PenetrationstestJan Kahmen9 min Lesezeit

Die Schatten-IT: Überblick, Definition und Risiko

Die Schatten-IT umfasst sämtliche IT-Systeme, die in einem Unternehmen zum Einsatz kommen und nicht von der IT-Abteilung kontrolliert werden.

Inhaltsverzeichnis

Was ist Schatten-IT?

Die Schatten-IT umfasst sämtliche IT-Systeme, die in einem Unternehmen zum Einsatz kommen und nicht von der IT-Abteilung kontrolliert werden. Sie sind eine Reaktion auf Hindernisse und erleichtern es Ihnen, Arbeitsaufgaben effektiv abschließen zu können. Damit steht der Einsatz von Schatten-IT im direkten Zusammenhang zu Ihren Geschäftsprozessen. Solche Systeme lassen sich über sämtliche Abteilungen hinweg nutzen. Die Schatten-IT ist in der Definition also jedes IT-System, das Sie verwenden, aber über das Ihre IT keine Kontrolle hat. Übrigens beschränkt sich die Schatten-IT Definition nicht auf den Bereich der Software, sondern ebenfalls die Hardware.

Wie entsteht eine Schatten-IT?

Nach wie vor entscheiden sich zahlreiche Unternehmen dafür, spezielle Anwendungen zu verbieten. Das Ergebnis ist ein fortwährender Kampf zwischen den Anwendern und der IT-Abteilung. Diese Streitigkeiten führen zu keinem wünschenswerten Ergebnis, weswegen sie Cloud-Dienste und Software möglichst ohne Rücksprache mit der IT nutzen: Sei es, um eine Präsentation zu teilen oder Bilder an einen Kollegen weiterzugeben. Der Grund dafür ist nicht nur die Zweckmäßigkeit, sondern auch die Notwendigkeit, solcher Dienste. Auf diese Weise umgehen einzelne Mitarbeitende, Gruppen oder Abteilungen die Konfrontation und verwenden stattdessen eine solche Schatten-IT.

Faktoren innerhalb der IT

  • Fehlen in der IT die finanziellen oder personellen Ressourcen, müssen Anfragen aus unterschiedlichen Fachbereichen zurückgestellt werden. Das gilt auch dann, wenn das notwendige Know-how fehlt. Tritt dieser Fall ein, helfen sich die Abteilungen in Eigenregie weiter.
  • Neue Angebote erleichtern es, Software zu nutzen, die nicht in den offiziellen IT-Bereich fällt.

Faktoren innerhalb der Fachabteilungen

  • Die hohe Autonomie der Fachabteilung erstreckt sich auch auf die IT.
  • Besteht ein geringer organisatorischer Zusammenhalt, sind Abteilungen dazu geneigt, unabhängig von der internen IT zu agieren.
  • Auch die dezentrale Organisationsform begünstigt die Schatten-IT, da es hinsichtlich des IT-Supports meist Einschränkungen gibt.
  • Durch externe Einflüsse kann es notwendig sein, die Systeme Dritter zu nutzen.
  • Zählen Mitarbeitende zu den [Digital Natives](https://www.businessinsider.de/gruenderszene/lexikon/begriffe/digital-native/), unterstützen sie die Entwicklung der Schatten-IT.

Probleme mit der Abstimmung zwischen IT- und Fachabteilungen

  • Bestehen keine eindeutigen Verantwortlichkeiten, sind die Abteilungen eher dazu geneigt, die Dinge selbst in die Hand zu nehmen.
  • Ein zu starres Budget oder eine unzureichende Transparenz unterstützen zusätzlich die Bildung einer Schatten-IT.
  • Eine zu geringe Formalisierung fördert die Schatten-IT ebenfalls. Wichtig: Auch ein übermäßiges Formalisieren führt dazu, dass die Mitarbeitenden sich anderweitig behelfen müssen.

Deshalb nimmt die Schatten-IT zu

Die Schatten-IT ist längst nicht mehr neu. Umfragen unter IT-Leitern ergaben, dass mehr als die Hälfte der Mitarbeitenden solche Software nutzt. Betroffen davon sind vor allem Unternehmen, die innovative und junge Mitarbeitende beschäftigen. Sie verfügen über die notwendigen Kenntnisse und fühlen sich in der Welt der Computer zuhause. Auch dann, wenn Sie besonders restriktiven IT-Regeln folgen, verleiten Sie Ihre Mitarbeitenden dazu, den Anteil an Schatten-IT zu erhöhen. Warum ist das so? Sind die Mitarbeitenden daran gewöhnt, privat auf komfortable IT-Lösungen zu setzen, fordern sie diese Leistung auch im professionellen Bereich ein. Besonders beliebt sind Cloud-Solutions, die selbst für Menschen ohne tiefere IT-Kenntnisse nutzbar sind.

Darum ist es wichtig, auf die Schatten-IT zu achten

Dass es die Schatten-IT gibt, ist an und für sich kein Problem. Vielmehr ist es das Ausmaß, das sich negativ bemerkbar macht. Denn sobald viele unterschiedliche Anwendungen zum Einsatz kommen, geht die durch einzelne Lösungen gewonnene Flexibilität verloren. Außerdem kann bei einem Übermaß an Software-Lösungen die Kosten-Planung aus den Fugen geraten. In solchen Fällen kommt es zu doppelten Käufen oder nicht ausgelasteten Lizenzen, die zu einer deutlichen Kostenzunahme führen.

Risiken der Schatten-IT

  • Die [Schutzziele der IT-Sicherheit](https://de.wikipedia.org/wiki/Informationssicherheit) können unter mangelnder Professionalität leiden.
  • Etablieren sich unerwünschte Prozesse, kann es zu Compliance-Konflikten kommen.
  • Die Anwendungen der Schatten-IT werden nicht von der IT-Abteilung betreut.
  • Sie untergräbt Sourcing-Entscheidungen.
  • Sie kann sich im schlimmsten Fallen negativ auf die Performance von Mitarbeitenden auswirken.

Sollte die Schatten-IT Ihnen Sorgen machen?

Nein, solange die Schatten-IT die IT-Sicherheit nicht gefährdet, gibt es keinen Grund, sie als bedrohlich anzusehen. Allerdings kann sie schnell zu einem komplexen und kostspieligen Problem werden. Deshalb lohnt es sich, die unternehmensinternen Gründe genauer zu untersuchen. Was fehlt den Mitarbeitenden, dass sie sich mit der Schatten-IT behelfen müssen? Durch strukturelle und strategische Lücken entsteht ein Misalignment, das ein schwerwiegenderes Problem darstellen kann.

Chancen der Shadow-IT

  • Hohe Innovationsrate in der IT: Dadurch, dass sich die IT mit den Fachbereichen auseinandersetzt, lässt sich zusätzliches Potenzial zur Optimierung der Prozesse erkennen.
  • Schatten-IT Lösungen sind stets aufgabenorientiert. Dadurch erkennen Sie die ihr zugrunde liegenden Prozesse und können sie verbessern.
  • Mit ihrer Hilfe erkennen Sie die Bedürfnisse der Anwender und können einen Schritt in Richtung Benutzerfreundlichkeit vorangehen.
  • Mitarbeitende identifizieren sich schnell mit neuen Produkten und sind dadurch motivierter.

So verwalten Sie die Schatten-IT in Ihrem Unternehmen

Die Schatten-IT im Unternehmen zu verwalten ist eine etwas größere Aufgabe. Am besten eignet sich hierfür eine regelmäßige Zusammenarbeit mit Stakeholdern. Sie können Auskunft darüber geben, welche Software eingekauft wurde. Das Resultat ist, dass Sie Ihre Schatten-IT aufdecken und so ein effektives Software-Lizenzmanagement einführen können.

Schritt 1: Schatten-IT identifizieren

Da sich Mitarbeitende ihre Software für die Arbeit nicht selbst kaufen, existiert immer eine Spur in Richtung Firmen-Ausgaben. Meist handelt es sich um Spesen- oder Kreditkartenabrechnung, über die Sie Software-Käufe lokalisieren können. Auf diese Weise lässt sich eingrenzen, welche Cloud-Plattformen die Mitarbeitende im Unternehmen nutzen.

Schritt 2: Erstellen Sie Richtlinien

Richtlinien im Softwarebereich müssen Sie stets auf dem aktuellsten Stand der Technik halten. In der Regel betreffen diese Richtlinien Höchstgrenzen für die anfallenden Kosten. Allerdings funktioniert das nicht mehr, wenn Cloud-Dienste zum Einsatz kommen. Denn die monatlichen Gebühren sind niedrig und unterschreiten meist den festgelegten Schwellenwert. Wichtig: Selbst bei einem effektiven Management sollten Sie den Innovationsimpuls Ihrer Firma nicht einschränken.

Schritt 3: Führen Sie Software Asset Management Tools ein

Um dem Problem der Schatten-IT entgegenzuwirken, haben sich schon seit Langem einige Tools bewährt. Ein SAM-Tool hilft dabei, die Ausgaben der unternehmenseigenen SaaS-Ausgaben zu verwalten. Gleichzeitig bieten diese Tools eine hervorragende Möglichkeit, den Überblick über die IT-Umgebung zu behalten: Sowohl über die On-Premises Lösungen als auch über die Cloud-Lösungen.

Fazit

Die Schatten-IT stellt für die interne IT-Abteilung ein großes Problem dar. Obwohl sie für viele Mitarbeitende unerlässlich scheint, ist es mit ihrem Einsatz schwierig, die Schutzziele der IT-Sicherheit zu erfüllen. Besser ist es, solche Cloud-Lösungen oder anderweitige Software in die vorhandene IT-Infrastruktur zu integrieren. Clouds stehen zwar für ein schnelles Wachstum bei gesteigerter Verbreitung. Dennoch können sie von den Administratoren in das interne System integriert und überwacht werden.

Wie groß die Schatten-IT innerhalb Ihrer Firma ist, hängt vom Einzelfall ab. Während es hin und wieder ein einzelner Mitarbeitender ist, der auf Abonnementsoftware setzt, kann sie ganze Geschäftseinheiten betreffen. Um die IT-Sicherheit innerhalb Ihrer Organisation zu gewährleisten, sollten Sie deshalb versuchen, stets ein Auge auf die sogenannte Shadow IT zu haben.

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: