Workarounds und Schatten-IT: Streben nach Produktivität kann Sicherheitsrisiko erhöhen

Wenn Mitarbeiter Wege finden, Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden diese oftmals „kreative“, gleichwohl potenziell gefährliche Lösungen, um trotzdem weiterarbeiten zu können

[datensicherheit.de, 24.09.2025] „Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen gang und gäbe“, so Thomas Müller-Martin, „Field Strategist DACH“ bei Omada, in seiner aktuellen Stellungnahme. Er gibt zugleich folgenden warnenden Hinweis: „In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität!“ Wenn ein engagierter Mitarbeiter nämlich einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finde dieser oftmals „kreative“ Lösungen, um trotzdem weiterarbeiten zu können. Solche „Workarounds“ entstehen demnach selten aus böser Absicht. Allerdings stellten sie gravierende Sicherheitslücken dar, derer sich viele Beschäftigte und Führungskräfte nicht bewusst seien. Die aktive Gestaltung von „Identity Management“ aber erlaube Synergieeffekte – zur gleichzeitigen Steigerung von Produktivität und Sicherheit. „Neue Technologien und Ansätze lösen diesen klassischen Balanceakt, und machen gelebte Cybersecurity zu einem strategischen Vorteil für Unternehmen.“

Thomas Müller-Martin warnt vor „Workarounds“ – diese seien oft ein Symptom für ineffiziente oder überkomplexe Prozesse…

„Schnellstraßen“ für Hacker: Die „Abkürzungen“ der Mitarbeiter

Müller-Martin führt aus: „Ob der Versand vertraulicher Daten über private Filesharing-Dienste, das Teilen von Passwörtern per Chat oder der Einsatz nicht genehmigter ,Tools’: Improvisierte Lösungen sind aus Sicht der Mitarbeiter manchmal schneller als offizielle Freigaben durch die IT-Abteilung oder Führungskräfte.“

• Doch wenn Mitarbeiter und Führungskräfte hierbei abkürzten, böten sie Hackern an, das Gleiche zu tun, denn: „Wer Sicherheitsvorgaben umgeht, vergrößert auch die Angriffsfläche des Unternehmens!“

„Doch was ist mit „Abkürzungen“ gemeint?“ Müller-Martin benennt nachfolgend zwei Beispiele, um die Gefahrenquelle deutlicher zu machen:

1. Beispiel: Geteilte Administrator-Accounts

„In Projekten mit engem Zeitplan passiert es häufig, dass mehrere Teammitglieder ein einziges Administrator-Konto nutzen, weil das Anlegen individueller Berechtigungen vermeintlich zu lange dauert.“

• Das Sicherheitsrisiko: Die Nutzung geteilter Konten zerstöre die Nachvollziehbarkeit („Wer hat was wann getan?“) und mache Anomalie-Erkennung fast unmöglich. „Für Hacker ist das ein gefundenes Fressen: Werden Passwörter zwischen Kollegen im Klartext geteilt, sind diese einfacher abzufangen, und werden seltener gewechselt!“

Einmal gekapert, könnten Angreifer unter diesem Sammelkonto länger unentdeckt agieren. „Kommt es dann zu einem Sicherheitsvorfall, lässt sich die Verantwortung nicht zuordnen.“

2. Beispiel: Privater „Cloud“-Speicher für schnellen Datenaustausch

„Wenn externe Partner kurzfristig Zugriff auf große Dateien brauchen, greifen Mitarbeiter oft zu privaten ,Cloud’-Diensten wie ,Dropbox’ oder ,Google Drive’, statt auf den freizugebenden, aber geschützten Unternehmensspeicher zu warten.“

• Das Sicherheitsrisiko: „Der Transfer findet komplett außerhalb der Identitäts- und Zugriffskontrolle des Unternehmens statt – keine Richtlinien, keine Rezertifizierung, keine automatisierte Rechteentziehung.“

Daten verblieben unter Umständen dauerhaft im privaten Account und damit außerhalb des Geltungsbereichs der Sicherheits- und „Compliance“-Vorgaben.

Aus Sicht der IT-Sicherheit drohen eigenmächtige Vorgehensweisen zum „blinden Fleck“ zu werden

Besonders problematisch werde es, wenn Praktiken wie die beiden oben genannten zur Gewohnheit werden. „Zudem darf man nicht vergessen: Es ist ausgesprochen unwahrscheinlich, dass lediglich ein Mitarbeiter diese Beispiele von ,Schatten-IT’ praktiziert.“

• Oft gebe es vielfältige Arten von „Workarounds“ in Eigenregie, welche sich von Mitarbeiter zu Mitarbeiter unterschieden. „So kumulieren sich Gefahrenquellen!“

Aus Sicht der IT-Sicherheit seien solche Vorgehensweisen ein „blinder Fleck“: „Sie tauchen in keinem offiziellen Prozessdiagramm auf, bleiben in Zugriffsprotokollen unsichtbar und entziehen sich gängigen Kontrollmechanismen.“

Zeitdruck oftmals Einfallstor für Angriffe auf betriebliche IT

Cyberkriminelle wüssten, „wie sehr moderne Organisationen auf Geschwindigkeit angewiesen sind“. Sie nutzten menschliche Faktoren gezielt aus: Über „Social Engineering“, Phishing und den so erbeuteten Missbrauch legitimer Zugangsdaten. Ein kompromittiertes Mitarbeiterkonto, das durch einen „Workaround“ zusätzliche Berechtigungen erhalten habe, könne in kürzester Zeit massiven Schaden anrichten. Studien zeigten, dass der Missbrauch von Identitäten längst zu den häufigsten Einfallstoren für Angriffe zähle.

• Traditionell habe in vielen Unternehmen gegolten: „Je strenger die Sicherheitsvorgaben, desto langsamer die Prozesse.“ Diese Sichtweise sei überholt. Moderne Ansätze in der „Identity Governance and Administration“ (IGA) zeigten, dass Sicherheit und Effizienz kein Widerspruch sein müssten.

„Automatisierte Genehmigungs-Workflows, rollenbasierte Zugriffskonzepte und kontextabhängige Freigaben machen es möglich, Zugriffe schnell und kontrolliert zu vergeben.“ Dafür brauche es keine monatelangen Rollendefinitionen oder langwierigen manuellen Prüfungen mehr. Automatisierte Zugriffsprozesse reduzierten nicht nur den administrativen Aufwand, sondern nähmen Mitarbeitern auch den Anreiz, eigene, unsichere Lösungen zu suchen. „So führen gute Absichten auch nicht zu unabsichtlichen Sicherheitslücken“, gibt Müller-Martin zu bedenken.

Das Risiko der schleichenden IT-Berechtigungsausweitung im Dunkeln

Ein weiteres Problem: „Einmal erteilte Zugriffsrechte werden oft nicht wieder entzogen. Viele sogenannte verwaiste Konten mit vielen und ggf. privilegierten Berechtigungen bleiben ungenutzt, werden vergessen und stellen damit ein Sicherheitsrisiko dar.“

• In einem hektischen Arbeitsumfeld führe dies schnell zu einer schleichenden Berechtigungsausweitung im Dunkeln. Regelmäßige Überprüfungen und automatisierte Rezertifizierungen seien deshalb kein bürokratischer Luxus, sondern notwendige Prävention.

„Reaktive Sicherheitsstrategien greifen deshalb oft zu spät. Wer erst nach einem Vorfall prüft, welche Konten kompromittiert wurden, hat den Schaden meist schon erlitten.“ IGA ermögliche es, Risiken im Zugriffsumfeld in Echtzeit zu erkennen und proaktiv zu handeln – „etwa, wenn ein Mitarbeiter plötzlich auf Systeme zugreift, die nicht zu seinem Aufgabenbereich gehören“.

IT-Sicherheit als unternehmerische Kulturfrage

Technologie allein löse das Problem nicht. Unternehmen müssten eine Kultur fördern, in der Sicherheit nicht als Hindernis, „sondern als selbstverständlicher Teil der Arbeit verstanden wird“. Dazu gehöre, „dass Prozesse so gestaltet sind, dass Mitarbeiter keinen Grund haben, sie zu umgehen“. Müller-Martin unterstreicht: „Nur wenn IT, Fachbereiche und Sicherheitsverantwortliche gemeinsam daran arbeiten, lassen sich ,Workarounds’ auflösen, bevor sie entstehen.“

• Denn „Workarounds“ seien oft ein Symptom für ineffiziente oder überkomplexe Prozesse. Diese machten Unternehmen nicht schneller, sondern angreifbarer. „Wer sie verhindern will, muss Sicherheit und Geschwindigkeit als gleichrangige Ziele behandeln, Mitarbeiter fragen, was sie für ihre Arbeit brauchen, und den Zugang zu Systemen so gestalten, dass er ebenso reibungslos wie kontrolliert ist!“

Abteilungswechsel, Beförderungen und Projekte gehörten indes zum Alltag eines jeden Unternehmens. Müller-Martins Fazit: „Passen sich Berechtigungen automatisch an neue Aufgabenbereiche an, arbeiten Mitarbeiter produktiver. Die administrative Last von Rezertifizierungen und Genehmigungen im Management wird reduziert, und es gibt weniger Tickets in der IT. Sicherheitsvorfällen wird aktiv vorgebeugt.“

Weitere Informationen zum Thema:

Omada by tp-link
Streben nach Exzellenz. Auf der Suche nach Möglichkeiten

Omada
Webinar: Jenseits des klassichen IGA: Identity Governance, der Hidden Champion der Identity Fabric / Referent: Thomas Müller-Martin, Lead Architect, Omada / Co-Speaker: David Johnson, Lead Consultant, iC Consult (On-demand-Webinar)

IBM
Cost of a Data Breach Report 2024

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit / Von Audit bis zum Onboarding

datensicherheit.de, 16.11.2022
Schatten-IT verhindern: Datensicherheit und Nutzerfreundlichkeit in Einklang bringen / Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

datensicherheit.de, 01.12.2020
NetMotion: Die Top-5 der Schatten-IT in Unternehmen / 62 Prozent der mobilen Mitarbeiter nutzen Schatten-IT

datensicherheit.de, 02.06.2019
One Identity-Umfrage: IAM-Praktiken schwierig umzusetzen / Nachlässigkeit erhöht das Sicherheitsrisiko