Mit der Dezentralisierung steigt auch das Risiko
Der Trend zur Arbeit im Homeoffice verschlimmert aktuellen Umfragen zufolge ein leidiges Problem, das IT-Verantwortlichen in großen wie kleinen Firmen nur zu bekannt ist: die sogenannte Schatten-IT. Zur Erledigung ihrer Aufgaben nutzen Mitarbeiter Lösungen außerhalb der offiziellen IT-Infrastruktur ihrer Firma. Dabei kann es sich um Apps und Programme, aber auch um Hardware oder Cloud-Dienste handeln. Die Implikationen sind vielschichtig und die Konsequenzen möglicherweise gravierend.
“Sinn und Zweck der IT-Infrastruktur einer Firma ist es, Arbeiten zu vereinfachen, Prozesse zu beschleunigen, Transparenz zu gewährleisten und Fehler zu minimieren”, betont Georg Ruppert, Geschäftsführer der IT-Consultingfirma digitisation GmbH mit Sitz in Köln. “Das kann sie nur leisten, wenn die Mitarbeitenden ihre IT als strategischen Hebel begreifen und eine Optimierung aktiv unterstützen.” Damit sei die Bekämpfung der Schatten-IT nicht lediglich eine Aufgabe der zuständigen Fachabteilung. “Die IT-Kultur einer Firma ist ein wesentlicher Ausdruck der Firmenkultur. Sie darf nicht dem Zufall überlassen, sondern sollte von der Firmenleitung strategisch gesteuert werden”, so Ruppert.
Die Verwendung inoffizieller IT-Lösungen am Arbeitsplatz verstößt in den allermeisten Fällen gegen einschlägige Regularien. Zusätzliche Verbote helfen daher wenig. Vielversprechender ist es, in der Belegschaft das Bewusstsein für die Chancen und Risiken der IT-Nutzung zu fördern. Ruppert: “Wesentliche Aufgabe im Rahmen einer strategischen IT-Steuerung ist es deshalb, eventuelle Gräben zwischen den internen IT-Dienstleistern und den kundenorientierten Fachabteilungen zu identifizieren und zu überbrücken.”
In aller Regel verstecken sich hinter der Schatten-IT gute Absichten. Mitarbeitende nutzen inoffizielle Lösungen, weil sie damit besser zum Ziel kommen. Motive können höhere Effizienz, aber auch Gewohnheit oder Bequemlichkeit sein. In vielen Fällen wird der Weg einer offiziellen Beschaffung aber auch als zu bürokratisch, kompliziert und langwierig empfunden. Dies kann die Meinung eines Einzelnen, aber auch das Selbstverständnis einer ganzen Fachabteilung widerspiegeln, die einen Sonderstatus für sich in Anspruch nimmt. Umso wichtiger ist es, die Schatten-IT nicht nur aus Compliance-Gesichtspunkten zu bekämpfen, sondern als Ausdruck der Firmenkultur wahrzunehmen und als Chefsache zu adressieren.
Die Risiken der Schatten-IT reichen von erträglich bis gravierend. Grundsätzlich verursacht sie zusätzliche Kosten und die fehlende Vernetzung mit offiziellen Systemen bedeutet letztlich Mehraufwand. Ein wesentlich heikleres Thema ist die Datensicherheit. Der fahrlässige Umgang mit sensiblen Daten ist kein Kavaliersdelikt, sondern ein Gesetzesverstoß. Dies kann für den Einzelnen, aber auch für die Firma insgesamt beträchtliche Folgen haben.
Problematisch ist auch der Abfluss von Informationen und Daten vor dem Hintergrund des Know-how-Schutzes und des Wettbewerbs im Konkurrenzumfeld. Schließlich besteht eine wesentliche Aufgabe der IT-Abteilungen darin, das intellektuelle Eigentum der Firma vor fremdem Zugriff zu schützen. Letztlich kann ein erfolgreicher Hacker-Angriff durch die Hintertür einer inoffiziellen Soft- oder Hardware für eine Firma im Desaster enden. Damit unterläuft die Schatten-IT sowohl zwingend notwendige als auch dringend angeratene Schutzfunktionen.
In Bezug auf die Tragweite des Problems bestätigen unterschiedliche Erhebungen drei grundlegende Trends. Grundsätzlich ist davon auszugehen, dass gut die Hälfte der Mitarbeitenden im Rahmen ihrer Arbeit gewohnheitsmäßig inoffizielle IT-Lösungen einsetzt. Das kann die Kommunikation mit Kolleg:innen oder Kund:innen über private Messenger sein, die Speicherung von Daten auf inoffiziellen Cloud-Diensten oder zum Beispiel die Vermischung von beruflichen und privaten E-Mail-Accounts, Programmen und Apps sowie PCs, Tablets und Smartphones.
Umfragen zufolge ist das Problem stärker ausgeprägt bei den Jüngeren, die als “digital natives” Probleme bevorzugt digital angehen. Ein Zusammenhang ist auch gegeben hinsichtlich der Firmengröße. Je größer die Firma, desto stärker ist im Schnitt die Digitalisierung ausgeprägt – mitsamt ihren Schutzmaßnahmen. Besonders schwer tun sich demnach mittelständische Firmen, für die die benötigten Ressourcen und der Wandel in der Firmenkultur ernstzunehmende Hürden sind.
Ein dritter Trend sieht eine geringe Anfälligkeit dort, wo Kernprozesse ohnehin maßgeblich IT-gestützt ablaufen: in der Finanzwelt und im Bereich Versicherungen, aber auch in der Informations- und Kommunikationstechnologie selbst, in der Automobilherstellung oder zum Beispiel in der Tourismusbranche.
Umgekehrt ist die Schatten-IT dort ein größeres Problem, wo Firmen komplexe, aber letztlich recht analoge Lösungen anbieten, wie das zum Beispiel in allen Bereichen der Bauindustrie der Fall ist. Auch bei den Betreibern kritischer Infrastrukturen, die als Dienstleister im Bereich Strom, Wasser, Telekommunikation oder Verkehr verstärkt das Ziel von Hackerangriffen sind, müssen die IT-Abteilungen einen besonders schwierigen Spagat meistern zwischen Sicherheit und Zulässigkeit auf der einen Seite und optimaler Ausnutzung des IT-Potenzials auf der anderen.
Die Digitalisierung hat nicht zuletzt mit ihrer Dezentralisierung zu grundsätzlichen Veränderungen in der Arbeitswelt geführt. Insbesondere im stark wachsenden Dienstleistungssektor spielt der Arbeitsort kaum noch eine Rolle. Die Pandemie hat den Trend zum Homeoffice weiter verstärkt. Die Vorteile sind unbestritten. Der Bedarf an Büroflächen ist rückläufig, der Berufsverkehr wird entlastet, Privat- und Berufsleben lassen sich flexibler gestalten.
Für die Digitalisierung selbst birgt die Dezentralisierung jedoch unübersehbare Risiken durch unkontrollierte Schatten-IT. Firmen sind heute mehr denn je gefordert, ihre IT als strategisches Element zu betrachten, das es gezielt zu optimieren und zu steuern gilt. Aufgrund der Risiken – und der Chancen.
Die digitisation GmbH, Köln, hilft kleinen und mittelständischen Unternehmen bei den Herausforderungen in den Bereichen Informationstechnologie/Telekommunikation und Digitalisierung.