eco Verband 07.06.2016, 00:00 Uhr

Schatten-IT ist Katastrophe für die betriebliche Sicherheit

Nicht genehmigte Hard- und Software sowie Cloud-Dienste unabhängig von der Firmen-IT gefährden sensible Unternehmensdaten.
Der Einsatz nicht genehmigter Hardware und Software, nicht vorgesehene IT-Betriebsabläufe und ähnliche „Nachlässigkeiten“ – im Fachjargon „Schatten-IT“ genannt – gefährden die Sicherheit in der deutschen Wirtschaft in erheblichem Maße. Diese Schlussfolgerung ergibt sich aus dem aktuellen eco Sicherheitsreport 2016, der auf der Umfrage unter 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland basiert. „Es gibt in jedem größerem Unternehmen in den Fachabteilungen vermutlich mehr nicht genehmigte und nirgendwo dokumentierte Software und genutzte Cloud Services, als sich die IT-Abteilungen in ihren kühnsten Albträumen vorstellen“, mutmaßt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.


Über drei Viertel (76 Prozent) der von eco für den Report befragten Experten gehen davon aus, dass Schatten-IT in ihrem Unternehmen genutzt wird. Ein knappes Viertel (23 Prozent) vermutet sogar, dass die Nutzung von Schatten-IT in erheblichem Umfang stattfindet. Lediglich 16 Prozent sind überzeugt, dass in ihrem Betrieb keine Schatten-IT existiert.


„Durch Cloud-Dienste werden Fachabteilungen heutzutage in die Lage versetzt, ganze Funktionsfelder auszugliedern, ohne ihre firmeneigene IT-Abteilung überhaupt informieren zu müssen“, sagt Oliver Dehning: „Das mag für die Performance in der jeweiligen Fachabteilung durchaus zuträglich sein, aber für die IT-Sicherheit bedeutet es unkalkulierbare Risiken.“


Zur Abhilfe empfiehlt der eco Verband den Unternehmen die Bereitstellung geeigneter Lösungen für die Fachbereiche durch die Zentral-IT, die tatsächliche Kontrolle der IT-Nutzung und die Sensibilisierung der Mitarbeiter in Bezug auf die Gefahren der Schatten-IT. Dazu Oliver Dehning: „Zur Schatten-IT kommt es in der Regel, wenn ein Bedarf auf Fachbereichsebene besteht, den die IT nicht adäquat bedient. Die Deckung dieses Bedarfs durch akzeptable Lösungen sollte also eine hohe Priorität besitzen.“ Zudem empfiehlt der Kompetenzgruppenleiter eine strikte Kontrolle; so lässt sich etwa bei der Revision eingesetzter Endgeräte feststellen, welche Anwendungen installiert sind. Zudem sollte geprüft werden, ob es IT-Ausgaben gibt, von denen die IT-Abteilung nichts weiß. „Eine Schlüsselrolle spielt auch die Aufklärung der Mitarbeiter, die Aufstellung und Vermittlung von Regeln für die akzeptable Nutzung und die Information über die Vorteile alternativer Lösungen“, stellt Oliver Dehning klar. [bl]





Das könnte Sie auch interessieren