Schatten-IT
Inhaltsverzeichnis: Definition – Beispiele – Gründe – Auswirkungen – Vorteile – Vorgehen zur Identifikation – Integration in IT-Infrastruktur – Download – Hinweise
Wissen kompakt: Schatten-IT bezieht sich auf die Nutzung von Technologien und Softwareanwendungen durch Mitarbeiter ohne Genehmigung der Unternehmens-IT.
Schatten-IT – die nicht genehmigte Nutzung von Technologien
Der Begriff Schatten-IT wurde 2009 vom Marktforschungsunternehmen Gartner, Inc. geprägt. Er beschreibt eine Situation, bei dem Mitarbeiter nicht autorisierte Technologien am Arbeitsplatz nutzen oder selbst programmieren, um ihre Arbeitsabläufe zu optimieren.
Obwohl das Ansinnen der Mitarbeiter positiv ist, kann die eigenmächtige Verwendung von mobilen Endgeräten, Tools von Drittanbietern, selbst programmierten Anwendungen, Messaging-Diensten oder Cloud-Services Sicherheitsrisiken bergen. Zudem ist der Support der verwendeten Produkte, die außerhalb der IT-Infrastruktur und -Richtlinien des Unternehmens betrieben werden, nicht sichergestellt. Anwender müssen daher eine Abwägung zwischen den Vorteilen innovativer Lösungen und dem Einsatzrisiko einer nicht genehmigten Nutzung von Technologien treffen.
Schatten-IT Beispiele
Es gibt eine ganze Reihe von Schatten-IT Beispielen. Nachfolgend finden Sie eine Auswahl:
- Nutzung privater E-Mail-Accounts für arbeitsbezogene Kommunikation ohne Genehmigung.
- Nutzung von Cloud-Speicherdiensten zur Freigabe von Unternehmensdateien ohne Wissen der IT-Abteilung.
- Zugriff auf arbeitsbezogene Apps oder E-Mails über private Smartphones oder Tablets.
- Verwendung von privaten Computern oder Laptops zur Ausführung von Arbeitsaufgaben.
- Nutzung von Messaging-Apps, um Arbeitsaufgaben zu besprechen.
- Verwendung von nicht genehmigten Software-Tools für die Datenanalyse.
- Verwendung nicht genehmigter Softwareanwendungen für Videokonferenzen.
- Zugriff auf Unternehmensinformationen über öffentliche Wi-Fi-Netzwerke.
- Verwendung nicht genehmigter Browser-Erweiterungen oder Plugins zur Steigerung der Arbeitsproduktivität.
Die Liste der Beispiele lässt sich leicht ergänzen.
Gründe für Schatten-IT
Es gibt verschiedene Gründe, warum Mitarbeiter sich Lösungen zuwenden, obwohl es dafür kein Whitelisting bzw. eine offizielle Freigabe durch die zentrale IT gibt:
- Die Mitarbeiter verwenden Tools, weil sie diese als flexibler, funktionsreicher oder performanter erachten, als die von ihrem Unternehmen bereitgestellten bzw. zugelassenen Lösungen.
- Den Mitarbeitern fehlt ggf. das Wissen, dass die von ihnen verwendeten Tools unzulässig sind oder ein Sicherheitsrisiko darstellen.
- Mitarbeiter verwenden neue Technologien, um ihre Arbeitsabläufe zu verbessern, ohne auf die Genehmigung oder Bewertung durch die IT-Abteilung zu warten. Sie schaffen damit bewusst Fakten oder wollen die Organisation dazu bewegen, entsprechende Tools in die IT-Infrastruktur zu integrieren.
- Abteilungen oder Teams verfügen möglicherweise über ein eigenes, von der IT-Abteilung getrenntes Budget für Technologie. Dies kann zur Einführung von Technologien ohne explizite Genehmigung durch die IT-Abteilung führen.
- Mitarbeiter weigern sich ggf., neue IT-Tools oder -Verfahren zu verwenden, die von der IT-Abteilung vorgeschrieben werden. Stattdessen ziehen sie es vor, alternative Lösungen zu verwenden.
Darüber hinaus lässt sich in vielen Organisationen beobachten, dass Mitarbeiter eigene Lösungen programmieren, anstatt auf eine adäquate Bereitstellung oder Beschaffung durch die IT-Abteilung zu warten.
- IT-Abteilungen haben möglicherweise ein Backlog an Anfragen und sind nicht in der Lage, neue Tools oder Updates so schnell zu liefern, wie von Mitarbeitern benötigt. Diese entwickeln daher eigene Lösungen, um ihre unmittelbaren Bedürfnisse zu befriedigen.
- Es passiert, dass Mitarbeiter die Pläne der IT-Abteilung für neue Tools nicht kennen oder nicht darüber informiert werden, wann neue Tools verfügbar sein werden. Dieser Mangel an Kommunikation kann dazu führen, dass Mitarbeiter selbst aktiv werden und eigenständig Lösungen beschaffen oder entwickeln.
- Mitarbeiter haben besondere Bedürfnisse oder Vorlieben, die von der IT-Abteilung nicht berücksichtigt werden. Durch die Entwicklung eigener Lösungen haben die Mitarbeiter mehr Kontrolle über die von ihnen verwendeten Tools und können sie an ihre spezifischen Anforderungen anpassen.
Und zu guter Letzt gibt es Mitarbeiter, denen die Richtlinien der IT-Abteilung zu restriktiv sind und daher auf eigene Faust aktiv werden.
Probleme und mögliche negative Auswirkungen der Schatten-IT
Es gibt eine ganze Reihe von Problemen, die durch die nicht autorisierte Verwendung von Technologien durch Mitarbeiter in Organisationen entstehen können:
- Die Datensicherheit, die Datenintegrität und der Datenschutzschutz sind nicht gewährleistet. Der Schaden, der bspw. durch einen Datenverlust oder den unkontrollierten Zugang zu unternehmensinternen Systemen und/oder Daten durch Dritte entsteht, lässt sich nicht abschätzen, er könnte aber unter Umständen den Fortbestand des gesamten Unternehmens gefährden.
- Prozesse werden ggf. etabliert, die bestehenden Compliance-Regeln widersprechen.
- Sowohl First- als auch Second-Level-Support fehlen, da es weder unternehmensinterne Ansprechpartner für die verwendeten Technologien gibt, noch entsprechende Vereinbarungen mit den Lieferanten oder Anbietern getroffen wurden.
- Die Weiterentwicklung von selbstentwickelten Anwendungen wird unterschätzt und endet spätestens, wenn dafür keine Kapazitäten im Unternehmensalltag verfügbar sind oder die Programmierer der Eigenentwicklung mit dem entsprechenden Wissen das Unternehmen verlassen. Zudem fehlt bei vielen Eigenentwicklungen die Dokumentation fast durchgängig.
- Bei Releasewechseln ist es nicht unüblich, dass sich auch Schnittstellen ändern. Damit die eigenentwickelten Programme weiterhin in der IT-Infrastruktur funktionieren, kann dies zu manuellen Datenmigrationen oder Schnittstellenanpassungen führen. Dies gefährdet die Gesamtperformance des Unternehmens, da Mitarbeiter sich nicht mit ihren originären Aufgaben beschäftigen.
Darüber hinaus entstehen durch Schatten-IT oftmals Insellösungen, die ein effizientes Zusammenwirken mit anderen Bereichen beeinträchtigen.
Vorteile von Schatten-IT
Schatten-IT hat aber nicht nur Nachteile oder provoziert Risiken. Es gibt auch einige positive Aspekte, die mit der Verwendung nicht autorisierter Technologien einhergehen können:
- Neue Technologien bieten häufig Potenziale, von denen Unternehmen möglicherweise nie zuvor geträumt haben. Nutzen Mitarbeiter Tools ohne Freigabe, zwingen diese ihre Organisationen, sich mit den Vorteilen und Potenzialen schneller auseinanderzusetzen, als sie es sonst möglicherweise getan hätten.
- Schatten-IT-Lösungen werden häufig genutzt, da sie Anwendern unmittelbare Vorteile bieten und konkrete Bedürfnisse erfüllen. Im Zweifel lohnt sich also die Auseinandersetzung mit den konkreten Bedürfnissen der Mitarbeiter, sowie die Aufnahme neuer Lösungen oder der Austausch vorhandener Technologien.
- Die Beschaffung oder Nutzung von Schatten-IT-Lösungen erfolgt häufig ohne aufwändige Bewilligungsprozesse. Sie ist damit auch ein Zeichen an die Organisation, dass sich Mitarbeiter schnellere Abläufe und ggf. mehr unternehmensinternes Gehör erhoffen.
- Die Freiheit von Mitarbeitern, Produkte oder Services selbst auszuwählen, erhöht die Identifikation mit den gewählten Lösungen. Auch das ist ein Indikator, dass Mitarbeiter auch bei der “offiziellen” Auswahl geeigneter Tools aktiv eingebunden werden sollten.
Ein Vorgehen zur Identifikation von Schatten-IT
Es empfiehlt sich, einen definierten Prozess zur Identifikation und Handhabung von Schatten-IT-Lösungen zu nutzen:
- Organisationen sollten zunächst eine Bestandsaufnahme der IT-Systeme und -Anwendungen durchführen und alle Systeme oder Anwendungen ermitteln, die möglicherweise ohne Wissen oder Genehmigung der IT-Abteilung implementiert wurden.
- Entsprechend ermittelte IT-Systeme und -Anwendungen müssen auf potenzielle Risiken untersucht werden. Dabei sollten Aspekte wie Datensicherheit, die Einhaltung von Regeln und Vorschriften und die Auswirkungen auf den Geschäftsbetrieb betrachtet werden.
- Anschließend gilt es den geschäftlichen Bedarf für jede Schatten-IT-Lösung zu erheben: Wie wichtig ist die Lösung für den Geschäftsbetrieb und welche Vorteile bietet sie im Vergleich zu den vorhandenen IT-Systemen und -Anwendungen?
- Idealerweise sollte der gesamte Prozess in Kooperation mit den Beteiligten ablaufen. Es geht explizit darum, Bedürfnisse und Bedenken der Anwender zu verstehen. Gleichzeitig sollte auch offen über Risiken und Vorteile gesprochen werden.
- Basierend auf den Erkenntnissen, der Risikoabwägung und der Betrachtung der Vorteile, sollte ein Plan zum Umgang mit der Schatten-IT-Lösung entwickelt werden. Dieser kann die Integration der Lösung in die IT-Infrastruktur des Unternehmens, die Ersetzung durch eine vom Unternehmen genehmigte Lösung oder die vollständige Einstellung ihrer Verwendung beinhalten.
- Nach der Implementierung eines Plans muss die Nutzung der Schatten-IT-Lösung überwacht und administriert werden. Ggf. ergibt es Sinn, entsprechende Audits zur Nutzung neuer Lösungen durchzuführen.
Insgesamt erfordert die Identifizierung und Handhabung von Schatten-IT-Lösungen eine sorgfältige Abwägung zwischen der Förderung von Innovation und Agilität im IT-Betrieb und der gleichzeitigen Gewährleistung der Sicherheit und Konformität von Unternehmensdaten und -abläufen.
Weitere Ansätze zur Integration von Schatten-IT in die IT-Infrastruktur
Neben dem Prozess zur Identifikation von Schatten-IT-Lösungen und der Entwicklung eines Plans zum Umgang damit, gibt es weitere Optionen, um etwaige Vorteile zu nutzen und gleichzeitig die Integration in die unternehmensweite IT-Infrastruktur zu erleichtern:
- Bring Your Own Device (BYOD),
- Low-Code-Entwicklung und
- No-Code-Entwicklung.
BYOD ermöglicht es Mitarbeitern, eigene Geräte wie Smartphones, Laptops und Tablets für arbeitsbezogene Aufgaben zu nutzen. Dies kann die Produktivität, die Arbeitszufriedenheit und die Flexibilität erhöhen, da die Mitarbeiter von überall und zu jeder Zeit arbeiten können. Es kann jedoch auch Sicherheitsrisiken mit sich bringen, wenn die Geräte nicht ordnungsgemäß gesichert und verwaltet werden. Daher ist es wichtig, dass strenge Richtlinien und Vorgaben vorhanden sind, um die Sicherheit und Vertraulichkeit der Unternehmensdaten zu gewährleisten.
Die Low-Code-Entwicklung propagiert das Erzeugen einer Anwendung nahezu ohne Programmierung durch einfaches Zusammenklicken vorgefertigter Softwarebausteine. Erzeugt wird die Anwendung durch Mitarbeiter einer Fachabteilung, die Software entwickeln, obwohl sie keine Softwareentwickler sind; in diesem Kontext hat sich der Begriff Citizen Developer etabliert. Die Verwendung von Low-Code kann die Effizienz steigern und den Entwicklungsprozess beschleunigen, da Mitarbeiter Anwendungen schnell erstellen und an ihre Bedürfnisse anpassen können. Zudem werden IT-Abteilungen entlastet, sodass sie sich auf komplexere Projekte konzentrieren können.
Neben der Low-Code-Entwicklung gibt es noch die sogenannte No-Code-Entwicklung, die auch als Klick-Entwicklung oder Point-and-Click-Entwicklung bezeichnet wird. Sie adressiert die Erzeugung von Anwendungen ohne jegliche Programmierung durch einfaches Zusammenklicken vorgefertigter Softwarebausteine. Die Idee von No-Code ergibt sich aus dem Namen: bei der Erzeugung einer Anwendung wird “kein Code” benötigt. Der Code steckt bereits in den Komponenten, die sich wie bei einem Baukasten auswählen und zusammenklicken lassen.
Insgesamt können BYOD, Low-Code- und No-Code Entwicklungen für Unternehmen vorteilhaft sein, sofern sie sich in die IT-Infrastruktur integrieren lassen. Es ist jedoch wichtig, solche Ansätze und Lösungen sorgfältig zu evaluieren und zu implementieren, um sicherzustellen, dass sie den Anforderungen des Unternehmens und einschlägigen Vorschriften und Richtlinien entsprechen. Darüber hinaus sind Low-Code- und No-Code Lösungen nicht für alle Anwendungsfälle geeignet und bieten möglicherweise nicht das gleiche Maß an Anpassung und Funktionalität wie eine herkömmliche Programmierung.
Impuls zum Diskutieren:
Welche Maßnahmen können Unternehmen ergreifen, um die Nutzung von Schatten-IT-Lösungen durch Mitarbeiter effektiv zu verwalten und zu überwachen und gleichzeitig Innovation und Agilität im IT-Betrieb zu fördern?
Hinweise:
Haben Sie Lust auf einen neuen Lieblings-Newsletter?
Die Inhalte auf dieser Seite dürfen Sie gerne teilen oder verlinken.
Hier finden Sie ein Video über What is Shadow IT.
Und hier finden Sie ergänzende Informationen aus Wissen kompakt: