Schatten-IT (Shadow IT)
Was ist Schatten-IT (Shadow IT)?
Schatten-IT bezeichnet Hardware, Software oder Dienste innerhalb eines Unternehmens, die nicht von der zentralen IT-Abteilung der Organisation unterstützt wird. Obwohl die Bezeichnung an sich neutral ist, hat der Begriff oft eine negative Konnotation, da er impliziert, dass die IT-Abteilung die Technologie nicht genehmigt hat oder gar nicht weiß, dass die Mitarbeitenden sie verwenden.
Sicherheitsrisiken durch Schatten-IT
Schatten-IT kann Sicherheitsrisiken mit sich bringen, wenn nicht unterstützte Hardware, Software und Cloud-Dienste nicht denselben Sicherheitsmaßnahmen unterliegen wie unterstützte Technologien. Darüber hinaus können Technologien, die ohne Wissen der IT-Abteilung betrieben werden, die Benutzererfahrung anderer Mitarbeiter beeinträchtigen, indem sie Netzwerkbandbreite beanspruchen und zu Konflikten zwischen Netzwerk- oder Softwareanwendungsprotokollen führen.
Darüber hinaus ist nicht sichergestellt, dass die genutzten Lösungen beispielsweise in das Patch-Management des Unternehmens eingebunden sind. So können Einfallstore für Angriffe entstehen, die der IT nicht bekannt sind. Schatten-IT kann auch zu einem Compliance-Problem werden, dies gleich in mehrfacher Hinsicht. Etwa, wenn Mitarbeitende Unternehmensdaten in persönlichen Cloud-Speichern, etwa bei Dropbox, Microsoft OneDrive oder Google Drive speichern. Und auch wenn Anwender beispielsweise personenbezogene Daten mit nicht genehmigten Produkten verarbeiten, kann das erhebliche Konsequenzen nach sich ziehen. Mit der zunehmenden Nutzung von generativer KI ist mit Schatten-KI da eine weitere Subrubrik von Schatten-IT entstanden, die IT-Teams erhebliche Probleme bereitet und Unternehmen vor große Herausforderungen stellt.
Warum Mitarbeitende Schatten-IT nutzen
In der Vergangenheit war Schatten-IT oft das Ergebnis des Wunsches eines ungeduldigen Mitarbeiters, sofortigen Zugriff auf Hardware, Software oder einen bestimmten Dienst zu erhalten, ohne die notwendigen Schritte zu durchlaufen, um die Technologie über die Unternehmenskanäle zu beschaffen.
Die offizielle Einführung einer Lösung ist aus guten Gründen mit etwas Aufwand verbunden. Es muss geklärt werden, wie sich ein Produkt technisch in die Umgebung einfügt, wie etwa Lizenz- oder Kostenfragen zu klären sind. In den meisten Fällen ist zudem eine Datenschutz-Folgenabschätzung (DSFA) unbedingt erforderlich, bevor eine Lösungen in den produktiven Betrieb aufgenommen werden kann.
Mit der Entwicklung der IT und dem Cloud Computing erweitert sich die Bedeutung jedoch auf Cloud-Dienste, die den besonderen Anforderungen eines bestimmten Geschäftsbereichs entsprechen und von einem externen Dienstleister oder einer internen Gruppe statt von der Unternehmens-IT unterstützt werden. Ganz zu schweigen vom Einsatz von KI-Chatbots oder -Diensten, die oftmals unter dem Radar der IT-Abteilung laufen – Stichwort Schatten-KI.
Zu den typischen Schattenanwendungen gehören Google Docs und Instant-Messaging-Dienste wie Slack. Dazu gehören ebenfalls persönliche private Geräte, die Mitarbeiter bei der Arbeit nutzen, manchmal im Rahmen einer Bring-Your-Own-Device-Richtlinie (BYOD). Zu den gängigen Schattentechnologien gehören persönliche Smartphones, Tablets und USB-Sticks. Zudem hat die Veränderung und Flexibilisierung von Arbeitsumgebungen, Stichwort Remote Work, für die IT diesbezüglich nicht in allen die Transparenz erleichtert.
Die Herausforderung Schatten-IT ist so alt wie der Einsatz von IT in Unternehmen. Der Umgang damit, kann auf unterschiedliche Weise und aus unterschiedlichen Blickwinkeln erfolgen. Schon aus Compliance- und Security-Sicht, gilt es - beispielsweise mit entsprechenden Werkzeugen - die Nutzung solcher Lösungen technisch zu begegnen. So lässt sich die Nutzung erkennen und gegebenenfalls unterbinden.
Aus technischer und Unternehmenssicht ist es zudem von Interesse, aus welchen Gründen Anwender zu solchen Lösungen greifen, um ihre Arbeit zu bewältigen. Unter Umständen muss hier seitens der IT und den angebotenen, internen Lösungen nachgebessert werden. Dienste und Produkte entwickeln sich sehr dynamisch, dem muss die IT gegebenenfalls entsprechend begegnen. Oftmals gilt es zu klären, ob der Situation mit Richtlinien begegnet werden kann, um eine akzeptable Nutzung zu ermöglichen, von der auch das Unternehmen abseits der Zufriedenheit der Mitarbeiter profitieren könnte. Nur ignoriert werden darf das Thema Schatten-IT nicht.
