Rogue applications fly under-the-radar and are unaffected by IT policies – often called shadow IT.

Was ist Schatten-IT?

Bringen Sie Licht in Ihre Assets

Was ist Schatten-IT?

Das Sprichwort “SH(adow)IT happens” wird Ihnen geläufig sein

In der komplexen IT-Welt von heute kann es schnell passieren, dass die Verwaltung und Kontrolle von Technologie-Assets aus den Fugen geraten. Unternehmen haben es zunehmend schwerer, den Überblick zu behalten, welche Assets genau sie erworben haben, welche bereits implementiert wurden, ob sie ordnungsgemäß verbraucht werden, wie und von wem genau sie verwendet und gesichert wurden. Das liegt an der sogenannten „Schatten-IT“, die auftritt, wenn Nutzer innerhalb von Unternehmen anfangen, Systeme und Anwendungen ohne die ausdrückliche Freigabe der IT-Abteilung zu installieren. 

Handeln Sie jetzt

Wieso stellt das ein Problem dar?

Da Schatten-IT jegliche Art von Anwendung sein kann, die für Geschäftsprozesse genutzt wird, jedoch nicht von einer zentralen IT- oder IT-Sicherheitsabteilung genehmigt wurde, liegt die Wahrscheinlichkeit enorm hoch, dass sie nicht von einer dieser Abteilungen entwickelt wurde, unterstützt wird, oder dass sie sich überhaupt über dessen Existenz innerhalb des Unternehmens bewusst ist. Dies stellt ein Problem dar, weil es die Wahrscheinlichkeit eines inoffiziellen Datenflusses erhöht und die Einhaltung folgender Datenkonformitätsbestimmungen massiv erschwert:

  • Sarbanes-Oxley Act
  • Basel II
  • GLBA (Gramm Leach Bliley Act)
  • COBIT (Control Objectives for Information and Related Technology)
  • FISMA (Federal Information Security Management Act of 2002)
  • DFARS (Defense Federal Acquisition Regulation Supplement)
  • GAAP (Generally Accepted Accounting Principles)
  • HIPAA (Health Insurance Portability and Accountability Act)
  • IFRS (International Financial Reporting Standards)
  • ITIL (Information Technology Infrastructure Library)
  • PCI DSS (Payment Card Industry Data Security Standard)
  • TQM (Total Quality Management)
  • DSGVO (Europäische Datenschutz-Grundverordnung)
Roughly 90% of all installed applications are unknown to IT departments.

Das Ignorieren der Schatten-IT ist keine Lösung

SoftwareONE schätzt, dass rund 90% aller installierten Anwendungen den IT-Abteilungen unbekannt sind - selbst in stark regulierten Finanz-, Politik- und Gesundheitsorganisationen. Mit verschiedenen Datenschutzverordnungen, die derzeit global gelten, ist es wichtig, dass Ihre Organisation nicht bloß akzeptiert, dass Shadot IT existiert, sondern darauf reagiert. Schatten-IT kann bereits zu einem Compliance-Problem werden, wenn beispielsweise ein Mitarbeiter Unternehmensdaten in seiner persönlichen Dropbox oder in seinem Google Drive-Konto speichert.

Anwendungen, die unterhalb des Radars Ihrer Unternehmens-IT und deren Sicherheitsrichtlinien fliegen, bergen eine Reihe von rechtlichen und Sicherheitsrisiken für Ihr Unternehmen, da sie nicht von den selben Sicherheitsmaßnahmen erfasst werden wie unterstützte Technologien. 

IT and Information Security team are responsible for the risks involved from Shadow IT.

Wer steckt mit unter der Decke?

Das Beratungsunternehmen CEB schätzt, dass 40% der IT-Ausgaben eines Unternehmens außerhalb der IT-Abteilung getätigt werden. Das schnelle Wachstum wird normalerweise von der Qualität der Verbraucheranwendungen in der Cloud gefördert, z. B. Filesharing-Apps, soziale Medien und Tools für die Zusammenarbeit. Zunehmend tragen auch Geschäftsbereichen ihren Teil dazu bei, die SaaS-Anwendungen der Enterprise-Klasse bereitstellen. In vielerlei Hinsicht macht Schatten-IT Unternehmen agiler und Mitarbeiter produktiver. Die IT und das IT-Sicherheits-Team sind jedoch weiterhin dafür verantwortlich, die Sicherheit und Konformität der Geschäftsdaten zu gewährleisten, die Mitarbeiter hochladen.

Wer ist für die mit der Schatten-IT verbundenen Risiken verantwortlich?

Die IT und Ihr IT-Sicherheitsteam. Während die IT nicht für die physische Infrastruktur oder die Verwaltung der Anwendung verantwortlich ist, ist sie dafür verantwortlich, dass Unternehmensdaten beim Hochladen in die Cloud sicher bleiben. Dies bringt die IT in eine schwierige Position. Sie könnten erwägen, Mitarbeitern die Cloud-Apps für ihre Arbeit zu verweigern, und sogar den Zugriff auf Cloud-Apps mithilfe der Firewall oder des Web-Proxys des Unternehmens zu blockieren. Wir empfehlen dies nicht. Leider können Mitarbeiter für jede blockierte App andere, weniger bekannte und potenziell riskantere Dienste finden, die sie stattdessen nutzen können.

Es ist wichtig zu beachten, dass die Gefühle gegenüber der Schatten-IT gemischt sind. Einige IT-Manager befürchten möglicherweise, dass Enduser, falls Schatten-IT bewusst zugelassen werden sollten, Datensilos erstellen und so verhindern könnten, dass Informationen im gesamten Unternehmen frei fließen.

40% of IT spending at a company occurs outside the IT department.

Was können Sie gegen Schatten-IT tun?

Wir bei SoftwareONE sind überzeugt, dass der volle Umfang der Schatten-IT innerhalb eines Unternehmens nicht bestimmt werden kann ohne dessen Umgebung mithilfe von Scanning-Tools gründlich zu inventarisieren. Folgende Aktionen können Sie jedoch auch bereits unabhängig davon in Gang setzen:

Verbessern Sie die Zusammenarbeit

Benutzer möchten produktiv sein, und manchmal muss die IT mehr Auswahl bieten und ein „Business Enabler“ sein, anstatt einfach Anforderungen abzulehnen, die nicht Teil der genehmigten Geschäftsanwendungen sind.

Um die Risiken der Schatten-IT abzuwenden, treffen Sie sich regelmäßig mit Benutzern und hören Sie, was sie zu ihren Anliegen und Technologien zu sagen haben, von denen sie glauben, dass sie ihre Anliegen angehen können. Ihre IT muss eine proaktive Servicekultur fördern, um den Einsatz von Schatten-IT einzuschränken, und die Anforderungen von Abteilungen und Benutzern zur Verbesserung der Produktivität verstehen

Managen Sie Ihre Software Assets

Es ist von grundlegender Bedeutung, jederzeit die Kontrolle darüber zu haben, welche Technologien innerhalb Ihres Unternehmens verwendet werden und welche Daten verarbeitet werden. Die IT muss einen vorab genehmigten Softwarekatalog führen, der von den Benutzern ausgewählt werden kann, um nicht auf die Genehmigung der Software warten zu müssen. Durch die Zusammenarbeit mit Benutzern kann die IT diesen Katalog regelmäßig mit relevanter Software pflegen. Das IT-Sicherheitsteam muss über eine automatische Erkennungskontrolle verfügen, um installierte Software zu verfolgen und zu überwachen, die protokolliert und untersucht werden kann.

Bleiben Sie compliant

Mit Blick auf die Schatten-IT ist die Einhaltung Ihrer Compliance gegenüber staatlichen Verordnungen wie der DSGVO, die den Schutz der Daten Ihrer Kunden sicherstellen sollen, von grundlegender Bedeutung. Die IT muss den Datenzugriff streng kontrollieren, um sicherzustellen, dass die Daten sicher und genau sind. Das Verwalten des Zugriffs und das Überwachen des privilegierten Zugriffs sind von entscheidender Bedeutung. Andere Aspekte, einschließlich Sicherungen, Wartung der neuesten Versionen und Behebung von Sicherheitslücken, sind für den Schutz von Daten von entscheidender Bedeutung. Wenn Benutzer nicht genehmigte Software installieren und verwenden, sollten sie über bewährte Sicherheitsmethoden und die Auswirkungen ihrer Aktionen informiert werden.

Trotzdem ist nicht alles schlecht an der Schatten-IT – wenn sie effektiv verwaltet wird, könnte sie sogar eine Quelle für Innovationen bedeuten. Neue oder jüngere Mitarbeiter bevorzugen möglicherweise Software, die für das Unternehmen von Vorteil sein kann. Anstatt die Schatten-IT unreflektiert in ihrer Gänze zu verdammen, sollte Ihr IT-Team einen Prozess für deren Verwaltung durch den kontinuierlichen Einsatz von Scan-Tools und anderen nützlichen Managed Services von SoftwareONE erstellen.

Die Top 6 Schatten-IT-Checkpoints

Im Folgenden listen wir die Top 6-Punkte auf, über die Schatten-IT Wege in Ihr Unternehmen findet:

#1 Software as a Service (SaaS)

Benutzer haben eine breite kostenlose Auswahl an Cloud-basierten Apps, mit denen sie ihre Geschäftsanforderungen erfüllen möchten. Die IT-Abteilung hat selten eine Vorstellung davon, was verwendet wird und was zu Sicherheits- und Compliance-Problemen führen kann. IT-Abteilungen erkennen dann, dass das Problem nicht darin besteht, dass sich ein einzelner Benutzer hier oder da für einen einzelnen Service anmeldet, sondern in der Breite der verschiedenen Nutzer und Anwendungen.

#2 Public Cloud

2019 enthielten 21% aller Dateien in der Cloud vertrauliche Daten. In den zwei Jahren davor stieg der Austausch sensibler Daten über offene, öffentlich zugängliche Links um 23%. Dies geht aus dem Cloud Adoption and Risk Report von McAfee hervor. Der Bericht zeigt auch, dass 5,5% der AWS S3-Buckets über "World Read" -Berechtigungen verfügen, die sie für die Öffentlichkeit zugänglich machen. Die durchschnittliche Organisation nutzte 1.935 einzigartige Cloud-Services, was einem Anstieg von 15% gegenüber dem Vorjahr entspricht. Dem Bericht zufolge denken die meisten leider, dass sie nur 30 verwenden. 

#3 On-Premises Apps

In einer on-Premises Umgebung scheint es einfach zu sein, unerwünschte Apps zu blockieren, dies stellt jedoch keine vollständige Lösung dar. Beispielsweise können selbst Makros, die Mitarbeiter in FileMaker Pro oder Excel verwenden, eine Bedrohung für ein Unternehmen darstellen.

Denken Sie auch an mobile Apps, da diese noch schwieriger zu steuern sind, insbesondere wenn BYOD eine Option für Benutzer ist.

#4 Security

Die Verschiebung von Gehaltsabrechnungen, Projekten, Backups und Geschäftsplanungen in die Cloud haben zu Herausforderungen im Bereich der IT-Sicherheit geführt, mit der viele Unternehmen derzeit Probleme haben. Obwohl die Vorteile der Cloud unzweifelhaft im Raum stehen –  Kosteneinsparung, einfache Einrichtung, Flexibilität und Mobilität –, hat die Unternehmens-IT selten ein vollständiges Bild davon, was für Anwendungen genau verwendet werden, und das kann zu Sicherheits- wie Compliance-Risiken führen. 

#5 DSGVO

Genau wie bei SaaS können Benutzer selbst entscheiden, ein Cloud-Abonnement zu starten. Das Risiko von Sicherheitslücken ist jedoch viel größer und die eingeschränkte Sichtbarkeit macht es der IT-Abteilung unmöglich, die Benutzerplattform zu unterstützen.

#6 Richtlinien

In einer on-Premises Umgebung ist es einfach, unerwünschte Apps zu blockieren, dies gilt jedoch nicht als vollständige Lösung. Was ist mit Makros, die Mitarbeiter mit Filemaker Pro oder Excel erstellen?

Unsere Experten bei SoftwareONE sind vorbereitet, um Kunden bei Ihrem Bestreben zu helfen, Ihre Schatten-IT zu eliminieren oder zumindest zu reduzieren. 

Mit den passenden Prozessen und Richtlinien helfen wir Unternehmen dabei, nicht genehmigte Installationen und unautorisierten Gebrauch zu unterbinden. 

Das Einrichten der richtigen Prozesse und Verwaltungsstrukturen zur Verhinderung von Schatten-IT  enthält immer eine Komponente des Change Managements als entscheidenden Bestandteil, da es letztendlich darum geht, das Verhalten der Mitarbeiter zu ändern. Unsere Berater helfen Ihnen beim Entwerfen von Prozessen, um Nutzern bequeme Erfahrungen mit Softwareanfragen zu bieten. Durch die Auswertung Ihrer Tool-Landschaft und die Verwendung von Daten können wir Verfahren entwerfen, die die Vorlaufzeit erheblich reduzieren. Mit der richtigen Kommunikationsstrategie werden Ihre Benutzer dazu gebracht, die gewünschten Standardprozesse verwenden, sowie ein gezielter Diskurs darüber geschaffen, was Schatten-IT bedeutet, um eben diese letzten Endes zu vermeiden.

Da kein Prozess- und Verwaltungskonzept zu 100% funktioniert, können Kunden mit SoftwareONE messen und feststellen, was genau bei ihnen schief läuft. Durch die Definition einer präzisen Strategie können wir gemeinsam feststellen, inwieweit Schatten-IT Ihre Softwarelandschaft beeinträchtigt. Unter Berücksichtigung von mobilen Apps, lokalen Anwendungen, XaaS (Anything as a Service) und Rechenzentren wird es keine einzelne Lösung geben, sondern eine Reihe von Tools und Prozessen, die Ihre gesamte Softwareumgebung abdecken. Sobald Sie Ihre Umgebung gescannt haben, können wir Sie bei der Ermittlung Ihres Risikos und der Definition von weiterführenden Strategien unterstützen. Unsere Experten verwenden verschiedene Datenquellen, um Bedrohungen für Ihre Umgebung zu identifizieren, unabhängig davon, ob es sich um Fragen von Compliance, DSGVO oder Cybersicherheit handelt.

Visibility Across Your Software Estate

Download our latest guide on how to effectively manage Shadow IT & better protect your software assets.

Download eBook Today

Die Chroniken der Schatten-IT

Verwandte Artikel

Hilfe für Ihr Unternehmen: Softwarekosten in turbulenten Zeiten reduzieren

Softwarekosten in turbulenten Zeiten reduzieren

Die Zeiten sind turbulent und Änderungen fast die Regel. Umso wichtiger ist es, gerade jetzt neben den technischen Herausforderungen, wie etwa den Remote-Arbeitsplätzen, das Cashflow-Management nicht zu vernachlässigen.

5 Key Business Benefits of SLM

Die 5 wichtigsten Geschäftsvorteile von SLM

Der Schlüssel zur Verringerung der Komplexität von Softwarebeständen ist Software Lifecycle Management. Erhalten Sie in unserem Blogbeitrag einen Überblick über die fünf wichtigsten Geschäftsvorteile von SLM.

Nehmen Sie Kontakt mit uns auf

Bitte füllen Sie dieses Formular aus, unsere Experten werden sich anschließend umgehend mit Ihnen in Verbindung setzen.

Kontakt aufnehmen