Schatten-IT verhindern: Datensicherheit und Nutzerfreundlichkeit in Einklang bringen

Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

[datensicherheit.de, 16.11.2022] „Die Risiken der sogenannten Schatten-IT werden häufig unterschätzt“, warnt Ari Albertini, „Co-CEO“ der FTAPI Software GmbH, in seiner aktuellen Stellungnahme. Auf den ersten Blick erschienen die in Abteilungen ohne Genehmigung der IT-Verantwortlichen genutzten Anwendungen, „Cloud“-Dienste und Konten eher harmlos. Sie seien oft benutzerfreundlicher als die Unternehmens-IT und stünden kostenlos zur Verfügung. Albertini stellt klar: „Für Unternehmen stellen ,Schatten-Tools’ jedoch ein ernstes Risiko für Sicherheit und Compliance dar.“ Viele IT-Verantwortliche schränkten die Verwendung daher mit drastischen Maßnahmen ein – meistens jedoch nicht mit dem gewünschten Erfolg. Sinnvoller wäre es, eine Unternehmens-Software einzusetzen, welche neben Datensicherheit auch ein hohes Maß an Anwenderfreundlichkeit bietet. IT-Verantwortliche könnten durch entsprechende Lösungsangebote an die Mitarbeiter die Verwendung illegaler Software reduzieren und dem Entstehen von „Schatten-IT“ entgegenwirken.

Foto: FTAPI Software GmbH

Ari Albertini: Virtuelle, browser-basierte Datenräume bieten effiziente Möglichkeit für das Teilen von Informationen und eine Kollaboration ohne Sicherheitsrisiko

Folgende Maßnahmen dämmen das Entstehen von Schatten-IT erfolgreich ein:

1. Bedürfnisse der Mitarbeiter verstehen!
„,Schatten-IT’ entsteht dann, wenn Mitarbeitenden keine passenden Lösungen zur Verfügung stehen, um ihre Aufgaben effizient zu erledigen“, erläutert Albertini. Der Einsatz nicht genehmigter Anwendungen und Dienste sei zudem ein Zeichen, dass das aktuelle Angebot den Anforderungen und Bedürfnissen der Mitarbeiter nicht gerecht werde. „Nutzer weichen dann häufig auf andere ,Tools’ aus, weil diese leichter zu nutzen sind oder ihre Bedürfnisse besser erfüllen.“ In der Regel machten sie sich über die daraus entstehenden Risiken keine Gedanken: „Etwa, wer auf welche Daten zugreifen kann oder ob Sicherheitslücken den Dienst zu neuen Einfallstoren für Cyber-Kriminelle machen.“
Bevor Verantwortliche Maßnahmen gegen den „IT-Wildwuchs“ ergreifen, müssten sie jedoch erst herausfinden, wie weit dieser in ihrem Unternehmen verbreitet ist. Das Befragen der Mitarbeiter sei da eine effiziente Möglichkeit. Hilfreich seien auch Monitoring-Programme, welche unbekannte IP-Adressen im Unternehmensnetz aufspürten. „Haben die Verantwortlichen sich so einen Überblick verschafft, können sie ihr Anwendungs- und Dienstportfolio präziser auf die offenbar nicht bedienten Bedürfnisse der Mitarbeitenden abstimmen.“ Letztlich würden sie in die Lage versetzt, die nicht genehmigten Ressourcen mit bedarfsgerechten, sicheren und intuitiv bedienbaren Lösungen zu ersetzen.

2. Produktive sichere Arbeitsumgebungen schaffen!
Selbst der Kommunikationsklassiker E-Mail unterstütze nicht immer alle praktischen Bedürfnisse: „Das ist zum Beispiel dann der Fall, wenn Mitarbeitende regelmäßig große Dateninhalte in einer Nachricht übermitteln müssen, aber damit Limits der zulässigen Mail-Größe überschreiten oder eine zu kleine Mailbox viel zu schnell zu voll wird.“ Nicht wenige Mitarbeiter wichen dann auf andere E-Mail-Anbieter aus. Damit entziehe sich aber die Nachrichtenübermittlung der Kontrolle durch die zentrale IT. Die Mehrzahl der angebotenen Lösungen übermittele zudem die Daten unverschlüsselt und biete, oft ohne besonderen Schutz ausgestattet, Cyber-Kriminellen eine ideale Angriffsfläche.
„Nur ein vollständig abgesicherter E-Mail-Verkehr – beispielsweise durch eine durchgängige Ende-zu-Ende-Verschlüsselung – kann die Informationen im Nachrichtenverkehr soweit schützen, dass Mitarbeitende selbst sensible, personenbezogene oder geschäftskritische Daten ohne Bedenken versenden können.“ Wenn der IT-Administrator die maximale Größe der Nachrichten und Mailboxen dann noch den Bedürfnissen entsprechend festgelege, blieben die Mitarbeiter dieser vorgeschlagenen E-Mail-Lösung treu.
Auch virtuelle, browser-basierte Datenräume böten eine effiziente Möglichkeit für das Teilen von Informationen und für eine Kollaboration ohne Sicherheitsrisiko. Diese besonders abgesicherten Ressourcen schützten nicht nur personenbezogene und andere sensible Daten vor unerlaubtem Zugriff, sondern organisierten zugleich die Zugriffsrechte Einzelner und von Gruppen. Mitarbeiter könnten auf die in den Datenräumen gespeicherten Daten ortsunabhängig und sicher zugreifen und Dateien jeder Größe auch über Unternehmensgrenzen hinweg ohne Risiko austauschen.

3. Automatisierte Workflows für mehr Datensicherheit!
IT-Verantwortliche könnten proaktiv ihren Mitarbeitern „Tools“ an die Hand geben, um gerade lästige Aufgaben automatisiert zu erledigen. Auch dadurch verhinderten sie das Abwandern von Beschäftigten in die „Schatten-IT“. Lösungen für einen automatisierten Daten-Workflow böten eine einfach zu integrierende offizielle Alternative im Gegensatz zu dem in vielen Firmen vorhandenen Wildwuchs an einzelnen „Tools“, die automatisch Daten synchronisieren, verarbeiten, versenden, archivieren oder auch Freigaben generieren sollten.
Die Ablage von Dokumenten, der postalische Versand von Gehaltsabrechnungen oder manuelle Bewerbungsprozesse könnten so schneller und zuverlässiger erledigt werden – „für mehr Effizienz und Sicherheit im Tagesgeschäft“. Geeignete Automatisierungs-Plattformen unterstützten dabei, Daten gesetzeskonform zu verarbeiten. Zudem blieben auch hier die Daten während des gesamten Workflows Ende-zu-Ende verschlüsselt. Eine revisionssichere Prozessautomatisierung verhindere zudem eine nachträgliche Datenmanipulation. Durch ein solches Hilfsangebot erhielten Mitarbeiter mehr Freiraum, so dass sie sich auf wesentliche, höherwertige Aufgaben konzentrieren könnten. „Solche Hilfen werden akzeptiert.“

4. Mehr Sicherheitsbewusstsein durch Schulungen!
Die meisten Mitarbeiter nutzten die kostenfreien Tools nicht, um dem Unternehmen zu schaden. „Sie fühlen sich eher durch zu rigide Sicherheitsbestimmungen im Unternehmen eingeschränkt oder ärgern sich über zu langsame Reaktionen der IT-Verantwortlichen auf ihre Anfragen“, erläutert Albertini. Persönliche, nicht von der IT freigegebene Konten ließen sich dagegen oft im ersten Schritt unkomplizierter, flexibler und schneller nutzen. In regelmäßigen Schulungen sollten Unternehmen daher ihre Mitarbeiter über die Risiken nicht-autorisierter Software informieren – „und ihnen klar machen, dass ein unkontrolliertes Sammelsurium an IT-Tools den Datenschutz und die Datensicherheit des Unternehmens gefährden“. Sie sollten Mitarbeiter außerdem ermutigen, fehlende Lösungen proaktiv einzufordern, anstatt hinter dem Rücken der IT eine gefährliche Selbsthilfe zu starten.
Durch regelmäßige, offene Kommunikation könnten Unternehmen einer Schatten-IT effektiv entgegenwirken. Abschließend rät Albertini: „Um einen verantwortungsvollen Umgang mit Unternehmensdaten zu erreichen, sollten Geschäftsführung und IT-Verantwortliche daher sichere Software-Lösungen unterstützen, die Compliance und einfache Bedienbarkeit in den Mittelpunkt stellen.“