Leistungen der offiziellen Systeme nicht zufrieden sind. Diese Systeme werden oftmals nicht den Regularien – zum Beispiel für Backup oder Desaster Recovery – entsprechend betrieben.

Doch die Risiken, die von Public-Cloud-Diensten ausgehen, sind ungleich größer. Zum einen besteht die Gefahr, dass Informationen und Wissen unkontrolliert abfließen. Denn ohne die etablierten Sicherheitsprozesse kann die IT nicht dafür sorgen, dass Datenschutz, -sicherheit und -integrität gewährleistet sind. Dadurch, dass die Schatten-IT Compliance- und Governance-Prozesse komplett unterläuft, öffnet sie neue Sicherheitslücken und potenzielle Angriffsziele für Cyberkriminelle.

Zudem gilt für die Schatten-IT auch nicht die üblicherweise vorgenommene Klassifizierung von Daten. Diese Einordnung legt fest, wo welche Informationen gespeichert und bearbeitet werden dürfen. Je nachdem wie hoch die Sicherheit der Daten eingestuft ist, dürfen diese beispielsweise noch nicht einmal von Mitarbeitern im Home Office bearbeitet werden. Daten, die an diesen Prozessen vorbei in der Public Cloud gespeichert werden, hebeln solche Kontrollmechanismen aus.

Steigende Dunkelziffer: Schatten-IT als Wirtschaftsfaktor

Dadurch können nicht nur erhebliche Imageschäden, sondern auch große wirtschaftliche Verluste entstehen. Etwa wenn höchst sensible Design- und Entwicklungsdaten für ein neues Modell eines Automobilbauers ungeschützt in der Public Cloud liegen. Dadurch entsteht ein hohes Risiko, dass die Konkurrenz sich diese Daten aneignet, um die Wettbewerbsfähigkeit des Unternehmens zu beeinträchtigen – was angesichts der hohen Schutzvorkehrungen, die Automobilunternehmen für ihre sensiblen Daten treffen, umso verwunderlicher ist.

Schatten-IT wird leicht zu einem unkalkulierbaren wirtschaftlichen Risiko.
Schatten-IT wird leicht zu einem unkalkulierbaren wirtschaftlichen Risiko.
(Bild: Alta Oosthuizen/ Fotolia.com)

Bemerkt würde dieser Schaden allerdings erst, wenn das Kind schon in den Brunnen gefallen ist, sprich die Daten schon in die falschen Hände geraten und im schlimmsten Fall sogar schon an die Öffentlichkeit gelangt sind. Darüber hinaus besteht durch Schatten-IT das Risiko, dass die Betriebssicherheit nicht gewährleistet und Service Level Agreements der Cloud-Dienste nicht eingehalten werden, da die Fachabteilungen diese Themen nicht professionell behandeln können.

Diese Faktoren führen nicht nur dazu, dass das Unternehmen die bestehenden IT-Risiken nicht mehr überblicken und managen kann. Schatten-IT wird immer mehr auch zu einem unkalkulierbaren wirtschaftlichen Risiko. Laut einer Studie der Atos Cloud-Tochtergesellschaft Canopy schätzen die befragten IT-Entscheider in Deutschland, Frankreich, Großbritannien, den Niederlanden und den Vereinigten Staaten, dass zwischen fünf und 15 Prozent ihres IT-Budgets auf Schatten-IT entfällt. Fast zwei Drittel (60 Prozent) schätzen den Kostenanteil am gesamten IT-Budget 2014 ihres jeweiligen Unternehmens auf etwa 13 Millionen Euro.

Dreiklang aus Aufdecken – Analysieren – Sichern

Wie gehen IT-Abteilungen mit dem grassierenden Kontrollverlust um?

  • 1. Der erste Schritt zu einer Lösung muss für Transparenz sorgen: Damit alle folgenden Maßnahmen greifen, müssen Unternehmen zunächst feststellen, dass das Problem Schatten-IT existiert, welche Lösungen von den Fachabteilungen eingesetzt werden und warum.
    Doch eine solche einmalige Analyse gibt nur ein momentanes Abbild der genutzten Services. Sie ermöglicht weder eine Aussage darüber, welche Dienste zukünftig genutzt werden, noch wie sich diese Anwendungen unter Sicherheitsaspekten weiterentwickeln. Daher müssen Schatten-IT-Analysen wie Virenscans kontinuierlich durchgeführt werden.
  • 2. Zweitens gibt es die Möglichkeit, die eigenmächtig genutzten Dienste über die Firewall zu blockieren. Diese Lösung eignet sich allerdings nicht für alle Schattensysteme – aus dem einfachen Grund, dass ja offensichtlich in den Fachabteilungen ein Bedarf an diesen Anwendungen besteht. Das heißt, die IT-Abteilung muss sich die illegalen Applikationen im Einzelnen anschauen und daraufhin entscheiden, welche Dienste unterbunden und welche offiziell zur Verfügung gestellt oder als interne Services realisiert werden sollten.
  • 3. Eine dritte Möglichkeit besteht darin, besonders sensible Daten mit ausgeklügelten Verschlüsselungsmechanismen zu sichern. So könnten beispielsweise verschlüsselte Daten sehr wohl in der Public Cloud gespeichert werden – solange der Schlüssel nicht bekannt ist.
  • 4. Der vierte Lösungsansatz bildet die Schatten-IT durch offizielle Anwendungen ab. Dabei werden also beispielsweise Public- durch eigene Private-Cloud-Dienste ersetzt. Damit eröffnen die eigenmächtig etablierten Anwendungen der IT sogar die Möglichkeit, ihr Service-Angebot näher am tatsächlichen Bedarf der Anwender auszurichten. Bietet die IT etwa Dropbox offiziell an, kann sie selbst dafür sorgen, dass alle Daten dort verschlüsselt abgelegt werden.

Kombination aus technischen und organisatorischen Maßnahmen

Die Analyse der Schatten-IT hat also grundsätzlich zwei Konsequenzen: erstens das offizielle IT-Angebot zu verbessern – im Sinne dessen, was der Anwender wirklich benötigt. Und zweitens die Lösungen, die ein zu hohes Sicherheitsrisiko bergen, zu verbieten, und das auch mittels technischer Maßnahmen, die bestimmte Dienste schlichtweg blockieren.

Die IT ihr Ohr näher an den Nutzern haben und antizipieren, welche IT-Services heute und in Zukunft gebraucht werden.
Die IT ihr Ohr näher an den Nutzern haben und antizipieren, welche IT-Services heute und in Zukunft gebraucht werden.
(Bild: Jonathan Stutz/ Fotolia.com)

Damit diese Vorkehrungen allerdings die gewünschte Wirkung erzielen, müssen sie von einem Umbau der Organisation begleitet werden: Die im Zuge der Schatten-IT in den Fachabteilungen entstandenen Inselabteilungen müssen wieder zurück in die zentrale IT geholt werden. Denn wenn Experten zu semiprofessionellen IT-Mitarbeitern werden, verschenken Unternehmen fachliche Ressourcen, die eigentlich voll und ganz den Kernaufgaben der jeweiligen Fachabteilungen zur Verfügung stehen sollten.

Zudem muss die zentrale Unternehmens-IT eine Aufgabe entweder neu einführen oder verstärken: das so genannte Demand Management. Soll heißen: Um die erforderlichen zentralen Services vorbereiten zu können, muss die IT ihr Ohr näher an den Nutzern haben und antizipieren, welche IT-Services die Mitarbeiter nicht nur heute, sondern auch in Zukunft benötigen.

* Ulf Schitkowsky arbeitet als Solution Manager Dynamic Datacenter bei Computacenter.

(ID:43585209)