27. Juni 2016 - Methoden der Datensicherheit

Datenschutz für die Schatten-IT

Die Schatten-IT lässt sich nicht verhindern. Aber Unternehmen können etwas dafür tun, dass die Daten selbst sicherer werden.

Cloud-Dienste, eigene Smartphones etc. - Schatten-IT ist schnell im Haus Dank vieler kostenloser Angebote wie Dropbox & Co. wird kaum ein Unternehmen keine Schatten-IT haben (Bild: NicoElNino / iStock / Thinkstock)

Schatten-IT ist und bleibt Realität

Es hat keinen Sinn, vor seinem Schatten wegzulaufen. Er folgt auf Schritt und Tritt. Ebenso wenig hat es Sinn, die Schatten-IT zu leugnen oder zu glauben, sie lasse sich dauerhaft verhindern. Dass Mitarbeiter nicht zentral freigegebene Clouds, Softwarelösungen oder Geräten nutzen, ist eine Tatsache, die kaum aus der Welt zu schaffen ist.

Gründe dafür gibt es viele:

  • Die private IT ist der Business-IT ebenbürtig. Mitarbeiter können aus technischer Sicht ohne Weiteres betriebliche Aufgaben mit der eigenen IT-Ausstattung bewältigen.
  • Dank Cloud und mobiler Endgeräte wird der Nutzer in vielen Fällen zum Administrator. Installationen oder die Aktivierung eines Dienstes funktionieren auf Nutzerebene.
  • Außerdem ist die IT inzwischen so dynamisch und vielfältig, dass die IT-Abteilung kaum den vielen Wünschen und Änderungen begegnen kann. Die Fachabteilungen und die einzelnen Nutzer werden selbst aktiv – auch, um schneller produktiv zu arbeiten.

Ein Datensicherheitskonzept, dass die Schatten-IT verleugnet oder blockiert, hat wenig Aussicht auf Erfolg. Viele Studien gehen sogar davon aus, dass sie sich weiter ausbreitet. Mit ernsten Konsequenzen für den Datenschutz.

Schatten-IT ist ein Angriffsziel

Die Marktforscher von Gartner erwarten, dass im Jahr 2020 ein Drittel aller erfolgreichen Attacken auf Unternehmen die Schatten-IT trifft. Statt zu verschwinden, wird sie also zunehmend zum Ziel von Angriffen und Datendiebstählen.

Erschreckende Zahlen

Eine Studie des Verbands der Internetwirtschaft eco ergab zudem, dass über drei Viertel (76 Prozent) der befragten Experten davon ausgehen, dass Mitarbeiter in ihrem Unternehmen Schatten-IT nutzen. Ein knappes Viertel (23 Prozent) vermutet sogar, dass Mitarbeiter Schatten-IT in erheblichem Umfang einsetzen. Lediglich 16 Prozent sind überzeugt, dass in ihrem Betrieb so etwas nicht  existiert.

Eine Studie von NTT Communications kommt ebenfalls zu interessanten Ergebnissen:

  • 78 Prozent der Entscheidungsträger in den Fachabteilungen geben zu, dass die Mitarbeiter in ihrer Abteilung Cloud-Services ohne Wissen der IT-Abteilung nutzen.
  • 77 Prozent der Entscheidungsträger in der IT sind sich dessen bewusst.
  • 57 Prozent der Befragten gingen so weit zu sagen, dass die Schatten-IT in mindestens der Hälfte der Abteilungen ihres Unternehmens vorkommt.
  • Zudem zeigte die Untersuchung auf, dass die 500 EU-weit befragten IT- und Fachbereichs-Entscheidungsträger die Schatten-IT durchschnittlich rund 18 Monate nutzten.
  • 87 Prozent gingen davon aus, dass sich das Problem in den nächsten zwei Jahren verstärkt.
  • Darüber hinaus berichteten 56 Prozent, dass sie nicht wissen, wo Mitarbeiter ihre Schatten-IT-Daten speichern.
  • 79 Prozent speichern unternehmenskritische Daten in der Cloud.

Schatten-IT verstehen

Um den Risiken zu begegnen, müssen Unternehmen verstehen, wie es zur Schatten-IT kommt. Auch hier geben Umfragen wie die von NTT Communications gute Anhaltspunkte:

  • 62 Prozent nennen eine einfache Konfiguration als wichtigstes Motiv.
  • 52 Prozent führen die Benutzerfreundlichkeit als bestimmenden Faktor an.
  • 29 Prozent berufen sich auf niedrigere Kosten gegenüber der offiziellen Lösung.
  • 77 Prozent erklärten, dass die Arbeitsweise der Abteilung darunter leiden würde, wenn sie diese Services nicht mehr nutzt.

Daten schützen, auch in der Schatten-IT

Gehen Sie also davon aus, dass die Schatten-IT bleibt oder zunimmt und zudem gewisse Vorteile – zumindest aus Nutzersicht – hat.

Daher ist es nicht sinnvoll, sich in der Datensicherheit darauf zu konzentrieren, nicht erlaubte Geräte, Anwendungen und Cloud-Dienste zu erkennen und zu blockieren. Stattdessen muss der Datenschutz an einer anderen Stelle ansetzen: Nicht nur die Geräte, Clouds und Apps brauchen eine Absicherung und Kontrolle. Auch und ganz besonders die Daten, die sich – eventuell ungewollt – in der Schatten-IT befinden.

Datensicherheitskonzept anpassen

Sehen Sie sich als betrieblicher Datenschutzbeauftragter deshalb die Datensicherheitskonzepte an: Sind die Schutzmaßnahmen nur auf Geräte, Anwendungen und Clouds ausgerichtet? Oder sind die Daten selbst geschützt? Das ist möglich zum Beispiel durch

  • Berechtigungen auf Dateiebene,
  • Verschlüsselung und
  • Datei-Integritätskontrolle.

Die „Neben“-IT wirft auch ihren Schatten auf die Datensicherheitskonzepte. Überprüfen Sie die Konzepte daher  und wirken Sie darauf hin, dass das Unternehmen sie anpasst. Hinweise dazu finden Sie zusammengefasst in der Checkliste.


Download: Checkliste Datenschutz für die Schatten-IT


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Die Zeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln