Viele Mitarbeitende benützen im Büro private Online-Speicher und eigene Software, um Daten auszutauschen und zu kommunizieren. Wenn das ohne Einverständnis der Firmen-IT geschieht, ist diese Schatten-IT alles andere als harmlos.
Wer am Computer arbeitet, entwickelt Vorlieben für bestimmte Anwendungen und Online-Dienste. Es ist verständlich, wenn jemand diese vertrauten Arbeitserleichterungen überall nutzen möchte – auch am Arbeitsplatz. Nur: Mit jedem Programm und jeder Datei, die jemand auf privaten Kanälen auf den Firmenrechner herunterlädt, steigt das Risiko, sich einen Virus oder eine Ransomware einzufangen. Diese können sich über das interne Netzwerk verbreiten und im schlimmsten Fall die ganze Infrastruktur lahmlegen. Dem Unternehmen drohen Ausfälle und grosse finanzielle Verluste.
Datensicherheit gefährdet
Die Leidtragenden sind die Informatikspezialisten des Unternehmens. Denn sie müssen die Schäden ausbaden. Sehr kompliziert wird ihr Leben auch, wenn Teams oder ganze Abteilungen an den Firmenbestimmungen vorbei Software kaufen und nutzen oder eigenmächtig Online-Dienste abonnieren. Diese unbewilligten und unkontrollierten Systeme innerhalb der Firma werden als «Schatten-IT» bezeichnet.
«Das passiert dann ohne Tests, Freigabe oder Lizenzierung», sagt Reike Ramadani, Cloud-Spezialistin und ehemalige IT-Supporterin bei Ringier. Sie kennt die Problematik aus dem Alltag. «Die Anwender meinen es ja nicht böse – sie denken, die Tools erleichtern ihre Arbeit. Aber irgendwann poppt das bei uns in der IT auf. Und wir müssen alles ausbaden», sagt Ramadani.
«Alles, was Leute auf eigene Faust an den offiziellen Prozessen vorbei treiben, ist problematisch», betont Oliver Stampfli, Security-Architekt bei Swisscom. Denn: «Auf dem offiziellen Weg werden die Anwendungen sehr genau auf Sicherheitslücken überprüft und auch darauf, wie schnell sie behoben werden. Auch rechtliche Aspekte werden unter die Lupe genommen. Das entfällt bei den inoffiziellen Kanälen.» Kommt dazu, dass es von vielen Diensten Businessversionen gibt, die bereits einen höheren Sicherheitsstandard garantieren.
Das macht am meisten Kummer
Zu den grössten Problemen der Schatten-IT gehören laut Stampfli Cloud-Dienste wie Dropbox, Übersetzungsdienste wie DeepL oder PDF-Converter. Mit der Nutzung solcher kostenloser Angebote auf eigene Faust können vertrauliche Daten aus dem Unternehmen abfliessen, ohne dass die Geheimhaltung und Sicherheit mit den Cloud-Diensten geregelt ist. «Man muss in den allgemeinen Geschäfts- oder Datenschutzbedingungen immer nachlesen, wie die Daten geschützt und weiterverwendet werden. Oft tritt man die Rechte dazu sogar an die jeweiligen Firmen ab.»
«Ein Mitarbeiter verlässt die Firma, die Daten bleiben aber auf seinem persönlichen Online-Speicher.»
Oliver Stampfli, Security-Architekt bei Swisscom
Geschäftsinterna landen so an Orten, wo sie nicht hingehören, und befinden sich dort schlimmstenfalls jahrelang. Das Unternehmen hat keine Kontrolle mehr darüber, wer sie wann und wo einsehen kann. Auch bei Kündigungen kann es schwierig werden: «Der Mitarbeiter verlässt die Firma, die Geschäftsdaten sind aber immer noch bei ihm in der Dropbox.»
Kostenloses Webinar: Arbeiten mit Microsoft Teams
Überwinden Sie die Einstiegshürde: Erleben Sie im 45-minütigen Webinar, wie Sie mit Microsoft Teams im Büro und im Homeoffice effizient arbeiten. Wir zeigen Ihnen die Grundlagen zu Teams. Sie lernen in kürzester Zeit viele praktische Tipps kennen, die Ihren Arbeitsalltag erleichtern.
IT-Supporterin Ramadani kennt dieses Problem aus ihrem Alltag. «Anwender, die eigene Lösungen an ihren Arbeitsplatz bringen, kaufen manchmal auf eigene Faust Lizenzen – über ihre privaten Adressen», sagt sie. «Im täglichen Business führt das dann zu Problemen.»
Schatten-IT verursacht auch unnötige Kosten. Einerseits durch Schäden, die durch Sicherheitslücken entstehen können. Andererseits auch, weil es für Unternehmen beispielsweise bei Software Mengenrabatte gibt. «Eine Lizenz für 2000 User ist günstiger als 40 Lizenzen für 50 User», sagt Oliver Stampfli. «Für grosse Firmen rechnet es sich schnell, wenn alles zentral geregelt wird.»
Schlecht für die Zusammenarbeit
Gegen Schatten-IT spricht auch, dass sie die Kollaboration von Teams und Abteilungen erschweren kann. «Team eins benutzt Tool A, Team zwei Tool B. Dann sollen sie plötzlich zusammenarbeiten. Das heisst: Ein Team muss auf das andere Tool umsteigen oder man führt Tool C ein. So oder so ergeben sich Mehrkosten für das Unternehmen», sagt Stampfli.
Der beste Weg ist also, wenn Mitarbeitende ihre Software- und Computer-Anliegen den IT-Spezialisten melden. Diese prüfen Lösungen, klären rechtliche Fragen und präsentieren dann Vorschläge, die der Sicherheit der Firma und den Bedürfnissen der Benutzer Rechnung tragen. Lösungen, die auch aus Kostensicht sinnvoll sind und Licht in die IT-Verhältnisse bringen.
Sicher und einfach zusammenarbeiten mit Microsoft 365
Schatten-IT lässt sich einfach minimieren: Eine gute und einfache Lösung für sicheres und einfaches Zusammenarbeiten über die Cloud ist Microsoft 365. Alle Anwendungen sind automatisch immer auf dem neuesten Stand, die Daten werden verlässlich gesichert und auf allen Geräten synchronisiert. Zudem behält das Unternehmen jederzeit die Kontrolle über sensible Firmendaten und Anwendungen der Benutzer.
Die vertrauten Office-Anwendungen und Daten lassen sich überall und jederzeit auf PC, Tablet oder Smartphone benutzen. In der Onlinebesprechung werden wichtige Fragen geklärt, Dokumente von mehreren Personen gleichzeitig bearbeitet. Neben Notizen kann man sogar den Bildschirm mit den Kollegen teilen.
Aktualisierter Artikel vom November 2019.
Was mir bzgl Sicherheit/Datenschutz von Office365 hingegen noch nicht ganz klar ist, ist wo der Datenverarbeitungsvertrag zu finden ist… gerne würde ich einen solchen abschliessen, bevor ich meine und die Daten meiner Kunden einer Cloud anvertraue…
Guten Tag Herr Bühlmann
Ich kläre das ab – wie weit die DSGVO Schweizer Unternehmen betrifft, hängt von verschiedenen Umständen ab.
Freundliche Grüsse aus der Redaktion
Andreas Heer