Foto: hamburg berlin - shutterstock.com
Manchmal ist es Bequemlichkeit, manchmal auch Gewohnheit oder Unwissenheit: Sicher ist, dass Mitarbeiter, die Hard- und Software an ihren IT-Verantwortlichen vorbei einführen, ein hohes Risiko eingehen und im schlimmsten Fall Hackerangriffen Tür und Tor öffnen.
Die unbemerkt genutzten Systeme können Sicherheitsrisiken und die Verletzung von Datenschutzgesetzen mit sich bringen, in jedem Fall führen sie zu ineffizient eingesetzten IT-Budgets. Die Homeoffice-Kultur in Zeiten von Pandemie und global verknüpften Wertschöpfungsketten verschärft die Situation zusätzlich. Eine aktuelle Umfrage von NinjaRMM unter 400 Angestellten verschiedener Branchen in Deutschland bringt Licht ins Dunkel.
1. Schatten-IT-Optimierungsansätze
Im heimischen Büro fühlen Mitarbeiter sich unbeobachtet und neigen eher dazu, Anwendungen zu nutzen, die sie aus ihrem privaten Umfeld kennen und schätzen. Die Umfrage zeigt drei Motive, die Mobile Worker dazu treiben, die Sicherheitsrichtlinien ihres Unternehmens zu umgehen:
zu starke Restriktionen, die die Produktivität beeinträchtigen
zu langsame Reaktion der IT-Abteilung auf Anfragen
Für viele ist es schlicht bequemer, persönliche Konten für das Verwalten von Arbeitsdokumenten zu verwenden. Immerhin gaben 64 Prozent der Befragten an, dass sie zwei oder mehr Stunden pro Woche mit dem Lösen von IT-Problemen verbringen. Das sorgt für Produktivitätseinbußen und Frust in den Teams.
Aus diesen Motiven für das Umgehen von Sicherheitsrichtlinien ergeben sich drei konkrete Optimierungsansätze, die nahezu jedes Unternehmen verfolgen kann:
Formulieren Sie Ihre Richtlinien verständlich und schulen Sie Ihre Mitarbeiter regelmäßig. So erhöhen Sie deren Sensibilität für das Thema und tragen dazu bei, dass Vorgaben konsequent eingehalten werden.
Ermuntern Sie Ihre IT-Abteilung, insbesondere bei Anfragen aus den Homeoffices schnell und lösungsorientiert zu reagieren. Ganz nebenbei erfahren Sie so, wenn Mitarbeiter Schwierigkeiten mit den zur Verfügung gestellten Tools haben und daher empfänglich für selbst beschaffte Alternativen sind.
Bieten Sie Lösungen an, die eine komfortable Nutzerfahrung bieten, so dass Anwender nicht den Wunsch verspüren, eine Alternative zu suchen.
Aktuell ist der Reiz für Mitarbeiter eigene Tools zu beschaffen so stark, dass 44 Prozent der Befragten sogar privates Geld in Lösungen und Hardware investieren, die sie für berufliche Zwecke nutzen. Von dieser Gruppe geben knapp zwei Drittel zwischen elf und 50 Euro monatlich aus, 16 Prozent sogar noch mehr. Unternehmen können viel erreichen, indem sie ihre Mitarbeiter einfach offen fragen, was sie brauchen, um produktiv zu sein und ihren Beitrag zum Unternehmenserfolg zu leisten.
2. Ohne Sicherheitskultur keine Sicherheit
Bei der Bekämpfung von Schatten-IT liegt die größte Chance im Aufbau einer verlässlichen und gelebten Sicherheitskultur im Unternehmen. Das kann gelingen, wenn die Verantwortlichen sich zunächst durch aktives Nachfragen und Überprüfen einen Überblick über die am häufigsten verwendeten digitalen Tools und Hardwarekomponenten verschaffen. Dann kann die aktuelle Sicherheitspolitik mit den Bedürfnissen der Mitarbeiter abgeglichen werden.
Darüber hinaus sollten Unternehmen ihre Sicherheitsrichtlinien regelmäßig kritisch hinterfragen und nach Wegen suchen, um mögliche Spannungen zwischen Fachabteilungen und IT zu verringern. Dazu gehört auch ein gegenseitiges Verständnis, das einerseits durch regelmäßige Sicherheitsschulungen zu den wichtigsten Bedrohungen wie beispielsweise Phishing oder Malware gefördert werden kann. Andererseits gilt es, klare Kommunikationswege zwischen Mitarbeitern im Homeoffice sowie im Büro und der IT einzuführen, um den Austausch zu fördern und Wildwuchs in der IT-Landschaft vorzubeugen.
Wenn sich Mitarbeiter bei der Suche nach Lösungen von der IT unterstützt fühlen, werden sie diesen einfachen Weg immer wieder wählen und vermutlich kein privates Geld für Tools auszugeben. Kommunikation ist ein wesentlicher Punkt, auch übergreifend: Das Führungsteam sollte regelmäßig über Probleme, Bedürfnisse und Erkenntnisse der Mitarbeiter in Sachen IT Bescheid wissen, um rechtzeitig auf die Stimmung im Unternehmen eingehen und auf anstehende Bedrohungen reagieren zu können.
3. Transparente Sicherheitsrichtlinien
Sicherheit setzt voraus, dass alle Mitarbeiter die entsprechenden Richtlinien kennen und verstehen. Die Umfrage ergab, dass 83 Prozent der Mitarbeiter mit den IT-Sicherheitsrichtlinien ihres Unternehmens vertraut sind und 70 Prozent von Schulungsangeboten zu bewährten Sicherheitsverfahren wissen. 66 Prozent der Befragten haben in den letzten sechs Monaten eine solche Schulung erhalten, 34 Prozent wurden seit mehr als einem Jahr nicht mehr geschult. Hier gibt es noch reichlich Raum für Verbesserungen.
Viele Mitarbeiterinnen und Mitarbeiter schätzen die Risiken durch Tools, die nicht richtlinienkonform eingesetzt werden, falsch ein. 42 Prozent gehen davon aus, dass nicht genehmigte Software, Hardware oder Cloud-Dienste ein sehr geringes oder geringes Risiko darstellen. 15 Prozent nehmen sogar überhaupt kein Risiko wahr. Unternehmen sollten regelmäßige IT-Sicherheitsschulungen vornehmen und dazu alle Mitarbeiter aus sämtlichen Bereichen einladen und informieren. Angesichts der enormen Bedrohungen, die von Schatten-IT ausgehen, lohnt es sich, Geld in die Aufklärung zu stecken.
4. Kommunzieren statt verbieten
Immerhin 39 Prozent der Beschäftigten haben das Gefühl, die Sicherheitsrichtlinien und -verfahren ihres Unternehmens umgehen zu müssen, um ihre Arbeit schnell und effizient erledigen zu können. Das ist erschreckend und zeigt, dass IT und Fachbereiche noch immer zu wenig kommunizieren.
Mitarbeiter, die die Gefahren durch IT-Sicherheitslücken verinnerlicht haben und die drohenden Konsequenzen von Hackerangriffen wirklich verstehen, werden die Vorgaben nicht umgehen - zumindest dann nicht, wenn sie mit benutzerfreundlichen, effizienten und brauchbaren Tools ausgestattet werden, die allen Anforderungen genügen.
In der Umfrage gaben 22 Prozent an, dass die IT-Richtlinien ihres Unternehmens schwer zu verstehen seien, ein Umstand, dem die Betriebe mit transparenter Kommunikation und anwendergerechten Schulungen entgegenwirken können. Wenn Beschäftigte die Sicherheitsvorgaben umgehen, lässt das auf ein Versagen der Führungsebene schließen. Die Vermittlung von Wissen rund um IT-Security sowie das Auswählen von Lösungen und Tools, die alle Teams produktiv arbeiten lassen und sie unterstützen, nicht behindern, sind Führungsaufgaben. Auf Basis einer offenen Kommunikation mit den Anwendern können sie zielführend erledigt werden. Versäumnisse der Führungsebene kosten Zeit und Ressourcen, sie ziehen letztlich massive Risiken in Form von Schatten-IT nach sich.
- Tipps gegen Schatten-IT
Die Berater von Accenture haben fünf Ratschläge gegen Schatten-IT parat. - Tipp 1: Aufklären statt Verbieten
Sinnvoller als Verbote ist die Aufklärung über die Vorteile einer geregelten Beschaffung. Zum Beispiel können Skaleneffekte IT-Kosten senken, Schatten-IT nicht. Außerdem sollten alle Mitarbeiter über Service-Level-Agreements informiert werden. - Tipp 2: Bevorzugte Hersteller auflisten
CIOs sollten kommunizieren, welche ihre bevorzugten Hersteller sind. Dabei muss Raum für Ausnahmen bleiben. Können Vertreter einer Fachabteilung gut begründen, warum sie diese oder jene Lösung eines anderen Anbieters wünschen, darf darüber verhandelt werden. - Tipp3: Beziehungspflege
Gute Geschäftsbeziehungen zu innovativen Herstellen nützen dem gesamten Unternehmen. Das funktioniert nur über eine geregelte IT-Beschaffung. - Tipp 4: Zusatzwert bieten
Der IT-Entscheider kann nicht nur Preise besser verhandeln als die Fachabteilung. Er spricht mit dem Hersteller auch über Garantieleistungen oder Hardware-Spezifikationen. - Tipp 5: Vertrauen aufbauen
Das Aufklären über die negativen Seiten von Schatten-IT ist wichtig. Im Zuge dessen kann sich die IT-Abteilung unternehmensintern als vertrauenswürdiger Partner etablieren.
5. Bringen Sie Licht ins Dunkel!
Mit dem Verlagern der Arbeitsplätze ins Homeoffice hat sich für rund die Hälfte der Angestellten die Menge an Software oder Cloud-Diensten, sie sie für ihre Arbeit nutzen, erhöht. Auch die Zahl der genutzten Geräte stieg - bei den Befragten im Schnitt um 41 Prozent. Mehr Softwarelösungen und Devices bedeuten aber einen höheren Aufwand für IT-Abteilungen.
Insbesondere die Nutzung von unterschiedlichen Apps kann zu einem Sicherheitsrisiko werden, vor allem, wenn diese nicht genehmigt sind und die IT nicht von ihrem Einsatz wissen. Hinzu kommt ein erhöhter Aufwand für Updates und Patches. Damit sind IT-Abteilungen oft über Gebühr gefordert, geringere Verfügbarkeiten und eine schlechtere Erreichbarkeit können die Folgen sein. Das wiederum unterstützt die Schatten-IT, weil die Mitarbeiter in den Fachabteilungen bei Hindernissen auf alternative Systeme ausweichen.
Um dieser Dynamik entgegenzutreten sollten Unternehmen erst einmal Transparenz in die aktuelle Situation bringen, um dann zu entscheiden, wie eine möglichst sichere IT-Infrastruktur aufgesetzt werden kann. Dazu gehören möglicherweise das Prüfen und Einführen neuer Systeme sowie mehr IT-Personal.
6. Konstruktive Zusammenarbeit statt Geheimniskrämerei
Die dezentrale Arbeitswelt bringt für IT wie Fachabteilungen Herausforderungen mit sich. Kleine Sicherheitslücken können sich schnell zu massiven Bedrohungen auswachsen. Aber auch der Druck auf die Mitarbeiter steigt mit der teils neuen Homeoffice-Situation bei gleichbleibenden oder gar erhöhten Zielvorgaben.
Um Datenschutz, Security und Produktivität unter einen Hut zu bekommen und gleichzeitig für ein angenehmes Arbeitsklima zu sorgen, ist eine konstruktive, kommunikative Ebene zwischen IT und Fachabteilungen die optimale Basis. Der regelmäßige offene Austausch sorgt für gegenseitiges Verständnis, die Beschaffung der richtigen Tools und deren Akzeptanz in allen Teams. Konfliktpotenzial kann so schnell erkannt und aus dem Weg geschafft werden. Letztlich profitiert die gesamte Organisation von einem produktiven Miteinander und geringeren Risiken. (hv)