Aktuelles, Branche, Studien - geschrieben von am Dienstag, Dezember 1, 2020 22:13 - noch keine Kommentare

NetMotion: Die Top-5 der Schatten-IT in Unternehmen

62 Prozent der mobilen Mitarbeiter nutzen Schatten-IT

[datensicherheit.de, 01.12.2020] Die meisten IT-Teams würden wohl gerne glauben, dass ihr Unternehmen alle Anwendungen, Websites und Tools kennt, die Mitarbeiter zur Erledigung ihrer Aufgaben einsetzen, so Netmotion nach eigenen Angaben als Fazit aus zahlreichen Kundengesprächen. Tatsächlich investierten Unternehmen in eine Vielzahl von Produktivitäts-, Kommunikations-, Speicher- und Collaboration-Tools für ihre Belegschaft, um sicherzustellen, dass die Mitarbeiter ihre Arbeit effizient und effektiv erledigen könnten. Was Arbeitnehmer möglicherweise darüber hinaus benötigen könnten, zeige eine kürzlich durchgeführte Studie, wonach 62 Prozent der mobilen Mitarbeiter zugegeben hätten, dass sie für ihre Arbeit alternative Anwendungen verwendeten, von denen ihre IT-Abteilung nichts wisse.

netmotion-thomas-lo-coco

Foto: NetMotion

Thomas Lo Coco: Arbeitnehmer greifen zwar auf nicht genehmigte Tools zu, dies aber zumeist im Interesse der Arbeitserledigung…

Mitarbeiter nutzen Schatten-IT womöglich mit einem Gefühl der Freiheit

„Warum halten sich also nur 38 Prozent der Arbeitnehmer an die Liste der sanktionierten IT-Software ihres Arbeitgebers?“ Wenn man sich die Ereignisse des Jahres 2020 anschaue, könne man einige Vermutungen anstellen: Aufgrund von Auflagen, zu Hause zu bleiben, und weil die Teammitglieder mehr Arbeit außerhalb des Büros erledigten, habe die IT ein gewisses Maß an Sichtbarkeit und Kontrolle verloren.
Möglicherweise spürten auch die Mitarbeiter selbst ein Gefühl der Freiheit. Sie müssten sich keine Sorgen mehr darüber machen, „dass sie ein Büronetzwerk nutzen oder bei der Nutzung einer externen Ressource auf frischer Tat ertappt werden“. Das Ergebnis sei ein Potpourri aus verschiedenen Anwendungen und Diensten, die Mitarbeiter gerne nutzten, um gewisse Lücken zu füllen. Ohne Kenntnis dieser Tätigkeit indes seien Unternehmen einem erhöhten Risiko von Datenlecks und potenziellen Sicherheitsverletzungen ausgesetzt.

Die Top-5 der Schatten-IT in Unternehmen laut NetMotion

„Welche Online-Tools und -Dienste sind für Mitarbeiter so wichtig, dass sie bereit sind, ihre Unternehmensrichtlinien zu verletzen, um diese Tools und Dienste dennoch zu nutzen?“ Die Antworten von NetMotion seien naheliegender als erwartet:

  1. Produktivitätswerkzeuge
    Die erste Kategorie von Software, die von Fernmitarbeitern (in nicht sanktionierter Weise) eingesetzt wird, sind Produktivitätstools. Dies ist eine andere Sichtweise als die finstere, die den meisten in den Sinn kommt, wenn sie an „Schatten-IT“ denken. Die Arbeitnehmer versuchen hierbei eindeutig nicht, ihr Unternehmen zu sabotieren, indem sie auf bösartige Websites zugreifen – sie benutzen einfach Tools, die ihnen helfen, produktiver zu sein, während sie von zu Hause arbeiten.
    Anhand einiger der relevantesten Tools in dieser Kategorie ist dies leicht nachzuvollziehen. „Google Docs“ wird zwar von den meisten IT-Teams nicht sanktioniert, ermöglicht es den Mitarbeitern jedoch, Dateien schnell und einfach auszutauschen und zusammenzuarbeiten. Dennoch müssen IT-Teams wissen, welche Tools die Mitarbeiter verwenden, um sie effektiv zu sperren. Eine falsche Datei, die über einen Online-PDF-Konverter ausgetauscht wird, kann ein unbeabsichtigtes Datenleck und enorme Auswirkungen bis hin zum finanziellen und Reputationsverlust für das betroffene Unternehmen führen.
  2. Kommunikation
    Kommunikationssoftware kommt im Bereich der Schatten-IT an zweiter Stelle und umfasst Tools wie „Zoom“, „Slack“ und „WhatsApp“. Auch hierbei ist es keine Überraschung, dass die Team-Mitglieder sich in Projekten engagieren und miteinander kommunizieren wollen. Für Unternehmen vielleicht noch schockierender ist der Umstand, dass die Mitarbeiter anscheinend unzufrieden mit den Kommunikationstools sind, die von der IT eigens eingerichtet wurden.
    Es ist die halbe Miete, wenn man versteht, welche Kommunikationswerkzeuge die Mitarbeiter (abgesehen von den sanktionierten) verwenden. Wenn das IT-Team das Problem versteht, macht es die Lösung des Problems einfach. Vielleicht wäre dies eine Investition in „Slack“ für die Mitarbeiter oder eine Schulungssitzung dazu, dass die aktuelle offizielle Kommunikationssoftware viele der gleichen Funktionen aufweist. Unabhängig davon ist es wichtig, sicherzustellen, dass die Kommunikationswerkzeuge, die Mitarbeiter verwenden, konsistent und sicher sind. Nachrichten bezüglich sensibler Unternehmensinformationen, die auf nicht genehmigten Nachrichtenplattformen gesendet werden (obwohl sie an sich sicher sind), können leicht in die falschen Hände geraten.
  3. Storage
    An dritter Stelle, weit unterhalb von Produktivität und Kommunikationssoftware, stehen Storage-Tools. Dazu gehören Anwendungen wie „Dropbox“, „Box“ und „WeTransfer“. Diese sind überaus bekannt und werden in vielen Unternehmen verwendet, unabhängig davon, ob sie mit Sanktionen belegt sind oder nicht. Die gute Nachricht ist, dass die Unternehmen anscheinend einen Schritt zur Bekämpfung dieser nicht sanktionierten Verwendung unternommen haben, indem sie den Arbeitnehmern den Zugang zu Storage auf funktionierende Weise ermöglichen. „Dropbox“ zum Beispiel hat jetzt ein Angebot für Unternehmen, das einen robusteren Sicherheitsstandard erfüllt.
    Wenn Unternehmen jedoch noch nicht in externe Speicherkapazitäten investieren, sollten sie dies möglicherweise in Betracht ziehen. Große Dateien, die auf unsichere Speicherorte hochgeladen werden, sind eine einfache Möglichkeit, Daten durchsickern zu lassen, von der die meisten Mitarbeiter häufig Gebrauch machen, wenn sie keine Alternative haben.
  4. Zusammenarbeit
    Collaboration-Tools belegen den letzten Platz in der Kategorie Schatten-IT-Software. Es ist leicht, dies als positiv zu sehen. Tools wie „Asana“, „Trello“ und „Coda“ sind ohne spezielle IT-Kenntnisse nutzbar. So scheint es, dass die Mehrheit der Mitarbeiter ihre Bedürfnisse an diese Tools erfüllt sieht. Ein Beispiel wäre, dass ein Team „Asana“ verwendet, ohne dass die IT-Abteilung davon weiß.
    Auch hierbei handelt es sich um eine Situation, die leicht gelöst werden kann und die wahrscheinlich darauf zurückzuführen ist, dass die Bedürfnisse der Mitarbeiter nicht erfüllt wurden. Wenn „Asana“ verwendet wird, bedeutet das normalerweise, dass ein Team versucht, sich zu organisieren und effektiver zusammenzuarbeiten. Wenn die IT-Abteilung in der Lage ist, diesen Bedarf zu erkennen, sollte sie helfen, indem sie entweder in „Asana“-Lizenzen investiert und Personal ausbildet oder diesen funktionalen Bedürfnissen auf andere Weise gerecht wird.
  5. Sonstige
    Diese Kategorie regt die Phantasie auf Anhieb an, vor allem bei IT-Teams, denn es ist schwierig zu ergründen, welche Tools unter „Sonstige“ fallen.
    Was sich jedoch sagen lässt, ist, dass Fern-Arbeiter diese als ihre Antwort auf ein Problem wählen, weil sie bestimmte Tools ohne IT-Kenntnisse verwenden können.

Schatten-IT – Mangel an Sichtbarkeit im Allgemeinen nie eine gute Sache

„Offensichtlich hat diese Analyse aufgedeckt, was viele als ein Problem bezeichnen würden. Da einer von vier Umfrageteilnehmern NetMotion gegenüber offenbart, dass er eine beträchtliche Anzahl von Tools außerhalb der offiziellen IT-Richtlinien verwendet, ist Handlungsbedarf gegeben“, betont Thomas Lo Coco von NetMotion und fährt fort:
„Ist in Sachen Schatten-IT wirklich alles schlecht? In gewisser Weise ja – ein Mangel an Sichtbarkeit für die IT ist im Allgemeinen nie eine gute Sache. Andererseits zeigt die Erfahrung, dass Arbeitnehmer zwar auf nicht genehmigte Tools zugreifen, dies aber im Interesse der Arbeitserledigung tun.“

Schatten-IT so steuern, dass sie zu etwas Positivem wird

„Wie löst ein Unternehmen dieses Problem? Jedes Unternehmen ist anders. Ein Team nutzt vielleicht einen Mix von Schatten-IT oder weist eine große Anzahl von Fällen auf, die in eine ganz bestimmte Kategorie fallen.“ Unter dem Strich benötige die IT-Abteilung Sichtbarkeit außerhalb der vier Wände des Büros. Die IT müsse nach Meinung von Netmotion in der Lage sein, zu entschlüsseln, auf welche Tools die Mitarbeiter in jedem Netzwerk zugreifen.
Ist diese Sichtbarkeit gegeben, müsse die IT-Abteilung mit den Mitarbeitern zusammenarbeiten und effektive Lösungen finden, anstatt produktive Arbeitsweisen zu verhindern. Die Schatten-IT lasse sich so steuern, dass sie zu etwas Positivem wird, statt das eher archaische Modell der Beschränkung von Mitarbeitern, ihren Methoden und Geräten zu verfolgen.

Weitere Informationen zum Thema:

NetMotion
An introduction to experience monitoring

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

Gastbeitrag von Deepen Desai, VP Security Research bei Zscaler, 06.3.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe / Beliebte Angriffsvektoren für Cyberkriminelle

datensicherheit.de, 16.09.2018
Fünf Maßnahmen gegen die mobile Schatten-IT / Starke Herausforderung für die Unternehmens-IT / Mitarbeiter nutzen nicht genehmigte Geräte und Apps

datensicherheit.de, 11.08.2016
Die dunklen Seiten der betrieblichen Schatten-IT / Tenable-Studie zeigt wachsende Anfälligkeit für Angriffe auf Unternehmen



Kommentieren

Kommentar

Theiners Talk

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung