Das Gespenst der Schatten-IT

Die IT selbst operiert gern im "Schatten"

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Beim Thema Schatten-IT zeigen die Informatiker gern mit dem Finger auf die Endanwender. Dabei treiben sie es selbst noch schlimmer, so eine aktuelle Studie.

Fachbereiche beschaffen gern SaaS-Lösungen (Software as a Service) an der IT vorbei. Das ist nicht neu. Doch überraschenderweise ist diese Art von "Schatten-IT" immer öfter auch in den IT-Abteilungen selbst präsent. Das legt zumindest eine Studie nahe, die das Beratungsunternehmen Frost & Sullivan sowie der IT-Sicherheits-Spezialist McAfee gerade veröffentlicht haben.

Das Gespenst der Schatten-IT spukt offenbar auch in der IT selbst.
Das Gespenst der Schatten-IT spukt offenbar auch in der IT selbst.
Foto: Matej Kastelic - Shutterstock.com

Für den Bericht "The Hidden Truth behind Shadow IT" standen jeweils 300 IT-Profis und Fachbereichsmitarbeiter Rede und Antwort. Sie wurden insbesondere danach gefragt, ob sie im Beruf SaaS-Anwendungen ohne offizielle Erlaubnis einsetzen.80 Prozent räumten ein, das zu tun.Einige wenige waren sich in dieser Hinsicht nicht ganz sicher. Nur ein knappes Fünftel wusch seine Hände in Unschuld. Dieser Anteil liegt in den Fachbereichen sogar geringfügig höher (19 Prozent) als in den IT-Abteilungen (17 Prozent). Mit anderen Worten: Die IT-Mitarbeiter operieren häufiger im Schatten als die von ihnen gescholtenen Endanwender.

Von den IT-Profis, die sich schuldig bekannten, begründeten 42 Prozent ihr Verhalten damit, dass sie schließlich "vertraut" mit dem Gebrauch solcher Services seien. Ein Drittel räumte ein, der Genehmigungsprozess für neue Softwareanwendungen in der IT sei zu langsam und mühselig. Und wiederholte damit ein Argument, das auch von den Fachbereichen häufig vorgebracht wird. Bleibt etwa ein Viertel, nach dessen Ansicht die nicht genehmigte Software ihren Ansprüchen besser genügt als das von der IT freigegebene Äquivalent.

Beliebte Schattenanwendungen sind - für alle 600 Befragten - solche Applikationen, mit denen sich die geschäftliche Produktivität erhöhen lässt. Zu den Favoristen zählen aber auch Social-Media-, File-Sharing- Online-Speicher- und Backup-Lösungen aus der Cloud. An konkreten Produkten stehen Microsoft Office 365, Google Apps, LinkedIn und Facebook sowie Dropbox und Apple iCloud auf der Liste der nicht genehmigten Anwendungen ganz oben.

Die Risiken ihres Verhaltens sind den Missetätern durchaus bewusst, so die Studie. Etwa die Hälfte der Befragten machen sich eigenen Angaben zufolge durchaus Gedanken über Themen wie Datenlecks und -diebstahl oder das etwaige Unvermögen, in der Cloud gespeicherte Daten korrekt wiederzuerhalten. 22 Prozent bekannten, sie hätten schon mindestens einmal einen Sicherheitsvorfall im Zusammenhang mit Sozialen Medien erlebt; 16 Prozent sagten Dasselbe von File-Sharing- Backup oder Speichersoftware aus dem Netz.

Doch ihr Verhalten ändern die Befragten deshalb noch lange nicht: "Trotz ihrer tief greifenden Erfahrungen fühlen sich mehr als 80 Prozent der Antwortgeber offenbar im Recht, wenn sie weiterhin nicht genehmigte Services nutzen, ohne sicherzustellen, dass die Schutz-Policies der IT Beachtung finden", so der Bericht. Allgemeine Ansicht sei: "Der Zweck heiligt die Mittel."

Was aber kann die IT gegen die Schatten-IT ausrichten - vor allem angesichts der Tatsache, dass die eigenen Mitarbeiter darin mindestens genauso verwickelt sind wie ihre internen Kunden? Jennifer Geisler, Senior Director in der Network Security Division von McAfee, empfiehlt, zunächst einmal die Policies hieb- und stichfest zu machen. Dabei müsse der Chief Security Officer quasi einen Kompromiss zwischen dem Bedarf an SaaS-Lösungen und den Sicherheitsanforderungen des Unternehmens finden.

Es sei möglich, den Gebrauch von SaaS-Lösungen technisch zu überwachen, so Geisler, aber solche Services komplett zu verbieten lasse sich kaum bewerkstelligen. Deshalb müssten die IT-Security-Verantwortlichen gangbare Wege finden, wie sich Passwörter, Identity- und Access-Management, Verschlüsselung und Maßnahmen gegen Datenverlust kontrollieren lassen. Auf jeden Fall sollte die IT aufhören, mit dem Finger auf die Fachbereiche zu zeigen, wenn sie selbst erwiesenermaßen Teil des Problems sei.