Nur erlaubte, geprüfte und sichere IT-Lösungen im Einsatz? Das ist die Wunschvorstellung vieler Unternehmen – insbesondere der IT-Sicherheitsbeauftragten. Leider sieht die Realität meist anders aus. Mitarbeitende nutzen Software und Hardware, die nicht explizit genehmigt ist: Dann spricht man von Schatten-IT. Aber welche Risiken stecken wirklich dahinter und wie verhindert man den Einsatz unerlaubter IT? Das sollten Sie über Schatten-IT wissen.
Laut einer Gartner-Studie haben 2022 rund 41% der Mitarbeitenden in befragten Unternehmen IT-Lösungen genutzt, modifiziert oder sogar kreiert, von der die IT-Abteilung nichts wusste. Bis 2027 soll sich der Anteil auf 75% erhöhen – so die Vorhersage. Kein Wunder also, dass 69% der Tech Executive die Schatten-IT als große Sorge in der IT-Sicherheit betrachten, so eine Torii-Studie 2022. Grund genug, die unerlaubten Software und Hardware ans Licht zu bringen.
Was ist Schatten-IT?
Unter Schatten-IT wird Software und Hardware verstanden, die Mitarbeitende ohne Erlaubnis nutzen. Auf Englisch wird auch von „Shadow-IT“ gesprochen. Dabei handelt es sich nicht zwangsläufig um schadhafte oder gefährliche Malware. Und es muss auch keine böswillige Absicht der Mitarbeitenden dahinterstecken.
Oft ist Schatten-IT einfach im Einsatz, weil es keine erlaubte Alternative gibt oder die Regeln nicht bekannt sind.
Shadow-IT-Beispiele
Unerlaubte Software und Hardware kann es in vielen Bereichen geben. Folgende Beispiele für Schatten-IT sind besonders verbreitet:
- Cloud-Lösungen: Viele Mitarbeitende nutzen Public-Cloud-Lösungen wie OneDrive, Dropbox oder Google Drive, ohne zu wissen, dass das nicht erlaubt ist.
- Private Hardware: Vom eigenen Smartphone die E-Mails checken oder vom privaten Notebook das interne Netzwerk aufrufen – auch das gilt als Schatten-IT, wenn es nicht den Richtlinien entspricht.
- Apps und Programme: Oft laden Mitarbeitende selbstständig Software herunter, die sie gerade brauchen. Das kann von PDF-Bearbeitungsprogrammen bis zum Musik-Streaming reichen.
- Künstliche Intelligenz: In den letzten Jahren ist auch die KI als Schatten-IT dazugekommen. Mitarbeitende nutzen ChatGPT, Perplexity & Co, ohne KI-Richtlinien zu kennen oder zu befolgen.
Diese Beispiele zeigen, wie breit das Feld der Schatten-IT ist. Das lässt keine Zweifel offen, wie verbreitet das Phänomen ist. Und es gibt eine erste Idee davon, welche Risiken die Shadow-IT birgt.
Risiken der Schatten-IT
Unerlaubte Software und Hardware führt vor allem zu Sicherheitsrisiken. Die Erklärung dafür ist einfach: IT-Sicherheitsmaßnahmen können nur schwer bei Software und Cloud-Lösungen greifen, die der IT-Abteilung nicht bekannt sind. So wird Schatten-IT auch zum Datenschutzrisiko.
Laut IBM-Report 2024 spielt in 1 von 3 Datenschutzverletzungen in Unternehmen „Shadow Data“ eine Rolle – also Daten, die mittels Schatten-IT gespeichert werden.
Damit erschwert Schatten-IT automatisch auch die Einhaltung von Compliance-Richtlinien. Außerdem ist es inneffizient, wenn neue Software nicht offiziell genutzt werden kann. Das verhindert beispielsweise die Zusammenarbeit über Tools, die (noch) nicht erlaubt wurden.
So untersuchte eine NextPlane-Studie 2018 die Risiken von Shadow-IT im Bereich von „Collaboration-Tools“, welche die Zusammenarbeit erleichtern sollen. Neben Sicherheitsrisiken (79%), berichten 71% der IT-Verantwortlichen von negativen Auswirkungen auf die Produktivität und Effizienz.
Nur 23% der IT-Verantwortlichen glauben dabei, Einblick in die verwendeten Tools zu haben.
Hat Shadow-IT auch Vorteile?
Die Risiken der Schatten-IT sind potenziell groß. Aber stecken auch Chancen hinter der unerlaubten Software und Hardware? Durchaus, wenn Mitarbeitende wirklich nützliche Technologien einsetzen. Denn wenn sie eigenständig Software beschaffen oder von der privaten Hardware arbeiten, dann kann das auch Innovationsbereitschaft und mehr Effizienz bedeuten.
Deshalb ist es wichtig, Schatten-IT zwar zu verhindern, aber gleichzeitig auch die Regulierungen so flexibel zu halten, dass Mitarbeitende nicht komplett eingeschränkt werden. Neue Software ist schließlich nicht nur Gefahr, sondern auch eine Chance – nicht nur im Bereich der KI.
Schatten-IT verhindern: 5 Tipps
Es gibt verschiedene Möglichkeiten, gegen Shadow-IT vorzugehen. Harte Strafen und Kontrollen sind eine davon – allerdings keine besonders effiziente und innovationsfreudige. Wir haben fünf Tipps für Sie, wie Sie der unerlaubten IT-Nutzung entgegenwirken, sie aber gleichzeitig als Chance betrachten.
1. Sicherheitsrichtlinien aufstellen
Schatten-IT wird oft unbewusst verwendet. Mitarbeitende müssen die Regeln kennen, um sie wissentlich zu brechen. Der wichtigste Schritt ist also, Richtlinien aufzustellen und sie im Unternehmen zu verbreiten. Gehen Sie offen an das Thema heran und ermutigen Sie Mitarbeitende, die Regeln zu befolgen und von Schatten-IT abzusehen. Wichtig sind dafür drei Schritte:
- Bestandsaufnahme: Beginnen Sie damit, eine Bestandsaufnahme der IT zu machen. Welche Software und Hardware ist im Einsatz – offiziell und inoffiziell.
- Richtlinien aufsetzen: Legen Sie anschließend schriftlich fest, welche IT-Anwendungen erlaubt sind. Definieren Sie dabei auch eindeutig, was nicht erlaubt ist.
- Schatten-IT thematisieren: Damit ist auch klar, welche Software und Hardware zur Schatten-IT zählt. Klären Sie die Mitarbeitenden darüber auf.
2. Klare und vernünftige Konsequenzen einführen
Laut einer Entrust-Datacard-Studie 2019, gibt es in 37% der Unternehmen keine klaren Konsequenzen für den Einsatz von Shadow-IT. Gibt es diese doch, dann sind sie oft zu hart. So kommt es bei 40% der Unternehmen nach dem zweiten Verstoß bereits zur Kündigung. Das führt aber nicht dazu, dass weniger Schatten-IT verwendet wird. Im Gegenteil: 35% der Mitarbeitenden trauen sich nicht, sie zu melden, um ihre Kollegen nicht zu gefährden.
Es braucht also klare Konsequenzen in vernünftigem Rahmen: Wird Shadow-IT gemeldet, dann sollte es zur Aufklärung und Weiterentwicklung der IT genutzt werden, nicht als Grund zur Bestrafung.
3. Zugang zu neuer Software erleichtern
Schatten-IT zeigt oft auf, wo es an passenden, erlaubten IT-Lösungen mangelt. Vereinfachen Sie also den erlaubten, offiziellen Zugang zu neuer Software. Mitarbeitende können beispielsweise per Formular einreichen, welche Programme sie benötigen. Dann sollten IT-Verantwortliche schnell und flexibel reagieren.
So kann bisher unentdeckte Schatten-IT auch zur Chance werden, während gleichzeitig die IT-Sicherheit nicht darunter leidet. Die wichtigste Maßnahme gegen unerlaubte IT ist schließlich, die nötigen IT-Lösungen bereitzustellen.
4. Shadow-IT-Monitoring betreiben
Wie so oft, gilt auch hier das Motto: „Vertrauen ist gut, Kontrolle ist besser“. Da Mitarbeitende oft aus Unwissenheit handeln, ist das Monitoring der Schatten-IT ratsam. Behalten Sie die genutzte Software im Blick und überprüfen Sie regelmäßig die Einhaltung der Richtlinien. Das gelingt beispielsweise durch eine Firewall, die den Netzwerkverkehr überwacht und auf unerlaubte Software hinweist.
5. Downloads von Schatten-IT verhindern
Sicherheitsmaßnahmen wie Firewalls ermöglichen auch, die Nutzung von Schatten-IT zu blockieren. So können Mitarbeitende beispielsweise nur freigegebene Anwendungen nutzen. Nicht autorisierte Programme können etwa nur unter Eingabe des Administrator-Passwortes installiert werden.
Behalten Sie dabei im Hinterkopf, dass solche Maßnahmen auch die Innovationsbereitschaft hemmen können. Außerdem greifen Mitarbeitende dann vielleicht erst recht zu eigenen, privaten Geräten. Setzen Sie also nicht nur auf Kontrolle und Einschränkung: Erleichtern Sie vor allem auch den Zugang zu neuen IT-Lösungen.
Von der Schatten-IT zu mehr IT-Sicherheit
Den wichtigsten Schritt gegen Schatten-IT in Ihrem Unternehmen haben Sie gerade getan: Sich darüber zu informieren, löst bereits einen Teil des Problems. Denn oft sind es nicht die Software und Hardware ansich, die problematisch sind. Es ist die unerlaubte und vor allem unentdeckte Nutzung. Holen Sie die IT aus dem Schatten, um die Risiken zu mindern und Chancen zu nutzen.
Als Partner für Ihre IT-Sicherheit unterstützt Net Professionals gerne dabei, Licht ins Dunkel Ihrer IT-Infrastruktur zu bringen: von den Sicherheitsrichtlinien bis zum IT-Monitoring. Kontaktieren Sie uns einfach – dann machen wir Ihr IT-Leben leichter.
