Schatten IT - Risiken für Datenschutz und Informationssicherheit

Schatten IT - Risiken für Datenschutz und Informationssicherheit

Eine verborgene IT-Infrastruktur mit Risiken für Datenschutz und Informationssicherheit

Einleitung

In vielen Unternehmen nutzen Mitarbeiter Software, Cloud-Dienste oder Hardware, die nicht offiziell von der IT-Abteilung genehmigt wurden. Dieses Phänomen wird als "Schatten-IT" bezeichnet. Während es oft aus der Notwendigkeit entsteht, effizienter zu arbeiten, birgt es auch erhebliche Risiken. In diesem Beitrag beleuchte ich, warum Schatten-IT existiert, welche Herausforderungen sie mit sich bringt und wie Unternehmen damit umgehen können.

Was ist Schatten-IT?

Schatten-IT bezeichnet alle IT-Systeme, Anwendungen oder Hardware, die außerhalb der offiziellen IT-Administration betrieben werden. Dazu gehören beispielsweise:

  • Cloud-Dienste wie Google Drive oder Dropbox
  • Messaging-Apps wie WhatsApp oder Slack
  • Eigene Softwarelösungen oder Makros, die Mitarbeiter entwickeln
  • Private Laptops oder Smartphones, die für berufliche Zwecke genutzt werden
  • Unautorisierte VPN-Dienste oder Remote-Access-Lösungen
  • Nutzung von KI-Tools ohne die notwendige offizielle Genehmigung durch die Geschäftsleitung

Ursachen für Schatten-IT

Warum greifen Mitarbeiter auf Schatten-IT zurück? Typische Gründe sind:

  • Eingeschränkte IT-Ressourcen: Die offizielle IT kann nicht alle Bedürfnisse sofort erfüllen.
  • Fehlende Flexibilität: Die Unternehmenssoftware ist zu starr und wenig flexibel.
  • Innovationsdrang der Mitarbeiter: Viele Mitarbeitende wollen moderne Tools nutzen, die effizienter sind als bestehende Lösungen.
  • Zeitdruck: Manchmal dauert es zu lange, eine offizielle Genehmigung für eine Software zu erhalten.
  • Mangelnde Flexibilität bei der Beschaffung von Hard- und Software: Strikte Vorgaben und lange Genehmigungsprozesse fördern Schatten-IT.
  • Unzureichende Kommunikation und Aufklärung: Viele Mitarbeitende sind sich der Risiken nicht bewusst.
  • Einfache Verfügbarkeit von Cloudsystemen: Kostenfreie Einsteigertarife können ohne großen Aufwand genutzt werden.
  • Moderne Arbeitsmodelle wie mobiles Arbeiten: Manche Mitarbeiter nutzen eigene Geräte und Softwarelösungen.

Derartige Ursachen sind mitunter verständlich, rechtfertigen jedoch keinesfalls den Einsatz von nicht autorisierten Systemen. Vor allem nicht für die Verarbeitung personenbezogener Daten und vertraulicher Geschäftsinformationen.

Risiken von Schatten-IT

Trotz ihrer “großen Beliebtheit” birgt die Schatten-IT erhebliche Risiken für Unternehmen:

Technische Sicherheitsrisiken

  • Ungesicherte Datenübertragungen: Ohne Verschlüsselung oder Sicherheitsmaßnahmen können sensible Daten mitgelesen werden.
  • Unkontrollierte Zugriffe auf Daten: Betriebsgeheimnisse und personenbezogene Daten könnten kompromittiert werden.
  • Unbefugte Änderungen an Daten: Die fahrlässige oder vorsätzliche Manipulation von Daten kann unentdeckt bleiben und weitreichende Folgen haben.
  • Einschleusen von Schadcode: Ungeprüfte Software kann Malware oder andere Bedrohungen enthalten.
  • Fehlende Sicherheitsupdates: Schatten-IT-Anwendungen werden nicht durch Fachpersonal gewartet, was Sicherheitslücken schafft und Risiken maximiert.

Compliance-Verstöße und rechtliche Risiken

  • Nichtbeachtung von Unternehmensrichtlinien: Schatten-IT kann gegen interne Sicherheits- und Datenschutzrichtlinien verstoßen.
  • Juristische Konsequenzen: Verstöße gegen Datenschutzgesetze können Bußgelder und Schadenersatzforderungen nach sich ziehen und unter Umständen auch wirtschaftlich gesunde Unternehmen vernichten. Viele im privaten Bereich beliebte kostenlose Tools sind leider null Prozent DSGVO-konform. Die betriebliche Nutzung solcher Dienste wird deshalb von den Aufsichtsbehörden gerne mit einem Bußgeld quittiert.
  • Imageschäden und Reputationsverlust: Bei Bekanntwerden von Sicherheitsvorfällen kann das Vertrauen von Kunden und Partnern nachhaltig beschädigt werden.
  • Verlust von Zertifizierungen: Unternehmen riskieren den Entzug wichtiger Zertifizierungen wie z.B. ISO 9001 (Qualitätsmanagement), ISO 27001 (IT-Sicherheit) oder ISO 27701 (Datenschutz).

Betriebliche Effizienzverluste und zusätzliche unnötige Kosten

  • Nicht integrierte Datenbestände erschweren die Zusammenarbeit: Schatten-IT erzeugt isolierte Datensilos, die nicht kontrollierbar oder verwaltbar sind.
  • Identifizierung und nachträgliche Integration kosten Zeit und Geld: IT-Teams müssen nicht genehmigte Systeme aufspüren und regulieren.
  • Parallele Lösungen führen zu Mehrausgaben: Mehrere ähnliche Tools verursachen möglicherweise unnötige Lizenz- und/oder Wartungskosten.

Chancen und Nutzen von Schatten-IT

Nicht alles an Schatten-IT ist schlecht – sie kann auch Chancen bieten:

  • Innovation fördern: Mitarbeiter bringen neue Ideen und moderne Lösungen ins Unternehmen.
  • Produktivität steigern: Oftmals finden Mitarbeitende effizientere Wege, ihre Arbeit zu erledigen.
  • Flexibilität erhöhen: Unternehmen können von agilen Methoden profitieren, die durch neue Tools ermöglicht werden.

Schatten-IT vermeiden und Risiken minimieren

Anstatt Schatten-IT rigoros zu verbieten, sollten Unternehmen einen strategischen Umgang damit entwickeln:

  • Das Verzeichnis aller genutzten Systeme stets aktualisieren: IT-Abteilungen sollten einen Überblick über alle verwendeten Anwendungen behalten.
  • Firewalls zur Erkennung verdächtiger Datenverkehre einrichten: So können unerlaubte Cloud-Dienste identifiziert werden.
  • IDS- (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) Lösungen nutzen: Diese Systeme helfen, verdächtige Aktivitäten innerhalb der internen IT-Infrastruktur frühzeitig zu erkennen.
  • Klare Richtlinien und Prozesse: Unternehmen sollten klare Regeln für die Nutzung von IT-Ressourcen festlegen. 
    • Richtlinie zum Einsatz der betrieblichen IT-Infrastruktur
    • Richtlinie zum Datenschutz
    • BYOD (Bring Your Own Device) Richtlinie (regelt den Umgang mit privaten Endgeräten, z.B. mit Mobiltelefonen)
    • KI-Richtlinie für den sicheren Einsatz von KI-Tools
  • Mitarbeiterinformation, -schulung und -sensibilisierung: Schulungen sollten über die Risiken und Alternativen aufklären.
  • Flexibilität bei der Bereitstellung moderner Tools: IT-Abteilungen sollten sichere und benutzerfreundliche SaaS- und Cloud-Lösungen bereitstellen.
  • Einsatz von Monitoring und Kontrollmechanismen: Regelmäßige Audits und Überprüfungen helfen, Schatten-IT frühzeitig zu identifizieren.

Das Problem Schatten-IT ernst nehmen

Schatten-IT ist eine wachsende Herausforderung, aber auch eine Chance. Unternehmen sollten nicht nur auf Verbote setzen, sondern einen ausgewogenen Ansatz wählen: durch klare Richtlinien, offene Kommunikation und die Integration nützlicher Technologien in die offizielle IT-Landschaft. So kann Schatten-IT von einem Risiko zu einem Innovationsmotor werden.

Hier eine externer Verlinkung zu einem interessanten Blogbeitrag auf behoerden-spiegel.de: Einfach und sicher: Wie Usability Schatten-IT verhindert

ÜBER DEN AUTOR

Autor

Erich Soraru

Erich Soraru ist Datenschutzbeauftragter (IHK) und Datenschutzauditor (DEKRA).

Suche:

 

© Erich Soraru