Die Schatten-IT sprießt aus dem Boden wie Pilze nach einem warmen Sommerregen. Dadurch geraten viele IT-Projekte in Schieflage und bedrohen die Sicherheit der Unternehmen. Noch ist der Kampf gegen den IT-Wildwuchs nicht verloren und die IT-Verantwortlichen haben noch Möglichkeiten auf diesen Trend zu regieren und die Kontrolle zurück zu gewinnen.
Auf dem Markt findet man heute viele Formen der kostenpflichtigen, kostenlosen und integrierten UC&C-Lösungen. Die meisten der angebotenen Lösungen sind bequem und einfach zu bedienen, so dass diese für den Nutzer oftmals attraktiver sind, als die vom eigenen Unternehmen angebotenen Lösungen. Für viele Nutzer reagiert die interne IT viel zu langsam oder die Umsetzung der Projekte dauert viel zu lang. Aus diesem Grund umgehen die Nutzer ihre IT-Abteilung, denn sie sind nicht bereit auf die geforderten UC&C-Funktionen noch länger zu warten.
Die weite Verbreitung von mobilen Anwendungen erweitert darüber hinaus auch die Möglichkeiten zur Umgehung der IT im eigenen Haus und zur Installation von Schatten-UC&C-Lösungen.
Definition der Schatten UC&C
Als Schatten Unified-Communications und Collaboration (UC&C) bezeichnet man Systeme und Dienstleistungen, die innerhalb von Unternehmen ohne ausdrückliche Zustimmung bzw. ohne Kenntnis der IT-Abteilung realisiert werden. Als Begründung zur Umgehung der IT-Abteilung bei der Beschaffung der UC&C-Leistungen durch die jeweiligen Geschäftsbereiche werden folgende Argumente genannt:
- Die interne IT ist viel zu langsam und die Umsetzung dauert viel zu lang.
- Für die Bereitstellung und den Betrieb bestimmter Anwendungen fehlt der IT die notwendige Kompetenz.
- Die interne IT ist viel zu teuer und viel zu kompliziert.
Warum stellt die Schatten-IT ein Problem dar?
In einer Studie hat Pricewaterhouse Coopers jetzt festgestellt, dass in den Unternehmen zwischen 15 und 30 Prozent der IT-Ausgaben durch Geschäftseinheiten außerhalb des offiziellen IT-Budgets getätigt werden. In der Praxis bedeutet dies, dass diese Geschäftsbereiche die IT-Abteilungen umgehen und eigenmächtig ihre eigenen Anwendungs-Services oder Endgeräte beschaffen. Dies birgt die Gefahr der Etablierung einer unkontrollierten „Schatten-IT“.
Wie die Schatten-IT entsprechen die Schatten UC&C-Lösungen nicht den Anforderungen eines Unternehmens im Bereich des Betriebs, des Managements, der Dokumentation, der Sicherheit und der Zuverlässigkeit. Die Schatten-UC&C-Lösungen entsprechen in der Regel nicht den behördlichen Vorschriften und den gesetzlichen Anforderungen. Bei diesen Lösungen bleibt die Frage, wer Eigentümer der Medieninhalte ist, ungeklärt. Auch die Sicherheits- und Datenschutzanforderungen werden bei diesen Lösungen höchstwahrscheinlich nicht im Sinne des Unternehmens gelöst. Rechtliche Anforderungen nehmen in den Unternehmen inzwischen einen hohen Stellenwert ein. Auf nationaler, europäischer und internationaler Ebene erlassen die Gesetzgeber immer mehr Gesetze zur Risikovorsorge und zur Kontrolle der Risiken. Die Einhaltung dieser rechtlichen Anforderungen – mit dem Begriff Compliance belegt – wird durch die Schatten-IT in den Unternehmen konterkariert.
Diese Probleme werden durch die Tatsache erschwert, dass in unterschiedlichen Ländern unterschiedliche Regeln für Sicherheit, Datenschutz und Compliance gelten.
Das OTT-Dilemma
Als Over-the-Top-Content (OTT) bezeichnet man die Übertragung von Audio-, Video- und andere Inhalten unabhängig von dem zugrunde liegenden Transportnetz. In der Regel werden hierfür die Netze der öffentliche Internet-Service-Provider (ISP) genutzt. Da die ISPs die zu übertragenen Inhalte transparent (auf der Schicht 3) weiterleiten, haben diese keinerlei Kontrolle über die Inhalte und sind somit auch nicht an der Verteilung der höheren Schichten beteiligt. Die übermittelten Inhalte sind in der Regel kostenlos und in einer Anwendung eingebettet. Skype ist ein gutes Beispiel für eine solche OTT-Lösung. Viele OTT-Angebote sind inzwischen auch Teil der sozialen Netzwerkdienste. Die OTT-Lösungen werden nicht staatlich kontrolliert, nicht reguliert und müssen beispielsweise auch keine Notrufe unterstützen. Die OTT-Lösungen nutzen die Transportdienste der ISPs, weil ihnen dies der Nutzungsvertrag mit dem Benutzer erlaubt.
Beispiele gibt es zu Hauf, wie der frustrierte IT-Manager belegt, der den Krankenschwestern in seiner Klinik versucht, die medizinische Konsultation von Patienten via Skype-Video zu verbieten. Eine solche Übertragung ist nicht mit dem geltenden Datenschutz vereinbar. Die Krankenschwestern kümmern sich jedoch nicht um die Compliance-Anforderungen. Erst durch sehr restriktive Filter auf der Krankenhaus-Firewall konnte die Skype-Nutzung unterbunden werden.
Was passiert, wenn ein Finanzmanager das kostenlose Skype für Kundengespräche nutzt? Wird das Gespräch gemäß den gesetzlichen Vorschriften zentral aufgezeichnet? Erfüllt eine solche Kommunikation die erforderlichen Datenschutzanforderungen? Wahrscheinlich nicht.
WebRTC ermöglicht eine unkontrollierte Kommunikation
Web-Real-Time Communications (WebRTC) ist eine Open-Source-Technologie die eine Echtzeitkommunikation (Sprache, Video, Daten) im Web-Browser bereitstellt. WebRTC wird inzwischen von Google, Mozilla und dem Opera-Browser unterstützt. Die Technologie ist Teil des HTML5 WC3- und IETF-Standards. Durch kostenlose Plug-ins für den Internet-Explorer und Safari wurde die Anzahl der WebRTC-fähigen Browser noch erweitert.
Viele Unternehmen (Cisco, AT&T, Intel, Avaya, Citrix, Plantronics, usw.) haben inzwischen die WebRTC-Technologie in ihren Produkten und Dienstleistungen integriert. Die meisten dieser Anwendungen und Werkzeuge erwähnen nicht einmal die Verwendung von WebRTC. WebRTC ermöglicht eine transparente Einbettung einer Multi-Media-Kommunikation in Anwendungen, so dass der Benutzer nicht einmal weiß, dass dahinter die WebRTC-Technologie verwendet wird.
WebRTC verbreitet sich im Bereich der UC&C-Lösungen rasend schnell und in den unterschiedlichsten Formen und Ausprägungen. Dadurch wird es zu einem wachsenden Problem für die Unternehmen und die an der IT vorbei beschafften Dienste werden drastisch zunehmen.
Gegenmaßnahmen gegen Schatten UC&C-Lösungen
Mit den folgenden Aktionen lassen sich die Auswirkungen einer Schatten-UC&C abmildern und eventuell sogar aufhalten:
- Man darf nie davon ausgehen, dass die Anwender unter keinen Umständen Schatten-UC&C-Lösungen einsetzen werden. Daher muss in regelmäßigen Abständen die Unternehmenskommunikation darauf überprüft werden, ob nicht autorisierte UC&C-Funktionen genutzt werden, die die außerhalb der Kontrolle der IT liegt.
- Die meisten Hinweise von der Nutzung von OTT- oder ähnlichen Anwendungen findet man in den Endpunkten und nicht in den zentralen Komponenten der Unternehmen. Da die Endpunkte in der Regel nicht per Backup abgesichert werden, können darauf abgelegte Daten verloren gehen. Außerdem erhöht die Nutzung einer nicht autorisierten Lösung drastisch die Sicherheitsrisiken des Unternehmens. Daher gehört die Kontrolle (auf die Verwendung von OTT-Lösungen) der Endpunkte im Unternehmen zu den wichtigen Aufgaben der IT.
- Sollen im Unternehmen Drittanbieter oder OTT-Anbieter genutzt werden, muss die IT- und die Unternehmenssicherheit dafür sorgen, dass die Anbieter entsprechend zertifiziert sind und entsprechende Verträge zwischen den Unternehmen bestehen.
- Die Schulung der Anwender und IT-Administratoren muss eine hohe Priorität besitzen, damit ihnen bewusst wird, welche Probleme sich das Unternehmen durch den Einsatz einer Schatten-IT einhandeln kann..
- Trotzdem darf niemals davon ausgegangen werden, dass die Nutzer die Regeln befolgen. Die vom Unternehmen aufgestellten Regeln müssen von den Nutzern gelesen und bestätigt werden, damit sich niemand herausreden kann, er habe noch nie etwas von Schatten-IT-Lösungen und deren Verbot gehört.
Fazit
Die außer Kontrolle geratene Schatten-UC&C in den Unternehmen muss zurück in den Schoß der Unternehmens-IT geführt werden. Die Risiken für die Unternehmenssicherheit und die Compliance-Implikationen der Schatten-UC&C sind eine ernsthafte Bedrohung für das gesamte Unternehmen. Transparenz im Geschäftsbereich erfordert, dass die Geschäftsprozesse nicht auf einer Schatten-IT betrieben werden. Nur wenn man Licht ins Dunkel bringt, wird man langfristig die Geschäftsnormen erfüllt. (mh)
