Ein Serverraum, in dem ein Schatten einer Person auf rot beleuchtete Server fällt
EWE business Magazin

Schatten-IT: das Risiko im Hintergrund

Wie Sie die Gefahr erkennen und sich davor schützen

EWE business Magazin / IT-Security / Schatten-IT

Außerhalb Ihres Blickes: die Gefahren von Schatten-IT

Ungeprüfte Anwendungen und Apps können schnell zum Risiko für Ihr Unternehmen werden.

Die zunehmende Digitalisierung und die nahezu flächendeckende Verbreitung von Smartphones, Tablets und Laptops machen es möglich: Für jede Aufgabe, für jede Herausforderung gibt es eine Webanwendung, Software oder App, die unterstützen kann. Das Problem dabei ist, dass es in der Regel viele Anwendungen gibt, die alle mehr oder weniger das Gleiche können und es reine Geschmackssache ist, welche man verwendet. So kann sich schnell Schatten-IT in Ihrem Unternehmen breit machen. Aber von vorn:

Was ist Schatten-IT?

Unter Schatten-IT versteht man alle digitalen Ressourcen, die außerhalb der offiziellen IT-Strukturen eines Unternehmens von den Mitarbeitenden genutzt werden. Also sämtliche Geräte, Software, Apps und Webanwendungen, deren Nutzung nicht offiziell von der IT-Abteilung oder der Geschäftsführung genehmigt wurde – und auch nicht von diesen kontrolliert und überwacht wird. Genau darin besteht auch das größte Risiko: Wenn Sie nicht wissen, welche Programme Ihre Mitarbeitenden verwenden, können Sie auch nicht abschätzen, welche Gefahren davon ausgehen.

Wie schützen Sie Ihre IT am besten?

Typische Risiken von Schatten-IT

Die Gefahren, die von Schatten-IT ausgehen, können sehr unterschiedlich sein und verschiedene Bereiche des Unternehmens betreffen. In der Regel werden Programme und Geräte nur dann für den offiziellen Gebrauch genehmigt, wenn sie einen ausreichenden Schutz vor Datenverlust, Datendiebstahl sowie Malware und Viren bieten. Bei Anwendungen, die ohne Ihr Wissen eingesetzt werden, kann dies nicht mehr gewährleistet werden. Zudem arbeiten viele Programme nicht DSGVO-konform, so dass ihre Nutzung schnell einen Datenschutzverstoß darstellen kann.

 

Auch im Arbeitsalltag kann Schatten-IT zu Problemen führen: Viele Programme sind nicht miteinander kompatibel, wodurch wichtige Informationen verloren gehen können. Außerdem verliert man schnell den Überblick, wo welche Daten gespeichert sind, wenn Mitarbeitende unterschiedliche Anwendungen für dieselbe Aufgabe verwenden. Das stört den Betriebsablauf und senkt die Produktivität.

Mögliche Folgen der Nutzung von Schatten-IT

Neben den Problemen im Arbeitsalltag kann die Nutzung von Schatten-IT zu gravierenden geschäftlichen und finanziellen Schäden – bis hin zur Insolvenz – führen. Die Verletzung von Datenschutzbestimmungen kann hohe Bußgelder und einen erheblichen Reputationsverlust nach sich ziehen. Gleiches gilt für den Verlust wichtiger Firmendaten, ohne die eventuell der Geschäftsbetrieb eingestellt werden muss. Hinzu kommen Kosten für die Wiederherstellung der IT, zum Beispiel wenn diese durch einen Virus lahmgelegt wurde, Rechtskosten und Umsatzeinbußen, weil Kundenprojekte nicht umgesetzt werden konnten. Die Risiken, die von Schatten-IT ausgehen, sind unüberschaubar und können schnell existenzbedrohend werden.
 

Eine Frau mit Handy am Ohr vorm Rechner, die besorgt aus dem Fenster guckt
Die Risiken durch Schatten-IT können schnell für Unternehmen bedrohlich werden. (Bild: FangXiaNuo / E+ / Getty Images)

Warum wird Schatten-IT genutzt?

Schatten-IT schleicht sich in der Regel nicht ein – auch wenn der Name so klingt – sondern wird von den Mitarbeitenden aktiv auf Geräten installiert oder verwendet. Der häufigste Grund dafür ist, dass die Mitarbeitenden glauben, mit ihren eigenen Anwendungen schneller, effizienter oder bequemer arbeiten zu können als mit den offiziell bereitgestellten. Meistens handelt es sich dabei um Cloud-Dienste, um beispielsweise große Dateien zu teilen, oder nicht autorisierte Software. Private Geräte wie Laptops, Smartphones oder USB-Sticks können ebenfalls problematisch sein, da diese in der Regel weniger gut vor Viren etc. geschützt sind.

 

Auch das Versenden von beruflichen Nachrichten über private Messaging-Apps wie WhatsApp fällt unter Schatten-IT, da diese meist nicht den Sicherheitsstandards des Unternehmens entsprechen. Gleiches gilt für private E-Mail-Konten, die von Cyberkriminellen viel leichter gehackt werden können. Hinzu kommt in den letzten Monaten der zunehmende Einsatz von KI-Anwendungen. Die meisten Programme, die mit künstlicher Intelligenz arbeiten, können kostenlos genutzt werden, entsprechen aber nicht den Datenschutzstandards.

10 konkrete Beispiele, wie Schatten-IT in Ihrem Unternehmen Schaden anrichten kann

Da Schatten-IT oft leichter in ein Unternehmen eindringen kann als gedacht, haben wir 10 konkrete Szenarien zusammengestellt, die zeigen, dass ein unbedachter Moment ausreichen kann, um erheblichen Schaden zu verursachen:

  1. Jemand – zum Beispiel aus dem Vertrieb – speichert Kundendaten auf dem privaten Smartphone, das dann samt Daten gestohlen wird.
  2. Die Buchhalterin überweist zuhause Rechnungen mit ihrem privaten Tablet. Das Tablet ist jedoch mit einem Virus infiziert, der die Finanzdaten des Unternehmens abgreift.
  3. Die Assistenz schickt den neuen Flyer per Dropbox an die Druckerei, weil die Datei zu groß ist. Dropbox und ähnliche Anwendungen sind nicht ausreichend gesichert und die Daten werden von einem Unbefugten heruntergeladen.
  4. Ein Mitarbeiter installiert ein Spiel auf seinem Arbeitscomputer, das den Rechner und in der Folge die gesamte IT-Infrastruktur des Unternehmens mit einem Virus infiziert.
  5. Eine Mitarbeiterin nutzt ein anderes Projektmanagementtool, das nicht mit den Systemen des Betriebes kompatibel ist. Niemand weiß in ihrem Urlaub mehr genau, welche Projektschritte bereits erledigt wurden. Eine Kundendeadline wird nicht eingehalten.
  6. Ein Mitarbeiter nutzt WhatsApp in einem Café, um mit einem Kunden den Preis eines Produkts zu verhandeln. Über das öffentliche W-Lan des Cafés hackt sich ein Wettbewerber leicht in das Smartphone ein, liest die Nachrichten mit und unterbietet das Angebot.
  7. Ein Mitarbeiter speichert Baupläne auf einer externen Festplatte, um sie im Home-Office zu bearbeiten. Die Festplatte wird gestohlen, der Bau kann nicht ohne erhebliche Verzögerungen und Mehraufwand begonnen werden.
  8. Eine Mitarbeiterin kopiert sensible Kundendaten auf einen USB-Stick. Sie lässt den Stick und die Daten im Zug liegen.
  9. Die Geschäftsführung leitet im Urlaub ihre Mails an ein privates E-Mail-Konto weiter und erteilt darüber Freigaben. Das Konto wird gehackt und die Unternehmensdaten gestohlen.
  10. Ein Mitarbeiter hat seine Software seit Jahren nicht mehr aktualisiert und Cyberkriminelle nutzen eine allgemein bekannte Schwachstelle aus, um den Laptop und den Rest des Unternehmens mit Ransomware zu infizieren.

 

Ein letztes Beispiel zeigt, welche Gefahren von künstlicher Intelligenz ausgehen können: Über ChatGPT lässt das Marketing die Produktrezensionen analysieren und passt Anzeigen und Produktbeschreibungen entsprechend an. Bisher ist nicht bekannt, dass ChatGPT von Cyberkriminellen gehackt wurde, aber das Programm lernt aus allen Interaktionen. Der Wettbewerb kann also unwissentlich von Daten und verbesserten Anzeigentexten profitieren, weil die künstliche Intelligenz gelernt hat, welche Formulierungen bei den Kundinnen und Kunden gut ankommen. Darüber hinaus sind die wenigsten KI-Anwendungen DSGVO-konform und ihre Nutzung kann einen Datenschutzverstoß darstellen.

Wie kann man sich vor Schatten-IT schützen?

Im Gegensatz zu vielen anderen Gefahren aus dem Netz, die ein Unternehmen bedrohen, gibt es kaum technische Möglichkeiten, um sich vor Schatten-IT zu schützen. Viel wichtiger ist eine offene und klare Kommunikation mit den Mitarbeitenden. Diese müssen sich des Risikos bewusst sein und regelmäßig für das Thema sensibilisiert werden. Beispielsweise sollte der richtige Umgang mit privaten Laptops und Smartphones geschult werden, um Sicherheitsvorfälle zu vermeiden. Im Gegensatz dazu sollte die Geschäftsführung ein offenes Ohr für die Bedürfnisse der Mitarbeitenden haben und nur Software und Programme einkaufen, die den Anforderungen der Kolleg:innen tatsächlich entsprechen. Ein kontinuierlicher und offener Austausch ist dabei unabdingbar, da sich Anforderungen und technische Möglichkeiten rasch ändern.

Wird am Ende alles gut? Wie sieht Schatten-IT in der Zukunft aus?

Zum Schluss bleibt nur noch die Frage, ob sich das Phänomen Schatten-IT in den nächsten Jahren verstärken oder abschwächen wird. Die Antwort liegt ganz bei Ihnen! Natürlich werden mit zunehmender Digitalisierung, Technologisierung und der wachsenden Anzahl an KI-Anwendungen auf dem Markt die Möglichkeiten zur Nutzung von Schatten-IT steigen. Jeden Tag gibt es mehr Softwareprogramme auf der Welt, die den Menschen beispielsweise mehr Effizienz versprechen. Gerade kleinere Unternehmen haben oft nicht die Ressourcen, um die neuen Angebote schnell einschätzen und bewerten zu können. Wie gut Sie vor Schatten-IT geschützt sind, hängt also davon ab, wie gut Ihre Mitarbeitenden zu diesem Thema geschult sind und ob Sie zufriedenstellende Software bereitstellen. Wir als EWE unterstützen Sie gern dabei!

Sie haben Fragen oder wünschen eine Beratung?

Dann geben Sie einfach Ihre Postleitzahl ein und lassen sich persönlich und unverbindlich von einem EWE-Kontakt in Ihrer Nähe beraten.

Die obere Hälfte des Gesichts eines Mannes mit dunklem Hoodie und Brille

Machen Sie den Hackern das Leben schwer.

Cyber-Attacken betreffen alle Unternehmen und Branchen, von großen Industrieunternehmen bis hin zu kleinen Start-ups und Handwerksbetrieben. Wie können Sie sich am besten gegen Cyberangriffe wappnen? Neben Basismaßnahmen sollten Sie sich rund um DDoS-Schutz, Mailschutz, Serversicherheit und Co. informieren – und Hackern das Leben so schwer wie möglich machen.

Interessante Artikel aus dem EWE business Magazin

Beitrag teilen

Mehr Datenschutz: Erst bei Klick auf einen Link werden Daten an Dritte übermittelt.