Gefahren und Chancen der Schatten-IT

Im löblichen Bestreben, ihre Arbeit möglichst effizient zu erledigen, ja gar ihre Produktivität zu steigern, vetrtrauen immer mehr Anwender in Unternehmen auf Onlinewerkzeuge. Sie kommunizieren mit ihren Kollegen über ein Chat-Programm, tauschen Konzepte über die Onlinetextverarbeitung Google Text aus und kollaborieren via Myspace oder ähnliche Community-Tools im Internet.

Einer Untersuchung der Marktforscherin «Pew Internet and American Life Projekt» zufolge laden 42 Prozent der Befragten, die das Internet geschäftlich nutzen, Programme aus dem Web auf den Firmen-PC. 37 Prozent verwenden Instant-Messaging, 27 Prozent tauschen Dateien über externe Webseiten aus und 25 Prozent verbinden ihren Laptop drahtlos, also ausserhalb des Firmen-LAN, mit dem Netz der Netze. Zudem bringen immer mehr Angestellte ihre eigenen Geräte und Gadgets wie Organiser und GByte fassende Memorysticks mit in die Firma. Umgekehrt werden Firmen-Smartphones und -Notebooks auch privat benutzt.

Die Zeiten, da ausschliesslich die IT-Abteilung die Firmeninformatik zur Verfügung stellte, sind definitiv vorbei. Internet-Tools, private Computer und Gadgets sowie Anwendungen, die gratis im Web zum Download bereitstehen, haben einen Reifegrad erlangt, der sie zu einer voll funktionierenden, alternativen IT-Landschaft mutieren lässt. Es entsteht somit eine regelrechte Schatten-IT-Abteilung.

Der natürliche Reflex der Verantwortlichen für die reguläre IT ist es, diese Schatten-IT zu verbieten. Nach Meinung von Experten wie David Smith, leitender Marktforscher der Gartner Group, sorgt dieser «Krieg der IT-Abteilungen» nur für dicke Luft, zu Stillstand und der Blockade jeglichen Fortschritts.

Natürlich stellt die Schatten-IT eine ernstzunehmende Bedrohung für die Sicherheit der regulären IT dar. Anwender bohren -Löcher in die Firmen-Firewall, indem sie unsichere Programme herunterladen. Sie offerieren heikle Unternehmensdaten auf dem Präsentierteller, wenn sie Laptops, Memorysticks und Handhelds herumliegen lassen. Und sie verschieben wichtige Firmeninformationen auf Webseiten, was gegen diver-se Regeln und Gesetze verstösst und die Compliance-Bemühungen zunichte macht. Doch IT-Verantwortliche und CIO sollten mit diesen Gefahren strategisch umgehen und nicht nach drakonischen Massnahmen rufen.

«Es gibt eine einfache goldene Regel», erklärt David Smith: «Verwende nie Security und Compliance als Ausrede, um alternative IT-Installationen zu verbieten. Werden Regeln missachtet, ist es schlauer nach den Ursachen zu forschen».

Ziel muss es vielmehr sein, einen Kompromiss zwischen dem Bedürfnis der Anwender nach Produktivitätssteigerung - meist ist dies der Grund, warum sie überhaupt Schatten-Tools und Gadgets einsetzten - und dem Bedürfnis der Firma nach IT-Sicherheit zu finden. Dabei ist auch viel Psychologie gefragt. CIO müssen zur Einsicht gebracht werden, dass sie nicht mehr die alleinigen Bereitsteller von Informationstechnik sind. Umgekehrt müssen sie sich noch mehr mit den Bedürfnissen der Benutzer auseinandersetzen und Wege finden, wie die Schatten- in die Firmen-IT integriert oder mit dieser kooperieren kann. «Das ist die einzige Methode, um als IT-Abteilung relevant zu bleiben», ist Smith überzeugt. «CIO, welche die Vorteile der Consumer-IT ignorieren und Krieg gegen die Schatten-IT führen, werden als Verhinderer angesehen», so Smith. Dies habe zur Folge, dass die reguläre IT-Abteilung von den Anwendern erst recht ignoriert werde, was wiederum verheerende Auswirkungen auf die IT-Sicherheitslage habe.