Cloud-Computing hat es für IT-User einfacher gemacht, die IT-Richtlinien zu umgehen und über sogenannte Schatten-IT Zugang zu benötigten Lösungen für ihre Arbeit zu erhalten. Neben erheblichen Risiken für bestehende IT-Systeme an sich und unternehmerische Daten birgt dies aber auch die Chance, Innovationen im Unternehmen effizient zu fördern. In diesem Artikel erfahren Sie alles Grundlegende, was Sie über Shadow IT in Ihrem Unternehmen wissen sollten und wie Sie strategisch mit ihr umgehen.
Was ist Schatten-IT?
Schatten-IT bezeichnet alle IT-Technologien, Lösungen, Services oder eine Infrastruktur, die ohne die formale Zustimmung und den Support der internen IT-Unit genutzt werden.
Sind Systeme der Schatten-IT für Mitarbeiter ein bequemer Weg, ihre täglichen Aufgaben zu erledigen, so bringen sie auch unvorhergesehene Risiken, Ineffizienz oder Kosten für Unternehmen mit sich, wie z. B.
- Verlust von Kontrolle und Sichtbarkeit der migrierten Daten, sowohl für die Sicherheit als auch die Wiederherstellung von Daten,
- System-Ineffizienz, verbunden mit mangelnder Planungsfähigkeit für Kapazitäten, System-Architektur, Sicherheit oder Performance,
- ungerechtfertigte Kosten, wenn Shadow IT z. B. als Cloud-Storage projektkritische Grössen erreicht und
- Konsequenzen für die Compliance, zum Beispiel bei der Nutzung von sensitiven E-Health-Daten in Cloud-Speichern – mit Risiken für Cyber-Attacken oder imageschädigenden Rechtsverstössen.
Wie Sie der Schatten-IT strategisch begegnen können
Eine Untersuchung der Everest Group ergab: 30–50 % der Anschaffungen in Unternehmen fliessen in die Schatten-IT. Unternehmen müssen daher strategische Massnahmen ergreifen, um Bedürfnisse und Risiken zu reduzieren.
Ihre Optionen:
- Kommunikation und Kollaboration: Finden Sie heraus, was IT-User wirklich benötigen und ermöglichen Sie dafür eine einfache, bequeme und effektive Kommunikation zu Ihrer IT-Unit.
- Aufklärung und Training: Informieren Sie Ihre User über die Risiken der Shadow IT und klären Sie über die Optionen Ihrer IT-Units zur Hilfe auf.
- Optimierung der Führung: Entwickeln Sie eine innovationsfreundliche IT-Führung – inkl. user-zentrierter Methoden, die Bedürfnisse vorhersieht.
- Technologie-Einsatz zur Detektion: Setzen Sie proaktive, technologische Lösungen ein, um z. B. anomale Netzwerk-Aktivität, unerwartete Anschaffungen oder Migration von Auslastungen aufzuspüren.
- Einschätzung und Minimierung: Bewerten Sie kontinuierlich die Risiken der unterschiedlichen eingesetzten Schatten-IT an den Arbeitsplätzen, um Risiken strategisch zu minimieren.
Etablieren Sie Regeln rund um die Schatten-IT
Ein erster kritischer Schritt zum Umgang mit der Schatten-IT ist das Erstellen einer globalen IT-Landkarte eines Unternehmens. Diese IT-Landkarte enthält den Einfluss jeder gruppierten oder einzelnen Ressource auf das unternehmerische Kern-Business.
Der CIO sollte die marktgängige Shadow IT dabei in 3 Kategorien einteilen:
- Genehmigte IT
- Geduldete IT
- Verbotene IT
Da es sich nicht um die technologische Perspektive handelt, sollte diese Aufgabe tatsächlich vom IT-Leiter, dem CIO erfolgen. Dabei sollten einige Schlüsselfragen besondere Berücksichtigung finden, wie zum Beispiel:
- Wenn E-Mails rechtlich gesehen zum Eigentum des Mitarbeitenden gehören, gilt das auch für die Geräte am Arbeitsplatz?
- Dürfen Mitarbeitende Tools einsetzen, die ihre Produktivität fördern – und welche Genehmigungen benötigen sie dafür?
- Welche Compliance-Folgen und Wahrscheinlichkeiten für die Untersagung sind von Mitarbeitenden zu erwarten?
Vorteile bei der Akzeptanz von Schatten-IT
In einigen Fällen gibt es Vorteile, auf verbreitete cloud-basierte Applikationen zurückzugreifen, die grösser sind als die zugehörigen Risiken. Dabei sollte die Support-Infrastruktur jedoch Sicherheit, Datenredundanz sowie Verfügbarkeiten garantieren:
- Speicherplatz und Backups: Diese werden vom Provider sichergestellt. Die Kosten betragen einen Bruchteil derjenigen für die lokale Speicher-Infrastruktur.
- Dateneignerschaft: Jedes File hat einen Besitzer sowie vollständige Metadaten über den User, der es geteilt hat. Damit ist die Verantwortlichkeit gegeben.
- Datenhaltung: Alle Daten von der File-Erstellung bis zu erteilten Zugriffen werden getrackt.
- Datenklassifikation: Die meisten Cloud-Services erlauben eine grosse Bandbreite von Klassifizierungs-Tags.
- Zugangskontrolle: In Cloud-Umgebungen erfolgt die Zugangskontrolle standardmässig durch User-Kategorien und Authentifizierungs-Methoden.
- Mobile Zugangskontrolle: Die mobile Zugangskontrolle geschieht typischerweise nativ in Cloud-Umgebungen.
- Defaultmässige Verschlüsselung: Die Verschlüsselung nimmt der Service Provider vor.
- Föderation: Es ist möglich, den Zugang zu Ihren Umgebungen ausschliesslich per Single-Sign-on zu realisieren.
Schatten-IT strategisch einbinden
Wer Bedürfnisse und Erwartungen seiner IT-User versteht und damit die Schatten-IT richtig einschätzt und die Risiken bei ihrer Verwendung kennt, kann über sichere und nützliche Tools Innovationen vorantreiben. Dafür brauchen Unternehmen jedoch Strategien, die die gemeinsamen Ziele ihrer Mitarbeitenden, der IT-Units sowie des Business miteinander verbinden.
Wer das zuverlässig macht, kann durch die Unterstützung neuer Technologien weitere Optionen für sein Unternehmen nutzen, um bessere Produkte auf den Markt zu bringen. Und das schneller und mit weniger Anstrengungen für die Mitarbeitenden an ihren jeweiligen Arbeitsplätzen!
