Schatten-IT in der Cloud: So schließen Sie Sicherheitslücken!

Das Phänomen Schatten-IT existiert schon seit Jahrzehnten, hat aber im Cloud-Zeitalter an neuer Bedeutung gewonnen. Früher setzten Mitarbeiter eigene private Hardware, Laptops, USB-Sticks und anderes zur Arbeit ein. Heute gehen sie einfach online und nutzen Cloud-Angebote. Das Problem: Die IT-Abteilung und Verantwortlichen eines Unternehmens wissen nichts davon, das Sicherheitsrisiko steigt.

Es lässt sich nicht abstreiten, dass viele Mitarbeiter besser und effektiver arbeiten, wenn sie die benötigten Werkzeuge individuell auf Ihre Bedürfnisse abgestimmt auswählen können. Sie können das eine Programm oder Gerät besser bedienen als das andere. Dazu zählt auch, dass sie privat bestimmte Lösungen nutzen und kennen und diese deshalb gerne auch im Arbeitsalltag einsetzen, statt sich in unbekannte Lösungen einzuarbeiten. Mit Schatten-IT steigt die Zufriedenheit der Mitarbeiter. Oft ergeben sich daraus auch Prozessoptimierungen für das Unternehmen.

Die Krux an der Sache ist nur, dass Kompatibilitätsprobleme entstehen, wenn Mitarbeiter bzw. eventuell auch ganze Abteilungen unterschiedliche Technologien nutzen. Es entstehen Insellösungen, und abteilungsübergreifende Vorgänge können nicht gemeinsam und einheitlich bearbeitet werden. Außerdem werden Compliance- und Sicherheitsanforderungen dadurch oft nicht eingehalten. Woher weiß man, ob die Mitarbeiter wichtige Daten schützen und beispielsweise verschlüsseln? Das alles kann zu einem erheblichen Risiko für das gesamte Unternehmen führen.

Risiken von vornherein ausschließen

Für den Umgang mit Schatten-IT gibt es nicht DIE EINE Lösung. Jedes Unternehmen muss für sich einen individuellen Weg suchen. IT-Experten sehen ihre Aufgaben darin, Unternehmen und Mitarbeiter aufzuklären und für mögliche Sicherheitslücken zu sensibilisieren. Zudem raten Experten, Richtlinien im Umgang mit der IT einzuführen.

Ein weiterer effektiver Ansatz ist, Transparenz herzustellen und den Dialog mit den einzelnen Fachabteilungen zu fördern. Mitarbeiter mit entscheiden zu lassen, mit welcher Technik bzw. Software sie gut arbeiten können, steigert die Effizienz und hat den Vorteil, dass bei Problemen die IT-Abteilung sofort eingreifen kann.

Unternehmensentscheider haben aber auch die Möglichkeit, bestimmte Risiken von vorneherein auszuschließen, indem gezielte Einstellungen beim Internetzugang vorgenommen werden. Benötigt wirklich jeder Mitarbeiter uneingeschränkten Zugriff auf das Internet? Hier ist es möglich, PC-Zugänge individuell einzurichten und Applikationen wie Facebook oder Dropbox zu sperren. So können die Mitarbeiter gar nicht erst in Sicherheitsfallen tappen.

Schwachstellen erkennen

Wichtig für Unternehmen ist es, einen guten Überblick über die gesamte IT-Struktur zu haben. Da aber Cloud-Anwendungen schwer zu erfassen sind, ist die Firewall, die den Zugang zum Internet überwacht, eine passende Schnittstelle, um die Online-Aktivitäten des Unternehmens zu analysieren. Die Firewall zeichnet in Log-Dateien auf, wie oft und wann welche Applikationen im Internet aufgerufen werden. Daraus erstellen viele IT-Dienstleister monatliche Reports für ihre Kunden, die Rückschlüsse auf die Surfgewohnheiten der Mitarbeiter geben.

So erhält der Chef einen Überblick beispielsweise über die Häufigkeit der Nutzung von Facebook und Co. Halten sich die Mitarbeiter an die Regeln und greifen nur während ihrer Pause darauf zu? Durch das entsprechenden Reporting hat man stets im Blick, welche Dienste genutzt werden und erhält die Kontrolle über die verwendeten Programme. Das Gleiche gilt auch für mobile Endgeräte, die im Unternehmen im Einsatz sind. Mitarbeitern sollte es nicht erlaubt sein, auf Firmengeräten eigenmächtig Apps zu installieren. Mobile Device Management-Systeme regeln die Rechte des Nutzers und schützen so vor Sicherheitsrisiken.

Chancen nutzen – Risiken im Blick behalten

Die Entscheidung, wie man mit Schatten-IT in der Cloud umgehen soll, ist für Unternehmen nicht leicht. Es kommt jedoch vor allem darauf an, sich mit der Situation auseinanderzusetzen und bei Experten Rat zu holen, wenn man sich damit nicht auskennt. Auch sollten Cloud-Anwendungen nicht generell als schlecht verurteilt werden, weil sie Schatten-IT begünstigen. Wäre es nicht besser, ihr Potential zu erkennen und die Arbeit in ihr sinnvoll zu steuern und sicherer zu machen?