Wieso langwierige und fehlende Prozesse zum Einfallstor für Angriffe werden
Schatten-IT ist gelebte Praxis in vielen Unternehmen; unterschiedlich stark ausgeprägt, aber vorhanden. Unter Schatten-IT versteht sich eine IT-Infrastruktur, die parallel zur Basis-Infrastruktur eines Unternehmens existiert. Wenn eine Firma beispielsweise mit einem lokalen Server und One Drive arbeitet, kümmern sich IT-Verantwortliche rund um diese Infrastruktur. Hier werden Dateien abgelegt und verwaltet. Diese Orte werden auch mit Security Software versehen, um die Daten sichern und schützen zu können. Sollten Mitarbeitende eine Firmendatei aber auf Google Drive, Nextcloud oder anderen Cloud-Anbietern abspeichern, um beispielsweise gemeinsam mit Externen daran zu arbeiten, hat die IT-Abteilung keine Kenntnis über diesen Datei-Ablageort und kann ihn nicht sichern. Auch wenn eigene Endgeräte wie Laptops, Tablets oder Handys genutzt werden, von denen IT-Admins keinerlei Kenntnis haben, entstehen Endpoint-Chaos und Sicherheitslücken. Dabei wäre dies vermeidbar: mit dem richtigen Management und modernen Kollaboration-Tools.
Wieso entsteht Schatten-IT überhaupt?
Mangelnde Infrastruktur
Entwickler brauchen schnell und temporär eine Entwicklungsumgebung… Sollten Firmen nicht ausreichend Ressourcen zur Verfügung stellen können oder nicht die notwendigen Tools für Zusammenarbeit oder Dateiaustausch, suchen Mitarbeitende schnell eigene Lösungen bzw. nutzen private Ressourcen. Die Standard-Security-Einstellungen und -Tools greifen dafür nicht. Wie auch, schließlich hat die IT-Abteilung keine Kenntnis davon. Zwar ist für Arbeitende oft ein Komfort, beispielsweise nur ein Handy zu besitzen, allerdings fehlt oft das Verständnis, dass sich dadurch ein potenzielles Einfallstor für Angreifer öffnet. Hier müssen IT-Verantwortliche entweder alle Teammitglieder mit Standard-Endpoints ausstatten oder zumindest Kenntnis von allen genutzten Geräten und Tools erhalten. Klare, dokumentierte Vorgaben und die Prüfung der Einhaltung sind dafür unerlässlich. Das bringt mich direkt zum nächsten Punkt.
Fehlende Prozesstransparenz
Nur wenn alle Mitarbeitenden die geltenden Vorgaben kennen, können sie sich auch daran halten. Prozesse müssen deshalb zentral und jederzeit nachlesbar dokumentiert sein. Ein Intranet eignet sich dafür wunderbar. Im Idealfall erhalten neue Mitarbeitende beim Start ein IT-Onboarding. Zur Ausstattung mit der notwendigen Hardware gehören dazu auch Hinweise zu den geltenden IT-Regeln und -Prozessen: Wo werden Dateien abgelegt, welche Logik hat die vorhandene Ordnerstruktur? Werden (hybride) Clouds oder ausschließlich lokale Server verwendet? Wenn dieses Onboarding nicht oder mangelhaft erfolgt, machen sich Mitarbeitende auf die Suche nach eigenen Ablageorten, z. B. in anderen, eventuell sogar privaten Clouds, oder auf dem Desktop. Diesen ersten Schritt ins Ablage-Chaos sehen wir häufig in kleinen bis mittelständischen Unternehmen.
Langwierige und komplizierte Prozesse
Zeit ist ein entscheidender Faktor. Wenn Ordnerstrukturen so verschachtelt sind, dass die Ablage eines Dokuments mehrere Minuten dauert oder Freigabeprozesse so konzipiert sind, dass Freigabeschleifen mehrere Stunden oder sogar Tage dauern, suchen Mitarbeitende bei zeitkritischen Projekten andere Wege. „Ich lege die Datei schnell hier ab, damit ich sie direkt verschicken kann. Das korrekte Ablegen erledige ich später“. Dieser Gedanke kommt vielen bekannt vor. Daten sollten aber so abgelegt werden, dass andere Berechtigte jederzeit und intuitiv darauf zugreifen können, weil sie den Vorgaben entsprechend abgelegt werden. Vorgaben und Tools, die es den Usern so einfach wie möglich machen und eine leistungsstarke Suchfunktion mitbringen, werden hier punkten. Selbst innerhalb der IT gibt es Nutzergruppen, die geneigt sind, sich eigene Tools oder Umgebungen zu suchen, wenn vorhandene nicht performen. – Ich meine hier Entwickler, die ohne agile Prozesse und Systeme kaum richtig arbeiten können.
Gerade in der Entwicklung kommt es auf Geschwindigkeit und das Einhalten des Go-to-Market an. Regelmäßig werden dafür neue VMs und Testsysteme benötigt. Wenn interne Prozesse allerdings zu lange brauchen, die Systeme erst nach Stunden oder gar Tagen bereitstehen und die Entwicklung dadurch nicht weitergehen kann, suchen Entwickler:innen oftmals selbstständig Abhilfe bei Cloudanbietern. Hier kann jede:r innerhalb von Minuten die benötigten Systeme so hochfahren wie gerade benötigt – ohne lästige Freigaben und Bereitstellungszeiten. Und plötzlich findet die Entwicklung in der Schatten-IT statt, ohne Rücksicht auf Security- und Compliance-Regelwerke.
Der Schatten IT-Fisch stinkt vom Kopf
Alle drei Punkte basieren nach meiner Ansicht auf einem Punkt, nämlich falschem oder unpassendem Management. Fehlende Prozesstransparenz, mangelndes Onboarding, fehlende Infrastruktur, zu lange Prozesse sind nur Symptome. Die Unternehmensführung muss Prozesse standardisieren, allerdings auf eine praktikable Weise. Projektmanagement-Tools, Cloud Services, Collaborations-Tool, Endpoints, müssen intuitiv benutzbar sein, sonst suchen sich Mitarbeitende ihren eigenen Weg, der zur Schatten-IT führt.
Mitarbeitende in Führungspositionen müssen es zur Routine machen, ihr Team zu fragen, ob alle Workflows passen. Anforderungsanalysen sind hierbei das Stichwort. Erst, wenn das Management weiß, was an IT-Lösungen/Systemen/Anwendungen benötigt wird, ist die Anschaffung, die Implementierung und ggf. die Integration oder Anpassung an bestehende Prozesse möglich. Agilität ist hier das Zauberwort. Das Management muss also aktiv in die Kommunikation mit allen Mitarbeitenden treten, denn Schatten-IT ist ein Effekt von mangelhaften internen (Kommunikations-)Prozessen.
Ihr
Marius Fehlemann
Enterprise Open Solutions Expert
T: +49 931 250993-149
M:
Connect auf Linkedin
Connect auf Xing