IT-Dokumentation - Der Blog

Shadow IT erkennen

Mi, 19. August 2020

Auch wenn Sie den Ausdruck Shadow IT eventuell noch nicht kennen, werden Sie als IT-Leiter, -Administrator oder auf sonstige Weise in der IT Tätiger, beim Lesen dieses Artikel schnell feststellen, dass dieses Thema Ihrer unbedingten Aufmerksamkeit bedarf.

Was ist also diese Shadow IT?
Shadow IT bezeichnet alle IT-Geräte, Software und Dienstleistungen, die von Ihren Kollegen genutzt werden, aber nicht der Kontrolle Ihrer IT-Organisationen unterliegen.​

Shadow IT gibt es in nahezu jedem Unternehmen

Wenn ein Mitarbeiter Aufzeichnungen auf einem Whiteboard mit dem Smartphone abfotografiert und diese einem Kollegen mittels WhatsApp schickt – dann ist das Shadow IT.
Oder ein Kollege schickt sich Firmenunterlagen an seine eigene, private Googlemail-Adresse, um auf diese Daten mobil zugreifen zu können – auch das ist Shadow IT.

Dabei ist diesen Mitarbeitern gar nicht bewusst, dass sie etwas Unrechtes tun. Sie suchen in der Regel lediglich nach einfachen Lösungen für Probleme in der täglichen Arbeitsabwicklung. Wenn zum Beispiel ein Mitarbeiter im Vertriebsaußendienst tätig und somit viel bei Kunden unterwegs ist, wird er vermutlich dort auch auf Firmendaten zugreifen müssen. Wenn die IT-Abteilung ihm nun keine einfache Lösung anbietet, von Extern auf diese Daten zuzugreifen, wird er sich eine andere Lösung suchen, um seine Verkaufsabschlüsse machen zu können. Schließlich funktioniert es doch privat auch, dass man auf alle seine Daten von überall zugreifen kann. Und schon sind Firmendaten im Internet unterwegs, ohne dass der Firmen-Admin noch Kontrolle darüber hat. Genau das passiert tagtäglich, in so gut wie jedem Unternehmen.

IT-Experten gehen aktuell davon aus, dass ca. 92% den Umfang der Shadow IT in ihrem Unternehmen nicht​ kennen. Dem gegenüber steht, dass ca. 87%​ der Angestellten Firmendaten in private Clouds hochladen.

Auf diese Weise entsteht eine Parallel-IT, die sich komplett der Steuerung und der Kontrolle der Firmen-IT entzieht. Dabei ist der Umfang der Shadow IT im Unternehmen völlig unbekannt. Es ist lediglich sicher, dass der Einsatz von Shadow IT exponentiell wächst.

Shadow IT mit verheerenden Folgen

Bleiben wir beim erstgenannten Beispiel, dass ein Mitarbeiter nach einem Meeting das Whiteboard mit dem Smartphone abfotografiert und diese Aufnahme einem Kollegen zuschickt, der nicht dabei sein konnte. Das ist zwar nett gemeint, aber in den WhatsApp AGB steht: „Damit wir unsere Dienste betreiben und bereitstellen können, gewährst du WhatsApp eine weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen (einschließlich der Inhalte), die du auf bzw. über unsere/n Dienste/n hochlädst, übermittelst, speicherst, sendest oder empfängst.“ (Quelle WhatsApp Rechtliche Hinweise, Stand 08/2020).
Das bedeutet, dass man mit der Nutzung WhatsApp automatisch erlaubt, alle hochgeladenen Medien für eigene Zwecke zu verwenden. Und nicht nur WhatsApp, sondern auch dessen Mutterkonzern Facebook.

Durch die Shadow IT kann es relativ einfach passieren, dass Firmengeheimnisse ins Internet geraten. Aber der dadurch entstehende Datenverlust, ist nur der Anfang.
Kommt ans Tageslicht, dass sensible Unternehmensdaten Ihrer Firma ins Internet gelangt sind, ist der Reputationsverlust immens. Handelt es sich dabei noch um vertrauliche Mitarbeiter- oder Kundendaten, liegt darüber hinaus sogar noch ein Datenschutzverstoß vor. Diese werden in der Regel mit drastischen Bußgeldern geahndet. Bei Lizenzverstößen kann es gar zu Gefängnisstrafen kommen.

Die Verwendung von Shadow IT entzieht der Unternehmens-IT komplett die Kontrolle über die Firmendaten, aber nicht die Verantwortung dafür.
Das bedeutet, dass IT-Leiter und Geschäftsführer auch für Gesetzesverstöße, die auf die Shadow IT zurückzuführen sind, persönlich haftbar gemacht werden können!

Vielseitige Probleme durch Shadow IT

Die Probleme, die mit der Shadow IT einhergehen sind mannigfaltig:
Durch die Nutzung von Online-Services kommen Firmendaten ungeschützt ins Internet. Das widerspricht allen Grundsätzen des Datenschutzes und der Datensicherheit – Vertraulichkeit, Integrität und Verfügbarkeit​ können nicht mehr gewährleistet werden.
Da für die Shadow IT in der Regel private Geräte verwendet werden, unterliegen diese nicht den Standards und Sicherheitsmaßnahmen der Unternehmens-Hardware und sind somit meist deutlich einfacher angreifbar. Auch auf diesem Wege können Daten abwandern.
Darüber hinaus kann es zu weiteren rechtlichen Problemen kommen, wenn die Nutzung von Shadow IT gegen bestehende Lizenzen verstößt.

Was also kann man gegen die Shadow IT unternehmen?

Shadow IT erkennen und entgegenwirken

Um der Shadow IT entgegenwirken zu können, muss man als erstes die Anforderungen der Anwender erkennen. Warum nutzen Sie diese Dienste überhaupt?
In der IT ist man von den Arbeitsabläufen in den anderen Abteilungen meist sehr weit entfernt. Aus diesem Grund macht es Sinn mit den Kollegen einfach mal über deren tägliche Arbeit zu sprechen. Fragen Sie zum Beispiel Ihre Kollegen im Außendienst direkt: „Welche Daten brauchst du beim Kunden/Partner vor Ort und wie greifst du darauf zu?“ Auf diese Weise kommt man meistens schon auf erste Prozesse für die die notwendige IT-Unterstützung fehlt.

Mit dieser Methodik ist natürlich nicht jeder Shadow IT-Anwendung beizukommen. Daher ist es wichtig einen vollständigen Überblick darüber zu haben, was im eigenen IT-Netzwerk vor sich geht. Eine Liste aller im Netzwerk installierten Softwareprodukte, kann zum Beispiel bei der Suche nach Shadow IT sehr gut helfen. Gleiches gilt für einen Überblick über alle im Netzwerk aktiven Geräte. Auch eine Analyse der Nutzerberechtigungen kann helfen die Shadow IT einzudämmen – indem jeder Anwender nur die Rechte hat, die er auch wirklich benötigt.

Zusammengefasst kann man sagen, wer einen umfassenden Überblick über seine IT-Umgebung hat, dem wird schneller auffallen, wenn und wo Shadow IT eingesetzt wird.

Shadow IT mit Docusnap schnell erkennen

Gut, wenn Sie Docusnap nutzen!

Durch die regelmäßigen und wiederkehrenden Inventarisierungs- und Dokumentationsläufe von Docusnap erhalten Sie die volle Transparenz über Ihr IT-Netzwerk.
Nutzen Sie zum Beispiel die übersichtlichen Standardberichte, um schnell und bequem fremde Geräte und unerwünschte Software zu identifizieren. Oder ermitteln Sie die Kommunikationspfade auffälliger Systeme anhand der praktischen Pläne, die für jedes System automatisch generiert werden. Oder analysieren Sie im Bereich IT-Sicherheit die effektiven Berechtigungen der Nutzer und wie sich diese vererben.

Zusammen bieten Ihnen diese Auswertungen die optimale Grundlage zur Identifikation von Shadow IT in Ihrem Netzwerk.

Shadow IT durch „legale“ Produkte ersetzen

Haben Sie durch die Befragung Ihrer Kollegen und die technische Analyse mit Hilfe von Docusnap Shadow IT aufgedeckt und die dahinter steckenden Bedarfe Ihrer Mitarbeiter erkannt, können Sie beginnen diese Schritt für Schritt durch Standardprodukte zu ersetzen, die von Ihrer IT supportet werden.
Wenn Sie bereits Microsoft Produkte wie Microsoft 365 einsetzen, können Sie zum Beispiel WhatsApp durch Microsoft Teams ersetzen. Teams ist für alle gängigen Desktop- und Mobil-Betriebssysteme verfügbar und lässt sich sehr einfach und bequem zentral verwalten. Auf diese Weise ermöglicht Teams Ihren Kollegen eine nahtlose und sichere Kommunikation, egal wo sie sich gerade aufhalten. Wenn Sie darüber hinaus für Ihre Mitarbeiter individuelle Microsoft OneDrive Cloud-Laufwerke anlegen, können diese auch noch jederzeit und von überall auf ihre Daten zugreifen. Trotzdem gelangen diese nicht unkontrolliert ins Internet, sondern bleiben in einem von Ihnen verwalteten, sicheren Bereich.

In ähnlicher Art und Weise gibt es für so gut wie jeden Bedarf eine „saubere“ Lösung.
Sie werden sehen, wenn Sie Ihren Kollegen supportete Lösungen zur Verfügung stellen, die ihre Bedarfe decken und sie bei der täglichen Arbeit unterstützen, werden Sie die Shadow IT schnell und flächendeckend eliminieren können.

Geben Sie der Shadow IT und den damit verbundenen Sicherheits- und Rechtsverstößen keine Chance​!