Veröffentlichungsdatum: 17. November 2022
In der Informationstechnologie (IT) bezeichnet der Begriff „Schatten-IT“ (Shadow IT) die Nutzung von Software, Anwendungen, Hardwaregeräten und anderen Ressourcen, die nicht ausdrücklich von der IT-Abteilung eines Unternehmens genehmigt wurden. Schatten-IT umfasst häufig Cloud-basierte SaaS-Anwendungen (Software-as-a-Service), die Endbenutzer auf eigene Initiative installieren und nutzen. Unter Schatten-IT fällt auch die Nutzung eigener Geräte durch Mitarbeiter, wie z. B. private Laptops, Tablets und Smartphones.
Das Problem besteht zwar schon seit Jahrzehnten, doch während der Corona-Pandemie hat die Verbreitung von Schatten-IT erheblich zugenommen, da viele Mitarbeiter plötzlich aus dem Homeoffice arbeiten und produktiv sein sollten, ohne unbedingt Zugang zu all der Hardware und Software wie im Unternehmen zu haben. Das isolierte Arbeiten von Zuhause verleitete zudem dazu, Messaging-Anwendungen und Videokonferenzsoftware zu nutzen, und dies oftmals vor der Genehmigung dieser Anwendungen durch die IT-Abteilungen.
Eine der wichtigsten Triebfedern für die Zunahme der Schatten-IT ist der Wunsch nach gleichwertigen privaten und beruflichen IT-Erlebnissen. Schatten-IT greift nicht nur wegen des Wunschs nach den effizientesten und effektivsten Tools um sich, sondern auch, weil Mitarbeiter glauben, dass sie selbst die Tools auswählen und kontrollieren können sollten, die sie für ihre Arbeit benötigen, und die Möglichkeit haben sollten, geräteübergreifend und in Echtzeit zusammenzuarbeiten. In großen Unternehmen ist es durchaus nicht unüblich, dass einzelne Teams und Abteilungen nach eigenen IT-Lösungen suchen und nicht die vom Unternehmen zur Verfügung gestellten Lösungen verwenden.
Dieses Phänomen ist weiter verbreitet als vielen IT-Führungskräften bewusst ist. Laut einer Studie der Everest Group aus dem Jahr 2019 wird in einem durchschnittlichen Unternehmen das halbe IT-Budget für Schatten-IT-Ressourcen ausgegeben. Das heißt, die Geschäftsleitung hat keinen Einblick in 50 Prozent der IT-Ausgaben, und IT-Teams haben keine direkte Kontrolle über einen signifikanten Teil der von Mitarbeitern genutzten Tools.
In diesem Artikel geben wir Ihnen einen Überblick über Schatten-IT und beleuchten die Gründe für ihre Nutzung, die daraus resultierenden Herausforderungen für Unternehmen und Methoden, um diese Herausforderungen zu meistern.
Wie funktioniert Schatten-IT?
In einer typischen IT-Umgebung verwenden Mitarbeiter nur genehmigte Geräte und Anwendungen, verbinden sich über sichere Protokolle mit Firmennetzwerken und -ressourcen und halten sich an die erforderlichen Sicherheitsverfahren, die auch die Verwendung von VPNs (Virtual Private Networks) vorsehen.
In einer Schatten-IT-Umgebung ergänzen Mitarbeiter offizielle Hardware, Software und Anwendungen eventuell mit Open Source-Lösungen oder Freeware, die sie selbst gefunden oder von Kollegen bekommen haben. Möglicherweise nutzen sie zudem eigene Geräte wie private Laptops und Smartphones für ihre Arbeit.
Einer der Hauptgründe dafür ist, dass sie ihre Computerumgebung selbst kontrollieren und das Gefühl haben möchten, dass sie die Anwendungen auswählen, die für sie am besten geeignet sind. Eine von Osterman Research durchgeführte Studie, über die im Security Magazine berichtet wurde, ergab, dass die überwiegende Mehrheit der Mitarbeiter in Unternehmen (92 %) die „volle Kontrolle“ über die Softwareanwendungen haben möchte, die sie für ihre Arbeit nutzen. Mehr als die Hälfte der Befragten (51 %) gab an, dass sie die Anwendungen ihrer Wahl selbst dann verwenden, wenn die Nutzung dieser Anwendungen seitens des Unternehmens ausdrücklich untersagt ist. Viele der Befragten betrachten die IT-Abteilung als Gegner: 52 % der Befragten wünschten sich, die IT-Abteilung würde „sie in Ruhe lassen“.
Was sind die häufigsten Schatten-IT-Anwendungen?
Es gibt Hunderte Beispiele für Schatten-IT, da alle Anwendungen und privaten Geräte, die Mitarbeiter ohne Genehmigung der IT-Abteilung verwenden, als Schatten-IT gelten.
- Ein Unternehmen verwendet vielleicht eine serverbasierte E-Mail-Plattform, doch Benutzer sind damit vertraut, webbasierte E-Mail als E-Mail-Oberfläche zu nutzen.
- In Unternehmen, in denen es keine modernen, gemeinsamen Arbeitsplatzlösungen gibt, werden Anwendungen (z. B. Google Docs) häufig für die Zusammenarbeit an Dokumenten und deren Austausch genutzt, ohne dass dies offiziell genehmigt wurde.
- Anwendungen für die Dateispeicherung und File-Sharing wie Google Drive, Dropbox und Box lassen sich oftmals bequemer nutzen als vom Unternehmen genehmigte Server
- Die Instant-Messaging-Plattform Slack kann häufig in der Schatten-IT von Unternehmen Fuß fassen, wenn sie von Mitarbeitern genutzt wird, bevor sie zu einer offiziell bestätigten Anwendung wird
- Mitarbeiter nutzen private USB-Flash-Laufwerke, um schnell und einfach arbeitsbezogene Daten zu speichern und zu übertragen.
- Produktivitäts-, ToDo-Listen- und Projektmanagement-Apps wie Trello und Asana werden oftmals vor der Genehmigung eingesetzt – von Einzelpersonen oder auch Teams.
- Mitarbeiter nutzen eventuell Messaging-Apps wie WhatsApp, die mehr Funktionen als nur einfaches Text-Messaging bieten.
- Auch Kalender- und Terminplanungs-Apps, die mit den Servern des Unternehmens verbunden werden und einen größeren Funktionsumfang als die offizielle Kalender-App bieten, zählen zur Schatten-IT.
- Kommunikationstools wie Skype und Google Meet bieten schnelle und einfache Möglichkeiten, sich zu unterhalten, ohne die dedizierte Kommunikationsinfrastruktur eines Unternehmens zu nutzen.
- Die Verwendung privater Laptops, Tablets und Smartphones (das Phänomen BYOD, kurz für „Bring Your Own Device“) zählt ebenso zur Schatten-IT, besonders, wenn diese Geräte für Arbeitszwecke genutzt werden, ohne dass dabei geltende Protokolle eingehalten werden.
Zu gängigen Schatten-IT-Anwendungen gehören E-Mail, File-Storage und File-Sharing sowie Messaging.
Was sind Schattendaten (Shadow Data)?
Es gibt verschiedene Definitionen für „Schattendaten“ (Shadow Data), einschließlich Dark Data. Laut der einfachsten Definition sind Schattendaten alle Daten, die durch die Verwendung von Schatten-IT-Anwendungen erstellt wurden. Hier einige Beispiele:
- In Google Sheets erstellte Datenbanken, die von den größeren Datenspeichern des Unternehmens isoliert sind
- Dateispeicher, die auf Speicher- und Sharing-Standorten von Drittanbietern unterhalten werden
- E-Mails, die außerhalb der offiziellen E-Mail-Kanäle ausgetauscht werden
- Textnachrichten, die über nicht offiziell genehmigte Anwendungen ausgetauscht werden
- Alle Informationen, die über einen nicht offiziell genehmigten Kanal ausgetauscht werden, für die möglicherweise spezielle Vorschriften gelten
Schattendaten stellen eine Herausforderung für IT-Teams und das ganze Unternehmen dar, da sie nicht gefunden und identifiziert werden können. Außerdem enthalten diese Daten unter Umständen geschäftskritische Informationen, die dem Unternehmen nicht zur Verfügung stehen, und stellen damit einen Ansatzpunkt für Verstöße gegen die Einhaltung gesetzlicher Vorschriften (Compliance) dar.
Gibt es einen Zusammenhang zwischen Schatten-IT und Cloud-Computing?
Die Zunahme der Schatten-IT ist eng mit der Zunahme von Cloud-Computing verbunden, da die meisten Schatten-IT-Anwendungen Cloud-Anwendungen sind. Die in der öffentlichen Cloud oder als Software-as-a-Service (SaaS) bereitgestellten Anwendungen haben die Verteilung von Software zu einer Aktivität gemacht, die fast unmittelbar erfolgt. Neue und innovative Anwendungen werden in der Regel in der Cloud eingeführt und ersetzen häufig lokal installierte Anwendungen.
Cloud Computing ist nicht für die Zunahme von Schatten-IT verantwortlich, doch die häufigsten Anwendungen auf der Schatten-IT-Liste sind überwiegend Cloud-Services. Aufgrund ihrer einfachen Nutzung und schnellen Implementierung sind Mitarbeiter auch eher geneigt, Cloud-basierte Anwendungen auszuprobieren, wodurch Cloud-Sicherheit immer wichtiger wird.
Welche Vorteile hat Schatten-IT und warum wird sie verwendet?
Mitarbeiter greifen meist zu Schatten-IT, weil sie eine IT-Anforderung haben und das betreffende Tool in ihrem Unternehmen nicht zur Verfügung gestellt wird, weil die Erfüllung der Anforderung zu lange dauern oder zu viel kosten würde oder weil es ihnen untersagt ist, das gewünschte Tool zu verwenden. Schatten-IT bringt zwar eine Reihe von Risiken mit sich, doch die Möglichkeit, dass Mitarbeiter oder Teams ihre eigene Software auswählen, hat potenzielle Vorteile für den Benutzer:
Geschwindigkeit: Ganz gleich, wie schnell die IT-Abteilung eines Unternehmens reagiert, der Prozess aus Vorschlag, Prüfung, Auswahl, Genehmigung und Implementierung eines neuen Software- oder Hardware-Tools braucht Zeit. Wenn eine Schattenversion verfügbar ist, dauert es meist nicht viel länger als das Herunterladen der Anwendung, bis der Mitarbeiter damit loslegen kann.
Flexibilität: Um wettbewerbsfähig zu bleiben, müssen Unternehmen agil sein und ihre Tools und Prozesse anpassen können, um mit dynamischen Geschäftsanforderungen und Branchentrends Schritt zu halten. Dazu gehört die Fähigkeit, schnell zu Tools zu wechseln, die intuitiv, benutzerfreundlich und weniger komplex sind.
Kosteneinsparung: Oft entscheiden sich Unternehmen trotz der damit verbundenen Kosten für professionelle Anwendungen, weil sie bestimmte Auswahlkriterien erfüllen, wie etwa Sicherheitsfunktionen und Skalierbarkeit. Selbst wenn eine professionelle Lösung für Mitarbeiter verfügbar ist, werden die damit verbundenen Kosten wahrscheinlich der eigenen Abteilung in Rechnung gestellt, was eine kostenlose Lösung attraktiver erscheinen lässt.
Effizienz: Große Unternehmen verfügen zwar über Verteilungs-Hubs, von denen die Mitarbeiter zugelassene Software herunterladen können, aber für Mitarbeiter in vielen Unternehmen steigt die Attraktivität von Self-Service-Lösungen als Schatten-IT angesichts des Zeitaufwands für Installation und Erwerb von Lizenzen für zugelassene Software.
Benutzererfahrung: Mitarbeiter fühlen sich zu Schatten-IT-Lösungen hinzugezogen, die eine ansprechendere Benutzeroberfläche haben, selbst wenn die Software und Cloud-Services die geschäftlichen Anforderungen nicht ganz erfüllen. Kostenlose Drag-and-Drop Filesharing-Anwendungen wie Dropbox und Box waren bereits früh stark in der Schatten-IT vertreten, da sie einfacher zu nutzen waren als die genehmigte FTP-Software (File Transfer Protocol) von Unternehmen. Gmail, die Instant-Messaging-Plattform Slack und das Videokonferenz-Tool Zoom wurden oft erst nur inoffiziell genutzt und dann aufgrund der Benutzernachfrage schließlich genehmigt.
BYOD: Schatten-IT umfasst nicht nur Software, sondern auch das Phänomen BYOD („Bring your own device“), bei dem Mitarbeiter ihre privaten Computer, Tablets, Smartphones, Speicher- und sonstigen Geräte für die Arbeit verwenden. Größere Unternehmen gestatten ihren Mitarbeitern die Nutzung ihrer privaten Geräte meist, vorausgesetzt, sie halten sich an die Unternehmensrichtlinien. Es kommt jedoch nicht selten vor, dass Mitarbeiter dieselben Geräte für die Erstellung, Freigabe und Speicherung geschäftskritischer Informationen sowie für die Verbindung mit dem Unternehmensnetzwerk nutzen, ohne angemessene Sicherheitsvorkehrungen zu treffen.
Warum ist die Schatten-IT problematisch für Unternehmen?
Schatten-IT führt zu erheblichen Problemen in Unternehmen: von ineffizienten Prozessen über Geldverschwendung bis hin zu mehr Sicherheitsschwachstellen. Dies sind die wichtigsten Herausforderungen:
Compliance: Viele Bundes- und Landesgesetze sowie Geschäftsprotokolle schreiben vor, dass Unternehmen Compliance-Vorschriften wie PCI, DSGVO und andere einhalten. Wenn Unternehmen jedoch eine Vielzahl von Tools, Lösungen und Verfahren verwenden, führt dies meist dazu, dass Daten in mehreren Anwendungen und an verschiedenen Orten gespeichert werden. Dies wiederum macht es nahezu unmöglich, einen Audit-Trail zu erstellen, wodurch das Risiko von Compliance-Verstößen entsteht.
Sicherheitsrisiken: Durch Schatten-IT entstehen signifikante Cybersicherheitsrisiken, die das Sicherheitsniveau beeinträchtigen können. (Genaueres dazu weiter unten.)
Doppelter Aufwand, doppelte Kosten: Schatten-IT führt zu Zeit-, Geld- und Arbeitsverschwendung, da Geld für Software ausgegeben wird, um Anforderungen zu erfüllen, die bereits von vorhandenen Lösungen abgedeckt werden. Der Zeit- und Arbeitsaufwand, den IT-externe Mitarbeiter für die Installation und Wartung von Schatten-IT-Anwendungen aufbringen, ist pro Kopf vielleicht nicht sehr hoch, summiert sich aber dennoch.
Mangelnde Einheitlichkeit: Unabhängig davon, welche Art von Programm Sie in Betracht ziehen, ob Tabellenkalkulation oder E-Mail-Plattform, macht die Verwendung einer bewährten Lösung doch eine gewisse Einheitlichkeit möglich. Diese geht oft verloren, wenn unterschiedliche oder separate Anwendungen genutzt werden. Fehler, die aus mangelnder Einheitlichkeit und fehlendem Kontext entstehen, bleiben unter Umständen unentdeckt und können sich sogar ausweiten, so dass sie später nur schwer zu korrigieren sind.
Ineffizienz: Wenn Einzelpersonen und Teams gegen IT-Richtlinien verstoßen und ihre eigenen Lösungen verwenden, führt dies häufig zu Ineffizienzen, da die offiziellen Anwendungen und IT-Systeme doch noch von Zeit zu Zeit genutzt werden müssen. Die Mitarbeiter verwenden dann sowohl die Schatten-IT-Lösung als auch die genehmigte Lösung und übertragen oftmals Informationen hin und her.
Opportunitätskosten von Daten: Daten gelten meist als wertvollstes Asset eines Unternehmens, und zwar vor allem die Möglichkeit, sie mithilfe einer leistungsfähigen Business Analytics-Lösung oder Datenplattform als Grundlage von Business-Entscheidungen zu nutzen. Wenn Daten aus vielen Quellen auf viele Systeme verteilt sind, geht die Möglichkeit verloren, diese Daten zu aggregieren und Erkenntnisse daraus zu gewinnen.
Welche Cybersicherheitsrisiken birgt Schatten-IT?
Schatten-IT erhöht die Risiken für Unternehmen, da sie die Angriffsfläche des Netzwerks vergrößert.
Größere Angriffsfläche: Cloud-basierte Anwendungen – und darum handelt es sich beim Großteil der Schatten-IT-Instanzen – befinden sich naturgemäß außerhalb der Firewall eines Unternehmens und sind damit nicht durch die von der IT-Abteilung festgelegt und durchgesetzten Sicherheitsprotokolle geschützt. Wenn Mitarbeiter nicht zugelassene SaaS-Anwendungen verwenden, setzen sie nicht nur sensible Daten und Prozesse dem Risiko von Datenverlust, Datenschutzverletzungen und anderen potenziellen Bedrohungen aus, sondern vergrößern auch die Fläche erheblich, über die sich Cyberangreifer eventuell Zugang zu den Unternehmensnetzwerken verschaffen können.
Umgehung von Richtlinien und Verfahren: Schatten-IT-Anwendungen unterliegen nicht den Richtlinien und Verfahren Ihres Unternehmens, was zu mangelnder Transparenz und anderen Herausforderungen führt. So verlangt Ihre IT-Abteilung wahrscheinlich, dass Sie Ihr Passwort regelmäßig ändern und bestimmte Passwortregeln einhalten. Für Schatten-IT-Anwendungen gelten möglicherweise ebenfalls Passwortrichtlinien, es ist jedoch unwahrscheinlich, dass diese so streng wie in einem Unternehmen sind.
Unsichere Datenübertragung und -speicherung: Schatten-IT-Anwendungen verfügen wahrscheinlich nicht über denselben Grad an Datenverschlüsselung und Authentifizierung wie professionelle Anwendungen für Unternehmen, was das Diebstahlrisiko der darin befindlichen Daten erhöht. Zudem besteht die Möglichkeit, dass Mitarbeiter, die eine Schatten-IT-Instanz erstellen, das Unternehmen verlassen, wodurch Workflows unterbrochen werden und Daten in der Software verbleiben, auf die andere Mitarbeiter keinen Zugriff haben.
Mit welchen Maßnahmen können Sie sich vor den Risiken von Schatten-IT schützen?
Die meisten IT-Experten sind sich einig, dass es immer einige Schatten-IT-Instanzen geben wird, ganz gleich, welche Maßnahmen Unternehmen ergreifen. Es ist daher am sinnvollsten, den Fokus auf die Risikominimierung zu legen und die Mitarbeiter über die Gefahren aufzuklären. Es gibt aber durchaus auch Möglichkeiten, nicht zugelassene Software in einem Unternehmensnetzwerk aufzuspüren.
Ein offenes Ohr für Mitarbeiter haben: In der Praxis ist es sicherlich nicht möglich, jeden Mitarbeiter seinen eigenen Anwendungsmix wählen zu lassen. Die IT sollte jedoch auf die Anforderungen der Mitarbeiter achten, versuchen, diesen nicht hinterherzuhinken, und Anfragen wegen neuer Software ernsthaft prüfen. Wenn man die wichtigsten Faktoren ermittelt, mit denen Mitarbeiter unzufrieden sind, und mit neuen Lösungen darauf reagiert, kann dies viel dazu beitragen, den Frust der Mitarbeiter zu senken.
Sicherheitsrichtlinien festlegen und kommunizieren: Es genügt nicht, Richtlinien für die IT- und Cloud-Sicherheit in das Handbuch für Mitarbeiter aufzunehmen (und viele Aufsichtsbehörden verlangen auch mehr aktiven Einsatz für Compliance). Die IT-Abteilung sollte verständliche und realistische Sicherheitsrichtlinien formulieren, die auch die Schatten-IT berücksichtigen, und diese regelmäßig kommunizieren. Zudem sollte auf Rückmeldungen aus der Belegschaft eingegangen werden. Auch die Folgen von Datenlecks und mangelnder Compliance sollten jedem Mitarbeiter klar aufgezeigt werden.
Technologie zur Erkennung von Schatten-IT verwenden: Es gibt Technologie zur Erkennung von Schatten-IT-Aktivitäten in Ihrem Unternehmen. Anomale Netzwerkaktivitäten (Datenverkehr zu und von neuen IP-Adressen oder ein deutlicher Traffic-Anstieg) können ein Zeichen für die Nutzung von Schatten-IT sein. IT-Abteilungen können außerdem Tools für das Monitoring auf das Herunterladen und Installieren von Software sowie die Migration von Daten und Arbeitslasten verwenden, da diese Migration darauf hindeuten könnte, dass ein Benutzer Informationen an eine nicht genehmigte SaaS-Lösung überträgt.
Firewalls: Wenn Firewalls für ein- und ausgehenden Traffic gepflegt und aktualisiert werden, kann die IT-Abteilung anomale Datenströme identifizieren, die auf Schatten-IT hindeuten könnten.
Sicherheitssoftware: Auch Ihre Sicherheitssoftware ist eventuell in der Lage, anomale bzw. verdächtige Aktivitäten zu identifizieren, die ein Zeichen für die Nutzung von Schatten-IT sein könnten.
BYOD-Richtlinien aktualisieren: Da immer mehr Mitarbeiter private Geräte und Smartphones für die Arbeit nutzen, ist es extrem wichtig sicherzustellen, dass die BYOD-Richtlinien auf dem neuesten Stand sind.
Da Mitarbeiter mit einem einzigen Mausklick in Sekundenschnelle Software installieren können, werden IT-Abteilungen Schatten-IT nie vollständig verhindern können. Es ist daher wichtig zu verstehen, warum sich Mitarbeiter für Schatten-IT entscheiden, und diese anschließend effektiv zu verwalten. Die Tatsache, dass viele Mitarbeiter die IT-Abteilung als Hürde für den Fortschritt sehen, ist keine unlösbare Herausforderung. Ihr IT-Team sollte intensiv daran arbeiten, als Partner gesehen zu werden, indem es Mitarbeitern hilft, bestehende Richtlinien zu verstehen und gleichzeitig den Weg zu neuen, effektiveren und ansprechenderen Anwendungen ebnet. Für den Fall der Fälle stehen Technologielösungen zur Verfügung, mit denen Ihr Team Schatten-IT erkennen und die Risiken eindämmen kann, bevor Probleme entstehen. Denn eines ist sicher: Schatten-IT wird uns auch in Zukunft begleiten. Die Herausforderung besteht darin, wie IT-Abteilungen auf diese Tatsache reagieren, um die Mitarbeiter dabei zu unterstützen, die Produktivität zu steigern.
