Schatten-IT als Zeichen für Management-Versagen

Wieso langwierige und fehlende Prozesse zum Einfallstor für Angriffe werden
 
* Autor: Marius Fehlemann
 

Schatten-IT ist gelebte Praxis in vielen Unternehmen – unterschiedlich stark ausgeprägt, aber vorhanden. Unter Schatten-IT versteht sich eine IT-Infrastruktur, die parallel zur Basis-Infrastruktur eines Unternehmens existiert. Wenn eine Firma beispielsweise mit einem lokalen Server und One Drive arbeitet, kümmern sich IT-Verantwortliche rund um diese Infrastruktur. Hier werden Dateien abgelegt und verwaltet. Diese Orte werden auch mit Security-Software versehen, um die Daten zu sichern und zu schützen. Sollten Mitarbeitende eine Firmendatei aber auf Google Drive, Nextcloud oder anderen Cloud-Anbietern abspeichern, um beispielsweise gemeinsam mit externen Personen daran zu arbeiten, hat die IT-Abteilung keine Kenntnis über diesen Datei-Ablageort und kann ihn nicht sichern. Auch wenn eigene Endgeräte wie Laptops, Tablets oder Smartphones genutzt werden, von denen IT-Admins keinerlei Kenntnis haben, entstehen Endpoint-Chaos und Sicherheitslücken. Dabei wäre dies vermeidbar: mit dem richtigen Management und modernen Kollaboration-Tools.

Wieso entsteht Schatten-IT überhaupt?

Mangelnde Infrastruktur

Entwickler brauchen schnell und temporär eine Entwicklungsumgebung. Sollten Firmen nicht ausreichend Ressourcen zur Verfügung stellen können oder nicht die notwendigen Tools für Zusammenarbeit oder Dateiaustausch, suchen Mitarbeitende schnell eigene Lösungen oder nutzen private Ressourcen. Die Standard-Security-Einstellungen und -Tools greifen dafür nicht. Wie auch, schließlich hat die IT-Abteilung keine Kenntnis davon. Zwar ist es für Arbeitende oft ein Komfort, beispielsweise nur ein Handy zu besitzen, allerdings fehlt oft das Verständnis, dass sich dadurch ein potenzielles Einfallstor für Angreifer öffnet. Hier müssen IT-Verantwortliche entweder alle Teammitglieder mit Standard-Endpoints ausstatten oder zumindest Kenntnis von allen genutzten Geräten und Tools erhalten. Klare, dokumentierte Vorgaben und die Prüfung der Einhaltung sind dafür unerlässlich. Das bringt mich direkt zum nächsten Punkt.

Fehlende Prozesstransparenz

Nur wenn alle Mitarbeitenden die geltenden Vorgaben kennen, können sie sich auch daran halten. Prozesse müssen deshalb zentral und jederzeit nachlesbar dokumentiert sein. Ein Intranet eignet sich dafür wunderbar. Im Idealfall erhalten neue Mitarbeitende beim Start ein IT-Onboarding. Zur Ausstattung mit der notwendigen Hardware gehören dazu auch Hinweise zu den geltenden IT-Regeln und -Prozessen: Wo werden Dateien abgelegt, welche Logik hat die vorhandene Ordnerstruktur? Werden (hybride) Clouds oder ausschließlich lokale Server verwendet? Wenn dieses Onboarding nicht oder mangelhaft erfolgt, machen sich Mitarbeitende auf die Suche nach eigenen Ablageorten, zum Beispiel in anderen, eventuell sogar privaten Clouds, oder auf dem Desktop. Diesen ersten Schritt ins Ablage-Chaos sehen wir häufig in kleinen bis mittelständischen Unternehmen.

Langwierige und komplizierte Prozesse

Zeit ist ein entscheidender Faktor. Wenn Ordnerstrukturen so verschachtelt sind, dass die Ablage eines Dokuments mehrere Minuten dauert oder Freigabeprozesse so konzipiert sind, dass Freigabeschleifen mehrere Stunden oder sogar Tage dauern, suchen Mitarbeitende bei zeitkritischen Projekten andere Wege. „Ich lege die Datei schnell hier ab, damit ich sie direkt verschicken kann. Das korrekte Ablegen erledige ich später“. Dieser Gedanke kommt vielen bekannt vor. Daten sollten aber so abgelegt werden, dass andere Berechtigte jederzeit und intuitiv darauf zugreifen können, weil sie den Vorgaben entsprechend abgelegt werden. Vorgaben und Tools, die es den Usern so einfach wie möglich machen und eine leistungsstarke Suchfunktion mitbringen, werden hier punkten. Selbst innerhalb der IT gibt es Nutzergruppen, die geneigt sind, sich eigene Tools oder Umgebungen zu suchen, wenn vorhandene nicht performen. Ich meine hier Entwickler, die ohne agile Prozesse und Systeme kaum richtig arbeiten können.
Gerade in der Entwicklung kommt es auf Geschwindigkeit und das Einhalten des Go-to-Market an. Regelmäßig werden dafür neue VMs und Testsysteme benötigt. Wenn interne Prozesse allerdings zu lange brauchen, die Systeme erst nach Stunden oder gar Tagen bereitstehen und die Entwicklung dadurch nicht weitergehen kann, suchen Entwicklerinnen und Entwickler oftmals selbstständig Abhilfe bei Cloudanbietern. Hier kann jeder innerhalb von Minuten die benötigten Systeme so hochfahren wie gerade benötigt – ohne lästige Freigaben und Bereitstellungszeiten. Und plötzlich findet die Entwicklung in der Schatten-IT statt, ohne Rücksicht auf Security- und Compliance-Regelwerke.

Der „Schatten-IT-Fisch“ stinkt vom Kopf

Alle drei Punkte basieren nach meiner Ansicht auf einem Punkt, nämlich falschem oder unpassendem Management. Fehlende Prozesstransparenz, mangelndes Onboarding, fehlende Infrastruktur, zu lange Prozesse sind nur Symptome. Die Unternehmensführung muss Prozesse standardisieren, allerdings auf eine praktikable Weise. Projektmanagement-Tools, Cloud Services, Collaboration-Tools und Endpoints, müssen intuitiv benutzbar sein, sonst suchen sich Mitarbeitende ihren eigenen Weg, der zur Schatten-IT führt.

Mitarbeitende in Führungspositionen müssen es zur Routine machen, ihr Team zu fragen, ob alle Workflows passen. Anforderungsanalysen sind hierbei das Stichwort. Erst wenn das Management weiß, was an IT-Lösungen, Systemen und Anwendungen benötigt wird, ist die Anschaffung, die Implementierung und gegebenenfalls die Integration oder Anpassung an bestehende Prozesse möglich. Agilität ist hier das Zauberwort. Das Management muss also aktiv in die Kommunikation mit allen Mitarbeitenden treten, denn Schatten-IT ist ein Effekt von mangelhaften internen (Kommunikations-)Prozessen.
 

* Marius Fehlemann ist Enterprise Open Solutions Expert bei bitbone
T: +49 931 250993-149
M: fehlemann@bitbone.de
Connect auf Linkedin
Connect auf Xing


Quelle / Lizenz Aufmacher:

Photo by Jorge Fernández on Unsplash


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.