Eine Rekordzahl von Mitarbeitern nutzt nicht genehmigte Apps, um ihre Arbeit zu erledigen. Aber die Schatten-IT kann für Unternehmen richtig teuer werden und macht sie zudem anfällig für Datendiebstahl und Reputationsverlust. Das globale Technologieunternehmen Zoho zeigt, wo die größten Risiken liegen und wie die Geschäftsführung reagieren sollte.
Neue Projekte anlegen, den Workflow starten und dann die Kollegen per Chat informieren – alles ganz normale Arbeitsschritte, die von vielen Angestellten mit SaaS-Applikationen wie Slack oder Trello erledigt werden, ohne dass die IT-Abteilung dies genehmigt hat. 51 Prozent der deutschen Unternehmen haben laut einer Bitkom-Studie schon Mitarbeitende bei der Nutzung von Schatten-IT erwischt; die Dunkelziffer dürfte deutlich höher liegen.
Suchen sich Angestellte auf eigene Faust Anwendungen, die ihnen den Arbeitsalltag erleichtern, so kann diese unerwünschte Proaktivität negative Auswirkungen auf das Unternehmen haben und Tür und Tor für Datendiebstahl, Industriespionage und Vertrauensverlust öffnen. Darüber hinaus ist die Verwendung von Schatten-IT aber auch noch richtig teuer. Zoho zeigt die größten Kostenfallen des technischen Wildwuchses auf:
Geldstrafen wegen Regelverstößen
Nicht genehmigte Anwendungen erfüllen selten Compliance-Regeln oder Verordnungen wie die DSGVO. Das Verwenden von Schatten-IT führt also im schlimmsten Fall zu Geldstrafen, behördlichen Sanktionen und schädigt den Ruf der Marke. Landen Schadensfälle im Zusammenhang mit unerlaubten IT-Aktivitäten bei der Versicherung, kann diese die Versicherungsprämien für das Unternehmen erhöhen oder sich sogar weigern, Forderungen zu bezahlen. Schließlich sind Versicherungen an bestimmte Voraussetzungen geknüpft, die Schatten-IT oft nicht erfüllt.
Kosten wegen Datenverlust
Schatten-IT fragmentiert die Datenbestände und kann dazu führen, dass dem Unternehmen nicht alle Informationen zur Verfügung stehen. Das hat dramatische Folgen, weil die datengestützte Entscheidungsfindung heute eine wesentliche Grundlage für effizientes Arbeiten ist. Weiß die IT-Abteilung eines Unternehmens nichts von der Existenz einer App, dann kann sie deren Daten logischerweise nicht in den zentralen Pool integrieren. Die so entstehende Informationslücke führt zu erhöhtem Zeitaufwand für die Dateneingabe und die Zusammenarbeit zwischen Abteilungen wird erschwert.
Produktivitätsverlust durch Ausfallzeiten
Schatten-IT führt nicht immer zu Ausfallzeiten, aber sie erhöht das Risiko dafür. Zum einen sorgen die unerlaubten Anwendungen für Sicherheitslücken in der IT-Angriffsfläche. Hacker haben damit leichteres Spiel. Andererseits können technische Probleme mit diesen Programmen dazu führen, dass geschäftskritische Systeme und Prozesse nicht mehr funktionieren. In diesem Fall müsste die IT-Abteilung zwingend eingreifen. Aber was, wenn sie nichts von der Existenz einer Anwendung weiß und sich zweitens nicht damit auskennt? Um die Störung zu beheben, müssen die IT-Experten mitunter einige Stunden investieren, um Netzwerke umzuleiten und neu zu konfigurieren. Es kommt zu langen Ausfallzeiten und potenziell kostspieligen Datenverlusten.
Ausgaben für das Entdecken von Schatten-IT
Wollen Unternehmen das Aufspüren von unerlaubten Applikationen nicht dem Zufall überlassen, müssen sie in entsprechende Technologien investieren, zum Beispiel in eine Software für Fernüberwachung oder eine Endpoint-Protection-Platform (EPP) – eine weitere ungeplante Ausgabe. Sobald die Schatten-IT entlarvt ist, stehen Unternehmen vor der Frage, wie sie mit deren Nutzern umgehen sollen. Muss sich die Personalabteilung mit dem Problem beschäftigen, bindet das Zeit und Ressourcen. Hat die Schatten-IT möglicherweise bereits zu größeren Schäden geführt, dann muss das Unternehmen eventuell sogar externe Experten beauftragen, die sich im Zweifel mit Rechtsstreitigkeiten im IT-Bereich auskennen. Die Tragweite ist potenziell riesig.
Ein Weg heraus aus dem Schatten
Alle diese Punkte könnten Unternehmen vermeiden, wenn sie sich eine entscheidende Frage stellen: Warum greifen Mitarbeiter überhaupt auf die Nutzung von Schatten-IT zurück? In vielen Fällen ist es einfach Unwissenheit. Zum einen sind sich die Nutzer gar nicht bewusst, dass ihr Tun die IT-Sicherheit gefährdet. Zum anderen kennen sie vielleicht gar nicht alle technischen Lösungen, mit denen unternehmenseigene Systeme ihre Arbeit erleichtern könnten. Beide Punkte können kontinuierliche Schulungen lösen, die sich auf die potenziellen Sicherheitsrisiken der Schatten-IT sowie auf Möglichkeiten zu einer effektiveren Nutzung autorisierter Software konzentrieren. Zum einen sollten die Unternehmen ihre Mitarbeitenden darüber aufklären, wie teuer die Nutzung von Schatten-IT sein kann und welche Risiken damit verbunden sind. Zum anderen sollten Schulungen der IT-Experten darauf abzielen, die vorhandenen Tools so umfassend und verständlich zu erklären, dass alle Angestellten deren Vorteile und praktischen Nutzen erkennen.
Stellt sich heraus, dass keines der genehmigten Tools so effizient wie die Schatten-IT-Anwendung ist, dann wird auch ein Verbot nichts bewirken. Entweder bleibt ein frustrierter und demotivierter Mitarbeiter zurück – oder er sucht sich einfach eine neue unerlaubte App. Die Lösung ist ein Business- und damit nutzerorientiertes Denken der IT. Das heißt nicht, dass auf einen Schlag alle cloudbasierten Anwendungen gekauft werden müssen, die die Mitarbeiter vorschlagen. Aber mit einem offenen Ohr lässt sich vieles organisatorisch regeln, um einen Weg für den regelkonformen Einsatz der benötigten IT zu finden.
„Schatten-IT ist kein Zeichen für eine schlechte Belegschaft, sondern für hoch engagierte Mitarbeiter“, findet Sridhar Iyengar, Managing Director von Zoho Europe. „Die Aufgabe der Unternehmen besteht darin, die Kommunikation mit den Angestellten zu verbessern und die Aufmerksamkeit darauf zu lenken, welche Tools nötig sind, damit diese ihre Arbeit effizient erledigen können. Es gilt eine integrierte und cloudbasierte Plattform zu schaffen, die sich je nach Bedarf durch innovative Anwendungen erweitern lässt.“
#Zoho