Ad-hoc beschaffte Cloud-Services oder Apps, wie auf dem Campus oder privat, sind nie eine Option im Unternehmensumfeld. Zu gross sind die Risiken juristischer Konsequenzen durch Datenverlust. (Bildquelle: Unsplash, Austin Distel)
CAS IT Management & Agile Transformation

Schatten-IT: Wie man sie erkennt und wie man mit ihr umgeht

von Patrick Leu

Nicht in die Unternehmensarchitektur integrierte IT-Services gefährden Datenschutz und Datenintegrität. Sie stellen zudem ein hohes operatives Risiko dar und unterwandern bestehende Konformitäts- und Sicherheitsbestrebungen. In der Folge können sie zu erhöhten operativen Kosten und zu Reputationsschäden führen.

Schatten-IT hat viele Gesichter (Zimmermann (2018)). Stark an Popularität zugenommen haben in vergangener Zeit vor allem zwei Ausprägungen: Cloud-Anwendungen (SaaS, BSI Cloud Grundlagen) und Apps. Beide sind einfach zu beschaffen. Apps sind zudem meistens so günstig, dass sie in einer Spesenabrechnung nicht hinterfragt werden. Browser basierte Cloud-Anwendungen können darüber hinaus schlecht detektiert und blockiert werden, was sie auf geschäftlicher Infrastruktur ungehindert anwendbar macht. Die damit erzeugten Daten befinden sich in beiden Fällen irgendwo in der Cloud. Genau das ist eines der wesentlichen Risiken. Das Verständnis zu Privatsphäre oder Datenschutz wird ausserhalb der Schweiz und Europa meistens etwas anders betrachtet; falls überhaupt. (Staatenliste 2020 EDÖB (PDF), Länderbericht freedomhouse.org (Link)).

Risiken beim unsachgemässen Gebrauch von IT-Mittel

Daten sind somit latenten Risiken ausgesetzt (Kaspersky (2020)): Wo werden sie gespeichert? Wer hat Zugriff darauf? Sind sie richtig geschützt? Wie bringt man sie wieder raus? Liegt eine Einwilligung bei personenbezogenen Daten vor? Die Beantwortung darauf ist wichtig und zeitintensiv. Als Folge darauf erscheinen IT-getriebene Umsetzungen als zu lange (Urbach et al (2016) S.68). Eine Dezentralisierung von Datenbeständen durch den willkürlichen Software-Einsatz macht es zudem schwieriger, effektive und effiziente Schutz- und Überwachungsmassnahmen zu treffen. Erschwerend dazu höhlen sie bestehenden Anstrengungen aus.

Miteinander geht’s besser

Was läuft schief, wenn die IT nicht weiss, was das Business braucht und das Business beweist, dass sie IT unterschätzt? Ein wesentlicher Faktor, ist das fehlende oder mangelhafte, regelmässige Abgleichen zwischen IT und Business (Neudeutsch: Alignment). Die IT muss inhärenter Bestandteil des Business werden. Das geht am besten, wenn sie

  1. als Ermöglicher und nicht als Kostenfaktor verstanden wird und
  2. sich unters Business mischt. Die Zeit der Kellerkinder und Technik-Primadonnen ist vorbei.

Organisationsformen, die ein solches Durchmischen ermöglichen, finden sich in agilen Modellen wie beispielsweise SAFe (Link). Anforderungen können so direkt und unmittelbar erkannt, formuliert und umgesetzt werden.

Bringen Sie Licht in Ihre Schatten-IT

Aus eigener Erfahrung können passive Scans des Internetverkehrs erstaunliches zutage führen. So meinte eine IT-Organisation vor einigen Jahren das Thema Cloud im Rahmen ihres IT-Servicemanagements dem Business anbieten zu wollen. Allerdings hatte das Marketing schon über 110 Cloud-Services aktiv im Einsatz – ohne Involvierung der IT, der Information-Security oder des Rechtsdienstes.

Drei Möglichkeiten zur Behandlung von Schatten-IT

Da viele Cloud-Services produktiv waren, kam abstellen als Option nicht in Frage. Genauso wenig wie ein wirtschaftliches und sicheres Weiterbetreiben. Was tun? Wir entschieden uns die Risikoeigentümerschaft bei den Bestellern anzusiedeln. Damit trugen sie per sofort sämtliche Risiken und Konsequenzen. Das förderte die Motivation für eine weitere, lösungsorientierte Zusammenarbeit ungemein.

Für eine methodische Behandlung gefundener Schatten-IT beschreibt Zimmermann eine kriterienbasierte Gruppierung in:

  • Eliminieren: Nach bedarfsgerechter Datenvernichtung ersatzlos streichen
  • Integrieren: In bestehende, allenfalls erweiterte IT-Mittel portieren
  • Delegieren: Kompetenzzentren für fachspezifische IT bilden

Die für das Aufräumen benötigten Business und IT-Ressourcen, hätte man im erwähnten Beispiel, wertschöpfender einsetzen können.

Quellen und weiterführende Links:

  • Zimmermann, Der Umgang mit Schatten-IT in Unternehmen (2018), Verlag Springer Gabler: Link
  • EDÖB – Staatenliste zum Stand des Datenschutzes, September 2020: PDF
  • Freedomhouse.org (englisch) – Länderberichte: Link
  • Kaspersky – Die Bedrohung der Schatten-IT : Link
  • Nils Urbach, Frederik Ahlemann, IT-Management im Zeitalter der Digitalisierung (2016), Verlag Springer Gabler: Link
  • Scaled agile Framework SAFe (englisch): Link
  • BSI – Cloud Grundlagen: Link
  • Forbes – Schatten-IT ist kein technisches Problem (englisch): Link
Beitrag teilen

Patrick Leu

Patrick Leu ist IT-Revisor bei der Migros Bank AG und bloggt aus dem Unterricht des CAS IT-Management und agile Transformation.

Alle Beiträge ansehen von Patrick Leu →

Schreibe einen Kommentar