Wo Schatten ist, ist auch Licht : Risiken und Chancen von Schatten-IT
Was die IT-Abteilung nicht kennt, kann sie nicht reglementieren, mag sich ein Mitarbeiter im Unternehmen denken und eigene Lösungen schaffen. Doch was die IT-Abteilung nicht kennt, kann sie auch nicht absichern! Deshalb bedeuten verdeckt eingesetzte IT-Systeme große Herausforderungen. Dennoch sollte man Schatten-IT nicht pauschal verteufeln, denn hier sorgen Mitarbeiter für passgenaue Lösungen – wie so oft ist ein „Mittelweg“ meist die beste Strategie.
Von Paul Becker, Jena
Als Schatten-IT bezeichnet man alle eingesetzten informationstechnischen Systeme, die jenseits der offiziellen, von der IT-Abteilung kontrollierten IT-Infrastruktur zum Einsatz kommen. Schatten-IT kann sowohl von einzelnen Mitarbeitern als auch von ganzen Abteilungen etabliert und genutzt werden. Die Verwendung von Schatten-IT kann sowohl Software als auch Dienste und Hardware umfassen.
Beispiele für Schatten-IT-Hardware sind etwa unkontrolliert erworbene Smartphones, Router, Drucker oder gar Server und PCs. Softwareseitige Beispiele für Schatten-IT sind Anwenderprogramme, die ohne Absprache mit der IT-Abteilung beschafft und installiert werden. Auch Cloud-Services können als Schatten-IT dienen – ebenso von Abteilungen und Mitarbeitern selbstentwickelte Anwendungen und Skripte, beispielsweise für Datenbanken.
Abgrenzung
Ähnlich wie Workarounds ist Schatten-IT eine Reaktion auf (wahrgenommene) Hindernisse, um Arbeitsaufgaben effektiv(er) erledigen zu können. Ihr Einsatz steht also in einem engen Bezug zu Geschäftsprozessen und ist nicht mit der Verwendung geschäftseigener IT für private Zwecke zu verwechseln! Auf der anderen Seite ist Schatten-IT auch von Bring-your-own-Device-(BYOD)-Konzepten abzugrenzen: Bei BYOD werden die Geräte ja nicht heimlich mitgebracht, sondern es existieren (hoffentlich) klare Regeln und Steuerungsmechanismen, sodass die IT-Abteilung weiterhin die Fäden in der Hand hält.
Der Einsatz von Schatten-IT ist weit verbreitet: In einer Umfrage von Censuswide [1] unter IT-Leitern in Deutschland gaben 53 % der Befragten an, dass über die Hälfte der Mitarbeiter in ihrem Unternehmen Anwendungen im Einsatz haben, von denen die IT-Abteilung nichts weiß. Wo liegen die Gründe für derart hohe Zahlen und wer ist besonders betroffen? (vgl. Abb. 1)

Abbildung 1: Gründe für die Zunahme von Schatten-IT
Digitale Affinität
Es ist davon auszugehen, dass gerade Unternehmen, die junge und innovative Mitarbeiter beschäftigen, andererseits aber über ein geringes Maß an Digitalisierung verfügen und/oder besonders restriktive IT-Regelungen verfolgen, den höchsten Anteil an Schatten-IT aufweisen.
In ihrem privaten Umfeld sind solche Mitarbeiter es gewöhnt, flexibel komfortable IT-Lösungen einzusetzen. Diese Erfahrungen erhöhen die Leistungserwartung auch im beruflichen Bereich – dazu gehören kurze Release-Zyklen, ansprechende Benutzeroberflächen und einfache Bedienung. Hier zeigt sich einerseits der Trend zur „Consumerization“, also dem beruflichen Einsatz von ursprünglich für Privatanwender entwickelten IT-Lösungen.
Doch auch für den Business-Markt entwickelte Software ist immer einfacher zugänglich und flexibler einsetzbar. Dazu tragen vor allem Cloud-Services bei, die auch ohne besondere IT-Kenntnisse von Mitarbeitern und Abteilungen schnell und effektiv nutzbar sind.
Machtkämpfe und strukturelle Mängel
Neben solchen individuellen und eher technischen Gründen fördern auch unternehmensinterne Schieflagen in der IT-Organisation die Entstehung von Schatten-IT. Besonders dramatisch ist die Lage, wenn Mitarbeiter oder ganze Abteilungen verabschiedete IT-Richtlinien und offizielle Systeme komplett ablehnen.
Indes kann auch bei prinzipiellem Kooperationswillen ein Missstand auftreten, wenn durch eine fehlende strukturelle und strategische Verbindung Lücken zwischen IT-Bedürfnissen und bereitgestellten Systemen aufklaffen – hier spricht man von einem Misalignment. Solange der Aufwand, den offiziellen Weg zu bestreiten, unverhältnismäßig größer erscheint als die Nutzung alternativer Lösungen, werden Mitarbeiter und Abteilungen inoffizielle Pfade beschreiten.
Chancen: Flexibilität und Motivation
Schatten-IT ist nicht grundsätzlich zu verteufeln! Da Fachabteilungen und Mitarbeiter den konkreten Geschäftsprozessen selbst am nächsten sind, wissen sie auch am besten, welche IT-Services sie benötigen und welche Lösung die besten Workflows ermöglicht. Das verspricht enorme Produktivitätssteigerungen im Vergleich zu formell vorgesehenen, aber unpassenden IT-Systemen. Hinzu kommt eine enorme Flexibilität, da langwierige Bewilligungs- und Entscheidungsprozesse ausgespart werden können. Die Entwicklung eigener Lösungen nutzt zudem das kreative Potenzial in Abteilungen und erhöht dadurch die Motivation der Mitarbeiter.
Gegenrede: Risiken für den Gesamtprozess und die IT-Sicherheit
Auf der anderen Seite sind die Risiken und Probleme, die durch den Einsatz inoffizieller IT-Systeme entstehen, durchaus umfangreich: Die Produktivitätssteigerungen einer einzelnen Abteilung oder eines einzelnen Mitarbeiters können sich in der Gesamtbetrachtung der Unternehmensprozesse negativ auswirken. Fehlende Kompatibilität oder Zugriffsmöglichkeiten können einen Rattenschwanz an Problemen nach sich ziehen. Selbstgebastelte Skripte und Anwendungen weisen zudem eine hohe Fehleranfälligkeit auf, sodass es zu falschen Ergebnissen und in der Folge zu unpassenden Entscheidungen kommen kann.
Das größte Risiko entsteht jedoch für die Sicherheit der IT-Infrastruktur! Gartner warnte bereits 2018 [2] vor einer Zunahme von erfolgreichen Cyberattacken, die auf den Einsatz von Schatten-IT zurückzuführen wäre. Der IT-Marktforscher schätzte für 2020 den Anteil, der durch Schatten-IT ermöglichten Angriffe, auf ein Drittel. Geräte und Anwendungen, die außerhalb der Kontrolle der IT-Abteilung liegen, sind tendenziell besonders anfällig für Sicherheitslücken, die eventuell nicht zeitnah geschlossen werden – schließlich ist keine Kontrolle möglich, ob an dieser Stelle wichtige Sicherheitsupdates eingespielt werden. So droht den IT-Verantwortlichen der Überblick über die „eigene“ IT-Infrastruktur komplett aus der Hand zu gleiten – und das zu einer Zeit, in der die Zahl vernetzter Geräte, für die jeder einzelne IT-Mitarbeiter verantwortlich ist, ohnehin stark zunimmt.
Da verdeckt eingesetzte IT häufig für Privatanwender bestimmt ist, die anderen Sicherheitsstandards unterliegt, entstehen neben sicherheitstechnischen möglicherweise auch datenschutzrechtliche Probleme: Zertifizierungen und die Etablierung sowie Einhaltung von Compliance- und Datenschutz-Vorschriften werden quasi unmöglich. Auch Initiativen, um die sicherheitstechnische Resilienz (vgl. S. 66) der IT-Infrastruktur zu stärken, stehen vor fast unlösbaren Herausforderungen.

Abbildung 2: Den offenkundigen Risiken von Schatten-IT stehen durchaus auch Chancen gegenüber
Umgang mit Schatten-IT
Idealtypisch lassen sich drei Umgangsformen mit Schatten-IT voneinander abgrenzen:
- Zentralismus: Die reine Steuerung der Unternehmens-IT durch die IT-Abteilung in Kombination mit restriktiven Vorschriften für Management und die einzelnen Abteilungen und Mitarbeiter.
- Autonomie: Die Weitergabe jeglicher Verantwortung an die einzelnen Mitarbeiter und Abteilungen und der Rückzug der IT-Abteilung auf einen Nachtwächterstatus – das heißt: Orientierung am Laissez-faire-Prinzip bei Aufrechterhaltung der grundlegenden Infrastruktur.
- Balance: Öffnung bestimmter Bereiche, in denen Mitarbeitern und Abteilungen eine gewisse Autonomie eingeräumt wird bei gleichzeitiger Etablierung eines Monitoring-Systems.
Letztlich bewegen sich alle Lösungen zwischen den beiden erstgenannten Extrempolen – die dritte Variante liegt etwa in der Mitte. Alle Vorgehensweisen bergen dabei unterschiedliche Risiken: Die zentralistische Lösung droht in einen Machtkampf zwischen IT-Abteilung und Mitarbeitern zu enden. In der Folge kann der Umfang von Schatten-IT sogar zunehmen, da die Mitarbeiter jeglicher Zusammenarbeit mit der IT-Abteilung aus dem Weg gehen möchten. Gerade für Unternehmen mit einer innovativen Belegschaft ist diese Variante in der Regel kontraproduktiv – in anderen Fällen kann eine sehr restriktive IT-Politik aber durchaus berechtigt sein.
Die autonome Lösung ist konsequent nur schwierig umzusetzen, da nur in wenigen Unternehmen das nötige Know-how in den Teams vorhanden sein wird. Darüber hinaus ist sie nur möglich, wenn Mitarbeiter und Abteilungen relativ autark arbeiten und nicht in einem engen Austausch stehen, da sonst Kompatibilitätsprobleme zu befürchten sind. Auch aus IT-Security-Sicht ist dieses Vorgehen kritisch zu sehen: Selbst wenn die einzelnen Abteilungen und Mitarbeiter mit einer hohen Kompetenz für eine sichere IT sorgen, ist es nahezu unmöglich, bei einem Datenleck oder erfolgreichen Cyberangriff die Ursache der Probleme aufzuspüren. In einigen wenigen Unternehmen werden sich IT-Policies umsetzen lassen, die zumindest tendenziell diesem Idealtyp entsprechen – das ist aber der Ausnahmefall!
In den meisten Unternehmen wird ein ausbalancierter Kompromiss zwischen dem zentralistischen und dem autonomen Pol dem Spannungsfeld aus Kontrolle, unternehmerischer Flexibilität und IT-Sicherheit am ehesten gerecht. Damit man einen solchen Mittelweg erfolgreich beschreiten kann, sind jedoch technische und organisatorische Maßnahmen zu treffen, die im Folgenden beschrieben werden.

Abbildung 3: Ein Mittelweg zwischen Zentralismus und Autonomie verspricht beim Umgang mit Schatten-IT, Vorteile zu wahren und Nachteile zu vermeiden.
Leitlinien
Jedes Unternehmen hat andere Voraussetzungen und Möglichkeiten, ihre IT zu organisieren. Die folgenden Leitlinien zeigen jedoch einige praxisnahe Eckpunkte zum Umgang mit Schatten-IT auf, die für die meisten Unternehmen sinnvoll sein dürften.
Aufdecken
Zunächst gilt es, bestehende Schatten-IT-Instanzen zu erkennen, also darum, wirklich alle genutzten IT-Lösungen aufzudecken. Dabei können Software-Inventarisierungs-Tools hilfreich sein, die alle Assets nach eingesetzter Software scannen. Ein Asset-Discovery hilft, alle vorhandenen Geräte im Netzwerk zu erfassen. Darüber hinaus sollten Interviews mit den Mitarbeitern geführt werden, um an weitere Informationen zu gelangen.
Bewerten
Im zweiten Schritt steht eine qualitative Bewertung der eingesetzten Schatten-IT an. Alle verdeckt eingesetzten Systeme müssen auf ihre Auswirkungen hinsichtlich der IT-Sicherheit und der (IT-)Prozesse im gesamten Unternehmen untersucht werden. Dabei sollte man auch mögliche Compliance- und Datenschutz-Verstöße prüfen.
Handeln
Auf Basis der erhobenen Daten und Bewertungen sind in einem dritten Schritt Entscheidungen zu fällen, wie mit den verdeckten Systemen in Zukunft umgegangen werden soll. Dabei stehen drei Optionen zur Verfügung:
- Reengineering: Schatten-IT-Instanzen werden durch bestehende oder neue offizielle Lösungen ersetzt.
- Integration: Durch eine Aufnahme der Schatten-IT-Instanzen in die offiziellen IT-Systeme wird deren Management in die Hände der IT-Abteilung überführt.
- Registrierung: Zuvor verdeckt eingesetzte Systeme werden nur registriert und anerkannt, die Verwaltung obliegt aber weiterhin der einzelnen Abteilung oder dem einzelnen Mitarbeiter. Ein Monitoring-Prozess prüft dann, ob das System in Zukunft entweder ersetzt oder integriert werden muss, wenn (neue) Probleme auftreten oder die Relevanz zu stark zunimmt.

Abbildung 4: Leitlinien zum Umgang mit Schatten-IT
Dauerhafte Maßnahmen
Die dritte Option zum Umgang mit Schatten-IT lässt bereits erkennen, dass neben den einmaligen Maßnahmen der Erhebung, Bewertung und Entscheidung auch beständige Maßnahmen umgesetzt werden müssen.
Technische Lösungen: Einerseits sollte das Asset-Discovery auf dauerhafte Füße gestellt werden – denn die IT-Abteilung muss über neue Geräte stets Bescheid wissen, um gegebenenfalls eine Überwachung hinsichtlich eingesetzter Software und Sicherheitslücken zu realisieren. Die Stärkung von Monitoring und sicherheitstechnischer Überwachung verhindert, dass in Zukunft erneut auf IT-Bereiche der Schatten der Unkenntnis fällt.
Andererseits erhalten beispielsweise einzelne Mitarbeiter viel Spielraum im Umgang mit ihrem Arbeitsgerät, wenn man auf neu erfasste Software Alarme einrichtet: Die IT-Abteilung behält weiterhin die Übersicht und kann bei Verstößen einschreiten. Darüber hinaus lassen sich mit regelmäßig durchgeführten (ggf. automatischen) Penetrationstests auf die gesamte IT-Infrastruktur weitere Schwachstellen aufdecken, die möglicherweise trotz aller etablierten Maßnahmen im Dunkeln bleiben.
Organisatorische Veränderungen: Neben der technischen Überwachung gilt es, die Kommunikation zwischen IT-Abteilungen und den Fachabteilungen zu stärken, um frühzeitig vorliegende Missstände zu erkennen. In institutionalisierten Feedbackrunden kann das Verständnis füreinander gestärkt und das Wissen über IT-Sicherheit im Team ausgebaut werden. Indem sich jeder einzelne Mitarbeiter in IT-Entscheidungsprozesse eingebunden fühlt, kann er auch vorgenommene Restriktionen besser akzeptieren und behilft sich nicht mit unsicheren Workarounds, die den ersten Schritt zur Etablierung einer Schatten-IT darstellen.
Fazit
Ein aktiver und offener Umgang mit dem Thema Schatten-IT ist ein wichtiges Element, um die Sicherheit der gesamten IT-Infrastruktur zu gewährleisten.
Gerade anhand von Schatten-IT wird wieder einmal deutlich, dass eine digitale Verweigerungshaltung selten als IT-Security-Strategie taugt. Mitarbeiter werden ihre eigenen Lösungen bauen, um privat genutzte Vorzüge digitaler Systeme auch im Berufsalltag einsetzen zu können. Um zu verhindern, dass dieses Vorgehen Löcher aufreißt, braucht es taugliche Konzepte, die technische wie organisatorische Maßnahmen umfassen.
Paul Becker ist Content Marketing Manager bei der Enginsight GmbH.
Literatur
[1] Heidemarie Schuster, Gefahren von Schatten-IT werden unterschätzt, IT-Business online, November 2019,
www.it-business.de/gefahren-vonschatten-it-werden-unterschaetzta-886995/
[2] Laurence Goasduff, Protect Your Organization From Cyber and Ransomware Attacks, Smarter With Gartner, Februar 2018, www.gartner.com/smarterwithgartner/protectyour-organization-from-cyber-andransomware-attacks/