Zoho: So kommt Licht in die Schatten-IT
Risiken von nicht genehmigten SaaS-Applikationen
Viele Angestellte nutzen nicht genehmigte Apps, um ihre Arbeit zu erledigen. Aber die Schatten-IT kann für Unternehmen richtig teuer werden und macht sie zudem anfällig für Datendiebstahl und Reputationsverlust. Das globale Technologieunternehmen Zoho zeigt, wo die größten Risiken liegen und wie die Geschäftsführung reagieren sollte.
Neue Projekte anlegen, den Workflow starten und dann die Kollegen per Chat informieren – alles ganz normale Arbeitsschritte, die viele Angestellte mit SaaS-Applikationen wie Slack oder Trello erledigen, ohne dass die IT-Abteilung dies genehmigt hat.
Suchen sich Angestellte auf eigene Faust Anwendungen, die ihnen den Arbeitsalltag erleichtern, so kann diese unerwünschte Proaktivität negative Auswirkungen auf das Unternehmen haben und Tür und Tor für Datendiebstahl, Industriespionage und Vertrauensverlust öffnen. Darüber hinaus ist die Verwendung von Schatten-IT aber auch noch richtig teuer. Zu den größten Kostenfallen des technischen Wildwuchses zählen:
1. Geldstrafen wegen Regelverstößen: Nicht genehmigte Anwendungen erfüllen selten Compliance-Regeln oder Verordnungen wie die DSGVO. Das Verwenden von Schatten-IT führt also im schlimmsten Fall zu Geldstrafen, behördlichen Sanktionen und schädigt den Ruf eines Unternehmens. Landen Schadensfälle im Zusammenhang mit unerlaubten IT-Aktivitäten bei der Versicherung, kann diese die Versicherungsprämien für das Unternehmen erhöhen oder sich sogar weigern, Forderungen zu bezahlen. Schließlich sind Versicherungen an bestimmte Voraussetzungen geknüpft, die Schatten-IT oft nicht erfüllt.
2. Kosten wegen Datenverlust: Schatten-IT fragmentiert die Datenbestände und kann dazu führen, dass dem Unternehmen nicht alle Informationen zur Verfügung stehen. Das hat dramatische Folgen, weil die datengestützte Entscheidungsfindung heute eine wesentliche Grundlage für effizientes Arbeiten ist. Weiß die IT-Abteilung eines Unternehmens nichts von der Existenz einer App, dann kann sie deren Daten logischerweise nicht in den zentralen Pool integrieren. Die so entstehende Informationslücke führt zu erhöhtem Zeitaufwand für die Dateneingabe und die Zusammenarbeit zwischen Abteilungen ist erschwert.
3. Produktivitätsverlust durch Ausfallzeiten: Schatten-IT führt nicht immer zu Ausfallzeiten, aber sie erhöht das Risiko dafür. Zum einen sorgen die unerlaubten Anwendungen für Sicherheitslücken in der IT-Angriffsfläche. Hacker haben damit leichteres Spiel. Andererseits können technische Probleme mit diesen Programmen dazu führen, dass geschäftskritische Systeme und Prozesse nicht mehr funktionieren. In diesem Fall müsste die IT-Abteilung zwingend eingreifen. Aber was, wenn sie nichts von der Existenz einer Anwendung weiß und sich zweitens nicht damit auskennt? Um die Störung zu beheben, müssen die IT-Fachleute mitunter einige Stunden investieren, um Netzwerke umzuleiten und neu zu konfigurieren. Es kommt zu langen Ausfallzeiten und potenziell kostspieligen Datenverlusten.
4. Ausgaben für das Entdecken von Schatten-IT: Wollen Unternehmen das Aufspüren von unerlaubten Applikationen nicht dem Zufall überlassen, müssen sie in entsprechende Techniken investieren, zum Beispiel in eine Software für Fernüberwachung oder eine Endpoint Protection Platform (EPP) – eine weitere ungeplante Ausgabe. Sobald die Schatten-IT entlarvt ist, stehen Unternehmen vor der Frage, wie sie mit deren Nutzern umgehen sollen. Muss sich die Personalabteilung mit dem Problem beschäftigen, bindet das Zeit und Ressourcen. Hat die Schatten-IT möglicherweise bereits zu größeren Schäden geführt, dann muss das Unternehmen eventuell sogar externe Fachleute beauftragen, die sich im Zweifel mit Rechtsstreitigkeiten im IT-Bereich auskennen.
Ein Weg heraus aus dem Schatten
Alle diese Punkte könnten Unternehmen vermeiden, wenn sie sich eine entscheidende Frage stellen: Warum greifen die Beschäftigten überhaupt auf die Nutzung von Schatten-IT zurück? In vielen Fällen ist es einfach Unwissenheit. Zum einen sind sich die Nutzer gar nicht bewusst, dass ihr Tun die IT-Sicherheit gefährdet. Zum anderen kennen sie vielleicht gar nicht alle technischen Lösungen, mit denen unternehmenseigene Systeme ihre Arbeit erleichtern könnten. Beide Punkte können kontinuierliche Schulungen lösen, die sich auf die potenziellen Sicherheitsrisiken der Schatten-IT sowie auf Möglichkeiten zu einer effektiveren Nutzung autorisierter Software konzentrieren. Zum einen sollten die Unternehmen ihre Mitarbeitenden darüber aufklären, wie teuer die Nutzung von Schatten-IT sein kann und welche Risiken damit verbunden sind. Zum anderen sollten Schulungen der IT-Experten darauf abzielen, die vorhandenen Tools so umfassend und verständlich zu erklären, dass alle Angestellten deren Vorteile und praktischen Nutzen erkennen.
Stellt sich heraus, dass keines der genehmigten Tools so effizient wie die Schatten-IT-Anwendung ist, dann wird auch ein Verbot nichts bewirken. Entweder bleibt ein frustrierter und demotivierter Mitarbeiter zurück – oder er sucht sich einfach eine neue unerlaubte App. Die Lösung ist ein Business- und damit nutzerorientiertes Denken der IT. Das heißt nicht, dass man auf einen Schlag alle Cloud-basierten Anwendungen kaufen muss, die die Mitarbeiter vorschlagen. Aber mit einem offenen Ohr lässt sich vieles organisatorisch regeln, um einen Weg für den regelkonformen Einsatz der benötigten IT zu finden.
Lesen Sie mehr zum Thema
