Gründe für eine Schatten-IT

Eine anonyme Umfrage unter Mitarbeitenden aller Hierarchiestufen zufällig ausgewählter deutscher Unternehmen belegen, dass solche Schatten-ITs weit häufiger und umfangreicher sind, als viele Unternehmen es vermuten:

Neben dem möglichen Datenverlust durch Nutzung externer Clouds sind deren Fortbestand keinesfalls auf ewig garantiert. Denn beim Aufsetzen der Cloud-Services macht sich in der Regel niemand Gedanken über deren Weiterentwicklung oder Zukunft. Auch Aspekte, wie deren mangelnde Ausfall- oder Datensicherheit, werden kaum beachtet.

Doch was passiert, wenn ein SaaS für Stunden, Tage oder vielleicht sogar gar nicht mehr verfügbar ist? Was passiert mit unternehmensinternen E-Mail-Wechseln oder in der Cloud gespeicherten Datensätzen? Wichtige Arbeitsschritte können nicht mehr durchgeführt werden, wenn die technische Unterstützung mitsamt der Daten plötzlich wegbricht. Ein weiteres Risiko sind fehlende Backup- und Recovery-Konzepte für SaaS-basierte ­Systeme, weil sie in den Cloud-Services oft gar nicht ­enthalten sind.

Hinzu gesellt sich die Gefahr von Hackerangriffen auf unzureichend geschützte Server in den Rechenzentren, auf denen die SaaS-Applikationen laufen. Die tatsächlich vorhandenen, aber zunächst nicht bekannten Risiken treten meist erst dann zutage, wenn eine Applikation nicht mehr läuft oder sogar Erpresserschreiben im Unternehmen eintreffen. Doch dann ist es zu spät – und die Folgen nur schwierig und schon gar nicht schnell zu beseitigen. Dies kostet nicht nur viel Zeit und Geld, sondern schadet der Reputation der Firma.

Erst mit der Standardisierung von ICT-Dienstleistungen mit klaren Definitionen von Abläufen und Zuständigkeiten sowie mit lückenloser Aufzeichnung des Datenverkehrs im Unternehmen wird schwierig bis unmöglich, an der offiziellen IT-Abteilung vorbei eigene Systeme und Anwendungen zu beschaffen. Noch besser ist ein Miteinander statt eines Gegeneinanders. Regelmässige Umfragen zur Zufriedenheit mit den ICT-Dienstleitungen und dem Arbeitsplatz sowie zu gewünschten Applikationen schaffen Vertrauen und erhöhen die Compliance (= die Einhaltung von Bestimmungen und Regeln zum Schutz der Firmen-IT).

Zudem ermöglichen einige Unternehmen ihren Mitarbeitenden, Administratorrechte zu erhalten, womit jedoch der offizielle Support der IT-Abteilung auf ein Minimum beschränkt wird. Noch klügere Firmen lassen eigene Mitarbeitende versuchen, in die Unternehmens-IT von aussen einzudringen oder veranstalten sogar öffentlich Wettbewerbe mit Preisen, um dadurch Schwachstellen aufzudecken. Solche Massnahmen erhöhen die IT-Sicherheit und senken das Risiko für unautorisierte Zugriffe.