Schatten-IT
Was ist Schatten-IT und welche Risiken und Chancen verbergen sich dahinter?
14 September, 2022 durch
Schatten-IT
manaTec GmbH, Sophia Grünig

Durch neue Technologietrends im Bereich der IT-Dienstleistungen, die vermehrt angeboten und in Unternehmen genutzt werden - wie z.B. Private und Public-Cloud-Produkte - rückt die Schatten-IT wieder vermehrt in die Betrachtung der IT-verantwortlichen Entscheider. Dabei ist das Phänomen Schatten-IT jedoch eigentlich nichts neues. Sie ist schon seit Beginn der Unternehmensnetzwerke ein Thema, jedoch in der letzten Zeit wieder vermehrt im Fokus. 

Doch was versteht man eigentlich unter Schatten-IT? 

Schatten-IT, oder zu Englisch "Shadow IT", ist die Implementierung beziehungsweise Nutzung von Hard- oder Software (zum Beispiel von Apps oder Cloud-Diensten), die nicht im Unternehmen freigegeben oder getestet wurde, aber ohne Wissen oder Zustimmung der IT-Abteilung von Mitarbeitern eines Unternehmens genutzt werden. Es ist eine Situation, die in einigen Unternehmen vorkommt und für erhebliche Sicherheitslücken sorgen und so ein Risiko darstellen kann, allerdings auch Chancen bietet.

Um die Risiken der Schatten-IT händeln zu können, empfiehlt es sich, einen Überblick über die gesamte im Unternehmen genutzte IT zu schaffen.
Um die Risiken der Schatten-IT händeln zu können, empfiehlt es sich, einen Überblick über die gesamte im Unternehmen genutzte IT zu schaffen.

Wodurch wird Schatten-IT erzeugt?

Es gibt verschiedene Gründe für das Wachsen der Schatten-IT, meist geht es hier um Notwendigkeit, Zweckmäßigkeit und Rechtfertigung. Die Beweggründe für die Nutzung bzw. Erzeugung von Schatten-IT haben sich jedoch auch über die Jahre etwas geändert. Einen ersten Wachstumsschub erfuhr die Schatten-IT in den 1980er und 1990er Jahren, als sich Personal Computer immer mehr verbreiteten. Heutzutage sorgen vor allem mobile Endgeräte und Webdienste für einen Anstieg der "versteckten IT". Auch das steigende Vertrauen in digitale Dienste – Stichwort "Digital Natives" – sowie geringe Anschaffungskosten für Speicher, Endgeräte und Apps und die wachsende Verbreitung von Software-as-a-Service Angeboten spielen dabei als Pull-Faktoren eine Rolle.

Grundsätzlich lässt sich ebenso festhalten, dass Schatten-IT entsteht, wenn die seitens der IT-Abteilung angebotenen Dienste in Funktion und Qualität nicht den Anforderungen der Fachbereiche genügen. Anders gesagt: der Bedarf ist nicht mit den Angeboten der IT abgestimmt. Es kommt zum Business-IT-Non-Alignment. In Folge dieser Diskrepanz kann Schatten-IT entstehen. Ebenso stellen hohe administrative Hürden für die Beschaffung und Nutzung neuer IT-Services, unflexible Budgets oder Intransparenz bei IT-Verrechnungspreisen, ausbleibende IT-Unterstützung aufgrund von personellen Kapazitätsengpässen oder fehlendem Knowhow, veraltete IT-Lösung aufgrund geringer Innovationsfreude der IT-Abteilung sowie geringe organisatorische, geographische oder prozessuale Verbundenheit zwischen Fach- und IT-Seite weitere Push-Faktoren für eine Entstehung von Schatten-IT dar.

Warum ist sie ein Risiko für Unternehmen?

Grundsätzlich kann man davon ausgehen, dass Mitarbeiter in bestem Wissen und Gewissen handeln – also nicht bewusst unsichere oder datenschutzrechtlich kritische Software installieren und nutzen würden. Doch das Handeln nach bestem Wissen und Gewissen ist nicht immer genug. Laut einer Befragung von Statista im Jahr 2019 gaben 40 % der befragten Unternehmen an, dass sie in den letzten drei Jahren mit einem oder mehreren Fällen von Cyberkriminalität, Hacking oder Datendiebstahl zu tun hatten – ein Problem, das Zeit, Geld und Nerven kostet und auch unter Umständen das Vertrauen von Kunden und Partnern und somit den Ruf des Unternehmens nachhaltig schädigen kann.

Neben den Sicherheitsrisiken in Hinsicht auf Datensicherheit, -integrität und -schutz gibt es auch weitere Nachteile und Probleme mit der Verbreitung von Schatten-IT im Unternehmen. Zu nennen sind da Compliance-Konflikte, denn Schatten-IT kann zur Etablierung von Prozessen führen, die bestehende Compliance-Regeln verletzen. Außerdem stellt Schatten-IT selbst einen Verstoß gegen unternehmensinterne Regeln dar. Auch werden Schatten-IT Anwendungen definitionsgemäß nicht vom IT-Service-Management betreut, sodass eine Planung von IT-Architektur und -Kapazitäten kaum möglich ist. Dies führt neben der Tatsache, dass Schatten-IT-Anwendungen häufig technologisch betrachtet qualitativ schlechter als professionell entwickelte Systeme sind, zu einer geringen Zukunftsfähigkeit. Der geringe Grad an Professionalität und die fehlende Planung führt nämlich oftmals zu einer wirtschaftlichen Ineffizienz der Prozesse und Systeme. 

Weiterhin ist zu erwähnen, dass Sourcing-Entscheidungen durch die Schaffung von Schatten-IT untergraben werden: Offiziell ausgewählte Outsourcing-Partner werden übergangen, was ein hohes Risikopotenzial hinsichtlich von Vertragsstrafen birgt. Ebenso kann die Beschäftigung von Mitarbeitern in den Fachabteilungen mit IT-Themen negative Auswirkungen auf die Gesamtperformance des Unternehmens haben, da sich diese Mitarbeiter nicht mit ihren Hauptaufgaben beschäftigen. Auch können andere IT-Services von Schatten-IT gestört und deren Funktionalität und Verfügbarkeit beeinträchtigt werden, was ein weiteres Risiko darstellt. Dadurch, dass Schatten-IT nicht ins Releasemanagement eingebunden ist, können beispielsweise Migrationen und andere Veränderungsmaßnahmen behindert werden. Die Benutzerzufriedenheit kann durch Folgeprobleme der Verfügbarkeit und des Supports der Schatten-IT ebenfalls negativ beeinflusst werden. 

Welche Chancen stehen dahinter?

Neben den betrachteten Risiken, kann Schatten-IT auch Chancen mit sich bringen. Zu nennen ist eine hohe IT-Innovationsrate, die durch Schatten-IT entstehen kann. Die Auseinandersetzung der Fachbereiche mit den Chancen von IT und die Erkennung eines zusätzlichen Nutzens für ihre Prozesse, führt unter den entsprechenden Rahmenbedingungen zur Entwicklung von Schatten-IT. Für die IT-Abteilungen hingegen ergeben sich aufgrund ihrer Distanz zum operativen Geschäft, Probleme dieses Innovationspotenzial aufzudecken. Folglich finden Innovationen über Schatten-IT sehr schnell ins Unternehmen. Auch kann Schatten-IT zu einer Verbesserung der Prozesse führen, denn die Schatten-IT Lösungen sind sehr aufgabenorientiert und haben eine starke Fokussierung auf die internen Prozesse der Fachabteilung. Ebenso führen Schatten-IT Lösungen durch ihre Nähe zu den Bedürfnissen der Anwender zu einer wachsenden Benutzerzufriedenheit mit der IT-Unterstützung im Unternehmen insgesamt. Dadurch, dass der Bewilligungsprozess fehlt, sind Schatten-IT Lösungen außerdem flexibel und schnell anpassbar. Untersuchungen haben gezeigt, dass die Identifikation mit den genutzten Produkten sehr hoch sein kann, was zu steigender Motivation führt. 

Wie geht man mit Schatten-IT im Unternehmen um?

Trotz der Chancen, die Schatten-IT mit sich bringen kann, dürfen die Risiken auf keinen Fall vernachlässigt und Schatten-IT verharmlost werden. Vielmehr sollten sowohl die genannten Risiken als auch Chancen dazu anregen, sich mit der Software- und IT-Struktur im eigenen Unternehmen zu beschäftigen, diese zu prüfen und zu evaluieren. Mithilfe weniger Schritte kann es gelingen, Schatten-IT unter Kontrolle und Sicherheitslücken ans Licht zu bringen. Als erstes sollte ein Überblick über mögliche Schatten-IT und damit verbundene Risiken geschaffen werden. Dazu sollten verschiedene Fragen mithilfe von klärenden Gesprächen mit den Fachabteilungen beantwortet werden. Mögliche Fragen können sein: 

  • Welche Cloud-Anwendungen werden verwendet?
  • Welche SaaS-Apps werden verwendet und überschneiden sich?
  • Wer nutzt welche Anwendung?
  • Wie wird Schatten-IT genutzt? Steht die Nutzung dieser Anwendungen im Einklang mit den Unternehmensrichtlinien?
  • Ist die Schatten-IT-Nutzung der Mitarbeiter in Bezug auf Sicherheit und Compliance riskant?
  • Welche SaaS-Anwendungen zeigen Upload- und Download-Aktivitäten von Dateien?
  • Welche Datei-Uploads und -Downloads in SaaS-Anwendungen verletzen die Regeln der Data Loss Prevention (DLP)?
  • Wer lädt Dateien mit DLP-Verletzungen hoch oder herunter?

Nachdem die notwendigen Informationen zusammengetragen wurden, werden diese im zweiten Schritt ausgewertet sowie genutzte Software und Anforderungen geprüft. Dabei können folgende Fragen Orientierung bieten:

  • Welche Software kann weiter genutzt werden?
  • Welche Anwendungen sollten ersetzt werden?
  • Welche Alternativen kann man den Mitarbeitern anbieten?

Im dritten und letzten Schritt gilt es, Richtlinien sowie Kontroll-Lösungen zu erarbeiten und einzuführen, um langfristig keine Probleme mit Schatten-IT zu bekommen. Hier kann schon ein einfacher Prozess helfen, der besagt, dass neue Software nur von Mitarbeitern aus dem IT-Bereich installiert werden darf.


Quellen: www.proofoint.de, www.hagel-it.de, www.wikipedia.de, www.talend.com


Odoo 15 - Modul Website
In Odoo 15 lassen sich schnell und einfach Webseiten erstellen und bearbeiten. Wir zeigen, wie.