Schatten-IT vermeiden: 7 Tipps für mehr Cyber Security und Integrität

Schatten-IT vermeiden

Das Thema Schatten-IT betrifft nahezu alle Unternehmen, unabhängig davon, ob die Mitarbeiter Zuhause oder im Betrieb arbeiten. Die Hauptgründe, warum Mitarbeiter auf nicht autorisierte Software zugreifen, liegen in fehlender Akzeptanz der bereitgestellten Software, mangelnden Kenntnissen und wenig Aufklärung.

Es ist Aufgabe der IT-Abteilung, durch Schulungen und Awareness dafür zu sorgen, dass Schatten-IT keine Chance hat. Die nachfolgenden sieben Ansätze unterstützen dabei, Betriebe sicherer zu machen und die Akzeptanz für betriebsinterne Software zu stärken.

1. Hochwertige Ausrüstungsgegenstände für Mitarbeiter zusammenstellen

Arbeiten Mitarbeiter im Homeoffice, ist die Wahrscheinlichkeit für die Nutzung von Schatten-IT deutlich höher. Es fehlt an Kontrolle und oft auch an Support, wenn es zu Problemen kommt. Zu den wichtigsten Schritten der Sicherheit im Homeoffice gehört es, die Mitarbeiter komfortabel auszustatten.

Das beginnt schon beim Kauf von Hardware, die nicht zugunsten der Ausgaben in minderer Qualität bereitgestellt werden sollte. Sparen ist für Betriebe wichtig, das muss aber nicht zu Lasten der Funktionalität gehen. Sparportale wie Mein Deal halten regelmäßig neue Notebook Angebote bereit und ermöglichen eine effektive Kostenreduktion, bei gleichbleibender Qualität. Auch bei der Software ist es wichtig, dass dem Mitarbeiter alles zur Verfügung steht, was er für seine Arbeit braucht. Kommt es zu Problemen, muss ein Ansprechpartner bekannt sein, der schnell und effizient weiterhilft.

Passiert das nicht, suchen sich Angestellte Alternativen. Anstatt die Kommunikationssoftware des Unternehmens zu nutzen, verwenden sie dann nicht überprüfte Messenger. Daten werden nicht mehr in der Cloud des Betriebs gespeichert, sondern über privat genutzte Dienste wie Dropbox und Co. Die Basis zur Reduktion von Schatten-IT besteht folglich in folgenden Maßnahmen:

  • Bereitstellung von spezieller Arbeitshardware (Nutzung privater Geräte ist verboten).
  • Erfüllung aller Ansprüche mittels geprüfter Software.
  • Kompetente Hilfestellung bei Schwierigkeiten mit Programmen und Software.

2. Aufklärung leisten und zu selbstkritischem Verhalten anregen

Eine Umfrage im Jahr 2020 ergab, dass MS-Office mit 85 % die am häufigsten genutzte Office-Software in Unternehmen ist. Das impliziert, dass sich Arbeitnehmer damit gut auskennen und arbeiten können. Problematisch wird es, wenn einzelne Mitarbeiter Alternativen besser kennen (z.B. Google Docs) und hierauf auch während der Arbeit zugreifen möchten. Dabei besteht die Absicht nicht darin, dem Unternehmen zu schaden. Es ist vielmehr mangelndes Verständnis für die Gefahren von Schatten-IT, die die Nutzung befeuert.

Das A und O ist somit Aufklärung. Die Unterschrift unter den Compliance-Richtlinien mit dem Hinweis auf das Verbot von Schatten-IT ist schnell gesetzt. Ein großer Teil der Mitarbeiter ist sich aber nicht bewusst, welche Folgen die Nichteinhaltung haben kann. Folglich braucht es aktive Schulungsmaßnahmen, um die Bedeutung zu klären.

Dabei ist es wichtig, Schulungen nicht nur als weiterklickbare PC-Programme durchzuführen, sondern das Verständnis auch mithilfe eines Tests zu prüfen. Je mehr Know-how die Mitarbeiter aufweisen, desto geringer ist die Wahrscheinlichkeit, dass Schatten-IT genutzt wird.

Das nachfolgende Video gibt einen wertvollen Einblick dahingehend, wie problematisch Schatten-IT ist und wie viele Unternehmen betroffen sind.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Learn more

Load video

 

3. Bedürfnisse der Mitarbeiter analysieren und Schattenprogramme prüfen

Stellen Arbeitgeber fest, dass in ihrem Unternehmen viel Schatten-IT zum Einsatz kommt, gilt es die Gründe zu ermitteln. Oftmals setzen Mitarbeiter auf Messenger-Dienste oder andere Softwares, weil sie bestimmte Ansprüche damit erfüllen möchten. Sie kommunizieren miteinander, sie setzen auf CRM-Systeme, um Daten abzurufen und sie übermitteln Daten an das Unternehmen. Wird in einem Sektor vermehrt auf Schatten-IT gesetzt, scheint hier ein grundlegendes Problem zu bestehen. Die IT-Administratoren haben dann die Aufgabe, proaktiv auf die entsprechenden Nutzer zuzugehen. Dabei gilt es folgende Fragen zu klären:

  • Warum wird Schatten-IT genutzt?
  • Welche Funktionen der Schatten-IT wird geschätzt?
  • Welche Schwierigkeiten bestehen mit der unternehmensinternen Software?
Mehr zum Thema:
Was ist Microsoft Edge?

Manchmal fehlt ein Programm für einen bestimmten Anwendungsfall im Unternehmen völlig. Viele Mitarbeiter neigen dazu, sich selbstständig Abhilfe zu suchen und nicht bei der IT-Abteilung nachzufragen. Um das zu vermeiden, ist es wichtig, feste Ansprechpartner zu etablieren. Der Arbeitgeber sollte seine Teams dazu ermutigen, im Falle von fehlender Software oder Schwierigkeiten direkt den Kontakt zu suchen. Spürt das Team, dass es hier auf Abhilfe setzen kann, wird die Nutzung von Schatten-IT zurückgehen.

4. Deutsche Software-Anbieter bevorzugen

On-premise, Private-Cloud oder Cloud-Infrastrukturen werden für Unternehmen immer wichtiger. Deutsche Unternehmen sind verpflichtet, die Bestimmungen der DSGVO einzuhalten und umzusetzen. Dafür ist es wichtig, dass erzeugte Daten in Rechenzentren gespeichert und verschlüsselt werden, die nach ISO 27001 zertifiziert sind. Das passiert primär in Zentren, deren Sitz in Deutschland ist, daher sind diese zu bevorzugen.

Ein deutscher Anbieter stellt sicher, dass alle Vorschriften der Datenschutzgrundverordnung zur Anwendung kommen. Obwohl auch US-amerikanische Unternehmen Lösungen für den deutschen Markt bereitstellen, kann hier keine Datensicherheit gewährleistet werden. Das liegt daran, dass die DSGVO für den amerikanischen Markt nicht gilt.

Tipp: Um die Sicherheit langfristig zu gewährleisten, müssen Rechenzentren regelmäßig die Schwachstellen von Cloud-Services überprüfen. Mithilfe von Penetrationstests lassen sich Lücken aufdecken und so verhindern, dass es zu Angriffen auf Unternehmen kommt.

Bei intern genutzten Lösungen wie Messengern ist es wichtig, dass die Anmeldung nur wenige persönliche Daten braucht. Darüber hinaus ist zu beachten, dass die Datenverschlüsselung bei jeder Nachrichtenübertragung erfolgt. Nutzerdaten, Hintergrundkommunikation und Metadaten dürfen nicht von externer Stelle überwacht werden, um die Streuung der Daten zu minimieren.

5. Leistungsstarke und unkomplizierte IT-Lösungen bereitstellen

Cyber Security in Unternehmen

Cyber Security in Unternehmen. Bildquelle: https://unsplash.com/de/fotos/I_pOqP6kCOI

Das technische Knowhow von Mitarbeitern ist nicht immer auf identischem Niveau. Einige Angestellte haben mehr Schwierigkeiten, sich mit Software und Programmen auseinanderzusetzen. Um schon das Onboarding im Betrieb zu erleichtern ist es wichtig, dass Tools gut erklärt werden und so simpel funktionieren wie Privatlösungen. Bei Bestandsmitarbeitern macht es Sinn, sie in die Auswahl von Programmen einzubeziehen. Gibt es beispielsweise verschiedene Lösungsansätze, macht ein A/B-Test zur Ermittlung der Zufriedenheit Sinn.

Aus Arbeitgebersicht ist es wichtig, dass sich Rechte und Rollen von externer Stelle verwalten lassen. So haben Mitarbeiter ausschließlich auf jene Daten Zugriff, die für ihren Arbeitsflow erforderlich sind. Das erleichtert den Umgang mit der Software enorm. Werden Mitarbeiter mit Daten konfrontiert, die für ihre eigenen Anwendungszwecke unnötig sind, erscheint das Programm erschreckend komplex, lässt sich aber praktisch abspecken.

Tipp: Cloud-Speicher müssen nicht zwangsläufig in der eigenen IT-Abteilung gehostet werden. Auch hier lohnt es sich, Hosting, Einrichtung und Wartung an ein externes (deutsches) Unternehmen auszulagern. Das hat den Vorteil, dass meist schnellerer Support gewährleistet ist. Da hier grundsätzlich auf Anwenderfreundlichkeit und Best Practices geachtet wird, sind die Dienste allgemein gut verständlich und in der Praxis erprobt.

6. Schulungen und Aufklärung für mehr Akzeptanz

„Learning bei Doing“ funktioniert bei Computerspielen, nicht aber beim Umgang mit der Betriebssoftware. Für Arbeitnehmer ist es wichtig, dass sie direkt in die Herausforderungen einsteigen können und die optimale Softwareunterstützung erhalten. Zu Beginn der Einführung neuer Softwares oder beim Onboarding neuer Mitarbeiter bieten sich Schulungen zum Umgang mit den verschiedenen Programmen an. Dabei lohnt es sich, auf praktische Tests zu setzen, um den Kenntnisstand einzelner Mitarbeiter tatsächlich festzuhalten. Kein Mitglied des Teams sollte Scheu haben, bei Problemen die IT-Abteilung anzusprechen und sich proaktiv Hilfe zu suchen.

Mehr zum Thema:
Was ist eine CPU?

Ein häufiger Fehler ist, dass gerade für Mitarbeiter im Homeoffice kein Ansprechpartner bereitsteht oder sich die Lösung des Problems über mehrere Tage zieht. Das hat dann in vielen Fällen zur Folge, dass der Mitarbeiter auf eine unautorisierte Lösung (Schatten-IT) zurückgreift. Er möchte den Anschluss nicht verlieren, seiner Arbeit weiter nachkommen und geht davon aus, durch die eigens gewählte Software im Sinne des Unternehmens zu arbeiten.

7. Verwaltung und Kommunikation durch die IT

Der IT-Dienstleister spielt eine entscheidende Rolle bei der Bereitstellung von Software. Besteht im Unternehmen eine eigene IT-Abteilung, ist Kommunikation der Schlüsselfaktor. Oft haben die Mitarbeiter von großen Betrieben noch nie mit der IT kommuniziert und müssen bei Problemen erst einmal nach dem Ansprechpartner suchen.

Schon hier beginnt der erste Fehler. Der richtige Schritt wäre, dass schon beim Onboarding klar kommuniziert wird, wer verantwortlich für Programme und Software ist und wo es Hilfe bei Problemen gibt. Dabei muss immer wieder betont werden, dass ein Hilfegesuch keine „Schande“ ist. Tatsächlich gibt es heute noch Mitarbeiter, die sich schämen, wenn sie im Umgang mit Software Schwierigkeiten haben.

Sinnvoll ist es außerdem, Zugang zu Handbüchern und Lösungsmanagern zu gewährleisten. Weiß der Angestellte, wo er im Zweifelsfall nachlesen kann, wird er dieses Hilfsangebot nutzen. Tickets während der Arbeitszeit sollten in kürzester Zeit beantwortet werden, unter anderem um die Suche nach Schatten-IT zu reduzieren.

Die IT-Abteilung selbst muss das Bestreben umsetzen, die volle Kontrolle über die eingesetzte IT zu besitzen. Dazu gehört es nicht nur, die Programmzugriffe zu protokollieren, sondern sie auch zu verwalten. Ein entsprechendes Portal ermöglicht die Festlegung individueller Sicherheits-, Datenschutz– und Kommunikationsrichtlinien sowie die Archivierung wichtiger Daten. Es muss jederzeit möglich sein, einzelnen Mitarbeitern den Zugang zum System in Echtzeit zu sperren, beispielsweise wenn es ein Sicherheitsproblem gibt.

Fazit: Schatten-IT ist oft die Folge von mangelnder Aufklärung im Betrieb

Es gibt viel Ansätze, um Schatten-IT aus dem Unternehmen zu verbannen. Es zeigt sich im praktischen Versuch aber auch, dass fehlende Aufklärung das Hauptproblem ist. Für viele Angestellte ist allein der Begriff Schatten-IT ein Problem, weil sie nichts damit anfangen können. Sie handeln nicht mit der Absicht, dem Arbeitgeber zu schaden, sondern oft in der Absicht, sogar effizienter und hilfreicher zu sein. Aufklärung trägt dazu bei, dass sich viele Probleme schon im Vorfeld verhindern lassen.