Ohne Kommunikation geht nichts
Foto: Wittenstein AG
Verschärft wird die Situation in international ausgerichteten Unternehmen, weil die zentrale IT dann noch weniger Einfluss auf die verstreuten Anwender hat. Schuster betont daher die Bedeutung der Kommunikation. "Eine vertrauensvolle Zusammenarbeit mit den IT-Verantwortlichen vor Ort ist entscheidend", schildert er aus seinem Erfahrungsschatz. Wittenstein setzt daher auf ein starkes Key-User-Konzept, verbunden mit Gremien und Austauschmöglichkeiten für die Kommunikation zwischen IT und Fachbereichen.
Das bestätigt auch Münchener-Rück-CIO Janßen: "IT funktioniert dann gut, wenn die Beteiligten in der IT und in den Fachabteilungen keine ideologischen Barrieren aufbauen und sich ohne Silodenken offen austauschen können", fasst er zusammen. Oft entstehen Spannungen, weil wesentliche Informationen nicht ausgetauscht werden, wenn etwa Anwender vehement Lösungen einfordern, die die IT bereits seit langem in ihrem Katalog gelistet hat. "Es ist wichtig, den Usern zu zeigen, was bereits mit den vorhandenen Systemen möglich ist. In der Regel lässt sich ein hoher Prozentsatz der Anforderungen und Wünsche damit erfüllen", sagt Nussbaumer. Das sei ein effektives Mittel, Schatten-IT zu verhindern.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Die neue Rolle der IT
Die heimliche IT entsteht dort, wo Anwender schnelle Innovationen und Lösungen wollen, die zentrale IT jedoch zu langsam reagiert. Um Alleingänge in den Fachbereichen zu unterbinden, muss die zentrale IT also schneller werden. Doch dazu fehlt oft der Gestaltungsspielraum: "Viele Unternehmen übergeben der IT das Betriebsmonopol, geizen aber mit Entscheidungskompetenzen.
Das führt langfristig zu Glaubwürdigkeitslücken", stellt Wolff fest. Der IT schreibt er ins Aufgabenbuch, sich einer kritischen Selbstreflexion zu unterziehen und ehrlich die Frage zu beantworten, ob sie tatsächlich alle Bedürfnisse der IT-Nutzer erfüllen könne. IT-Berater Resch fasst das Dilemma folgendermaßen zusammen: "Das ist das bekannte Schisma zwischen Erwartung und Realität. Es wiederholt sich das Jahrzehnte alte Schicksal der IT, gebraucht, aber ungeliebt zu sein." (jha)