Schattengefecht

Wie CIOs Licht ins Dunkel bringen

| Autor / Redakteur: Ulf Schitkowsky* / Ulrike Ostler

Wie schaffen es CIOs, dass inoffiziell genutze Anwendungen aus dem Schatten ins Licht kommen?
Wie schaffen es CIOs, dass inoffiziell genutze Anwendungen aus dem Schatten ins Licht kommen? (Bild: Photocreo Bednarek/Fotolia.com)

Selbst ist der IT-affine Mitarbeiter: Meist genügen wenige Minuten und noch weniger Klicks, um eine Datei etwa bei Dropbox oder Google Drive abzulegen. Die Nutzung der Public-Cloud-Services geschieht oft ohne Wissen der IT-Abteilung, so dass die Folgen verheerend sein können. Wie gelingt es der IT, inoffiziell genutzte Anwendungen aus dem Dunkel ans Licht zu zerren?

Natürlich hat der Mitarbeiter keine bösartigen Absichten, wenn er auf eigene Faust nach IT-Lösungen sucht und sie nutzt. Er handelt so, weil er damit seine Aufgaben einfacher und schneller erledigen kann, als wenn er auf regulärem Wege bei der IT eine Lösung anfragt.

Diese in immer mehr Unternehmen gängige Praxis offenbart allerdings nicht nur die Tatsache, dass das offizielle IT-Angebot nicht im gewünschten Maße den Anforderungen der Nutzer entspricht. Was wesentlich schwerer wiegt: Der Mitarbeiter, der sich auf diese Weise selbst behilft, kann der gesamten Organisation unbeabsichtigt großen Schaden zufügen. Und er ist längst nicht mehr allein.

Seitdem viele Public-Cloud-Dienste kostenfrei zur Verfügung stehen, werden sie von Mitarbeitern an der Unternehmens-IT vorbei im großen Stil genutzt: Laut der Skyhigh-Studie „Cloud Adoption & Risk Report Q1 2015“ kommen in Unternehmen durchschnittlich 738 Cloud-Dienste zum Einsatz – und damit mehr als das Zehnfache der bei der IT bekannten und genehmigten Services. Gegenüber Skyhigh gaben 82 Prozent der befragten Mitarbeiter zu, inoffizielle Cloud-Apps zu nutzen – aus unterschiedlichen Gründen: weil sie sie aus dem Privatgebrauch kennen oder weil die Genehmigungsprozesse der IT zu langwierig sind.

Wolken, die Schatten werfen

Doch nicht nur die Public Cloud, sondern auch Hardware wird vielerorts ohne Genehmigung der IT eingesetzt, wie zum Beispiel Server, die sich Fachabteilungen selbstständig beschaffen, weil sie mit den Leistungen der offiziellen Systeme nicht zufrieden sind. Diese Systeme werden oftmals nicht den Regularien – zum Beispiel für Backup oder Desaster Recovery – entsprechend betrieben.

Doch die Risiken, die von Public-Cloud-Diensten ausgehen, sind ungleich größer. Zum einen besteht die Gefahr, dass Informationen und Wissen unkontrolliert abfließen. Denn ohne die etablierten Sicherheitsprozesse kann die IT nicht dafür sorgen, dass Datenschutz, -sicherheit und -integrität gewährleistet sind. Dadurch, dass die Schatten-IT Compliance- und Governance-Prozesse komplett unterläuft, öffnet sie neue Sicherheitslücken und potenzielle Angriffsziele für Cyberkriminelle.

Zudem gilt für die Schatten-IT auch nicht die üblicherweise vorgenommene Klassifizierung von Daten. Diese Einordnung legt fest, wo welche Informationen gespeichert und bearbeitet werden dürfen. Je nachdem wie hoch die Sicherheit der Daten eingestuft ist, dürfen diese beispielsweise noch nicht einmal von Mitarbeitern im Home Office bearbeitet werden. Daten, die an diesen Prozessen vorbei in der Public Cloud gespeichert werden, hebeln solche Kontrollmechanismen aus.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43581506 / IT-Services)