Re-Zertifizierung HyperDoc
18. Dezember 2020
Buchauszug IG 2021: Datenanarchie überwinden – Information Governance
11. Februar 2021

Verschärfte Informationsrisiken durch Schatten-IT im Home Office

Schatten-IT führt zu nicht quantifizierbaren Risiken

Einer Schätzung von Microsoft zufolge verwenden größere Organisationen im Schnitt mehr als 100 von der IT verwaltete Anwendungen und mindestens 900 weitere Apps, die außerhalb der Kontrolle durch die IT liegen. Die in diesen Schatten-IT-Diensten gespeicherten Inhalte können sehr unterschiedlich sein, enthalten jedoch mit Sicherheit einige vertrauliche, personenbezogene oder sensible Daten.

Schatten-IT bezieht sich auf IT-Anwendungen, die außerhalb der zentralen IT-Infrastruktur eines Unternehmens erstellt, eingesetzt oder genutzt werden (d.h. ohne Genehmigung und mit wenig oder gar keiner Kontrolle). Diese Anwendungen manifestieren sich in Excel-Tabellen, die für die Finanzberichterstattung verwendet werden, bis hin zu persönlichen Cloud-Speicher-Konten wie Dropbox oder Google Drive, auf denen sensible Informationen gespeichert werden. Nach dieser Definition gibt es Schatten-IT, seit unternehmungslustige Mitarbeiter versuchen, Geschäftsanforderungen mit Anwendungen außerhalb der IT zu lösen.

Die Corona Krise hat die Art und Weise, wie Unternehmen arbeiten, verändert. Viele Unternehmen waren quasi gezwungen, ihren Mitarbeitern zu erlauben remote im HomeOffice zu arbeiten. Meist haben IT-Führungskräfte Initiativen zur digitalen Transformation beschleunigt, um diesen Wandel zu unterstützen. Solange nun das End User Computing (EUC) kontrolliert abläuft sollte die Informationssicherheit nicht gefährdet sein. Allerdings haben nun diverse Studien darauf hingeweisen, dass in den meisten Organisationen effektiv eine Schatten-IT praktiziert wird, wenn auch in sehr unterschiedlichem Ausmass. Eine solche Praxis kann erhebliche Risiken bergen, allerdings existierten diese auch schon vor der Corona-Krise, sie wurden aber nun durch diese noch verschärft (das krm hat das Problem im Praxisleitfaden 2015 unter dem Stichwort “anwendergetriebene IT” beschrieben (Kap. 1.4.1)). Diese quasi dunkle Seite der Schatten-IT hat aber auch eine nützliche Seite, bekannt unter dem Begriff “Groundswell” (Forrester). Anstatt die Benutzer zu sperren und zu hemmen, werden sie befähigt (in einem vernünftigen und kontrollierten Rahmen), durch bisher unzulässige Apps und Tools Veränderungen voranzutreiben, die Unternehmen helfen, weiter zu wachsen und sich an veränderte Anforderungen anzupassen. Viele CIOs anerkennen dies bereits.

Grundsätzlich liegt das Risiko der Schatten-IT einer Organisation in der mangelnden Sichtbarkeit, Sicherheit und Kontrolle dieser Anwendungen. Sie gefährden die Geschäftskontinuität, die Genauigkeit der Berichterstattung und können die Organisation der Nichteinhaltung von Vorschriften aussetzen. Einige Szenarien und operative Risiken, die weitreichende Reputations- und finanzielle Auswirkungen haben, sind:

  • Die IT-Abteilung wird übergangen und kann daher nicht sicherstellen, dass angemessene Sicherheitsvorkehrungen wie Zugangskontrollen eingerichtet werden, um Sicherheitsverletzungen vorzubeugen
  • die Compliance-Abteilung weiß nicht, dass bestimmte Cloud-Dienste verwendet werden
  • der IT-Security ist es nicht möglich, Sicherheitsverstöße in nicht identifizierten Cloud-Diensten festzustellen und darauf zu reagieren. .
  • Streng vertrauliche personenbezogene (DSGVO relevante) Informationen, werden an ungesicherte Mailboxen gesendet
  • Andere sensible Daten, die auf einem kostenlosen Cloud-Speicher-Konto gespeichert sind
  • Unsachgemäße Logik in Anlagetabellen, die zu großen Verlusten führt

Aufsichtsbehörden und Audit-Teams sind nun im Zuge der Corona-Krise zunehmend auf diese Anwendungen aufmerksam geworden und fordern deren Identifizierung und Kontrolle.

Was kann getan werden?

Wie immer in solchen Fällen wird der Ruf laut nach einer Policy. Eine solche müsste zuerst  die Kritikalität einer End User Computing (EUC) Anwendung identifizieren und als solche bewerten, um sie anschliessend in ein Inventar aufzunehmen um sie zu kontrollieren: vgl. das folgende Schema:

  Source: White paper Apparity

 

Im schlimmsten Fall erzeugt Schatten-IT die oben beschriebenen Risiken und die Angst vor dem Unbekannten in Unternehmen. Im besten Fall treibt die Schatten IT wichtige Geschäftsergebnisse mit unvergleichlicher Flexibilität und Leichtigkeit voran. Die Lösung für ein Unternehmen liegt wohl darin, ein Gleichgewicht zu finden, indem es Ersteres kontrolliert und Letzteres ermöglicht.

 

———————————-

Sources:

Apparity (2020): Shadow IT Risk Looming Larger than ever with working Remote

AvePoint (2020): Handbuch zur Minimierung von Kollaborationsrisiken

Workshare (2015): CIO Insights: Bringing Shadow-IT Into The Light

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.