Unter Schatten-IT (Shadow-IT) ist die parallele Nutzung von IT-Infrastrukturen, sprich Hardware, Software, Netzwerke und Services, neben der eigentlichen IT-Systemlandschaft eines Unternehmens, zu verstehen. Anders als bei der offiziellen Infrastruktur, findet keine Unterstützung durch die IT-Abteilung statt, sondern ist ausschließlich in Abteilungen für kleine Personengruppen angedacht. Häufig werden die Systeme durch die Fachabteilung initiiert, weshalb sie weder mit der technischen noch mit der organisatorischen Struktur des Unternehmens verknüpft werden.
Werden für das offizielle IT-System durch die IT-Abteilung zahlreiche Maßnahmen zum Schutz von sensiblen Informationen, wie Betriebsgeheimnissen und personenbezogenen Daten, umgesetzt, so kann in den meisten Fällen davon ausgegangen werden, dass Fachabteilungen diesen Schutz nicht gewährleisten können.
Gründe für die Schatten-IT
Gründe für die Schatten-IT sind in den seltensten Fällen Böswilligkeit der Mitarbeiter, sondern eher der Versuch, sich oder der IT-Abteilung, die Arbeit zu erleichtern oder abzunehmen. Zudem führt die technische Entwicklung dazu, dass die meisten Mitarbeiter über Smartphones, Tablets und Laptops verfügen. Das Arbeiten mit diesen mobilen Endgeräten ist für Mitarbeiter so selbstverständlich, dass sie sich über einzelne Risiken gar nicht bewusst sind. Ein in der Praxis häufig auftretendes Beispiel, insbesondere in kleinen und mittleren Unternehmen (KMU) oder Körperschaften, ist das Einrichten des dienstlichen E-Mail-Postfachs auf dem privaten Smartphone.
Neben der Selbstverständlichkeit nimmt zudem das technische Know-How der Mitarbeiter zu. Dies kann wiederum dazu führen, dass sie ihre Fähigkeiten überschätzen und ohne die IT-Abteilung zurechtkommen möchten.
Des Weiteren bieten sich den Mitarbeitern, durch die stetig fortschreitende technische Entwicklung und sinkende Preise, viel mehr Möglichkeiten als dies in der Vergangenheit der Fall war. Möchten Sie miteinander kommunizieren, so weichen sie vom Telefonieren auf Instant Messenger, wie zum Beispiel WhatsApp oder Skype aus. Sollen Dokumente geteilt werden, so werden diese nicht mehr per verschlüsselter E-Mail versendet, sondern kurzerhand in Dropbox-Ordner gestellt. Kaum ein Mitarbeiter macht sich darüber Gedanken, dass er dabei gegen Rechtsgrundlagen -insbesondere des Datenschutzes- [z. B. das Bundesdatenschutzgesetz (BDSG)] verstößt.
Weitere Gründe für Ambitionen zur Schatten-IT können oftmals lange Reaktions- und Antwortzeiten der IT-Abteilungen, die auf zahlreiche Faktoren, wie die räumliche Trennung zwischen IT- und der jeweiligen Fachabteilungen, sowie die teilweise personell schwach besetzte IT zurückzuführen sind, sein. Dies und das Unverständnis vieler Mitarbeiter, wenn die IT-Abteilung oder übergeordnete Entscheidungsträger, Hard- oder Software aus Risiko- oder Budgetgründen ablehnen, sind Ursachen für das Ausweichen, z. B. auf „eigene“ Cloud-Lösungen. Das Nutzen externer IT-Infrastruktur ist jedoch kritisch zu betrachten, da weder die Sicherheit noch der Schutz der Daten gewährleistet werden kann. Es ist nicht grundlos so, dass die IT-Abteilung eine gewisse Zeit benötigt, um ggf. nach Rücksprache mit beratenden Funktionen oder Entscheidungsträgern Umsetzungen sicher zu veranlassen.
Risiken der Schatten-IT
Die Höhe und Häufung der Risiken hängt grundsätzlich von der Ausprägung der IT-Infrastruktur der Fachabteilungen ab, jedoch sollen im Folgenden einige Risiken und Probleme benannt werden, die in diesem Zusammenhang auftreten könnten.
Ein Beispiel für die Auswirkungen der Schatten-IT ist der Einsatz privater Hardware zu dienstlichen Zwecken. Verwenden Mitarbeiter ihre privaten Endgeräte und anderes als bei gewünschtem Bring Your Own Device (BYOD), ohne Kenntnis der IT sowie der Geschäftsleitung, wird man regelmäßig mit Problemen, wie einer unzureichenden Verschlüsselung, konfrontiert. Ist die private Hardware nicht verschlüsselt, so können bei Verlust Informationen durch Unbefugte eingesehen werden. Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.
Die Vermischung privater und dienstlicher Daten durch die Nutzung privater Geräte ist ebenfalls problematisch, da der Arbeitgeber kein Recht hat, auf die privaten Geräte zuzugreifen und insbesondere, bei Ausscheiden des Mitarbeiters nicht kontrolliert werden darf, ob alle dienstlichen Informationen entfernt wurden. In der Praxis führt dies unweigerlich dazu, dass über die Zeit gesehen und unweigerlich immer mehr und mehr Informationen unkontrollierbar außerhalb des Unternehmens bekannt sind oder dies zumindest werden können. Es werden somit zumindest einige kleinere und mittlere „Zeitbomben“ geschaffen.
Die Datensicherung, die Archivierung von E-Mails, der Schutz vor Malware oder Urheberrechtsverletzungen stellen weitere Risiken für ein Unternehmen dar. Bringt der Mitarbeiter private Geräte -ohne Kenntnis der IT-Abteilung- in ein Unternehmen ein, so sorgt er z. B. eigenständig für die für die Sicherung der Daten und den Schutz vor Malware. Ein Mitarbeiter verfügt jedoch in den meisten Fällen nicht über die technischen Kenntnisse einer IT-Abteilung, weshalb der Schutz der Informationen nicht oder nur teilweise gewährleistet werden kann. Dieses eigenverantwortliche Handeln der Mitarbeiter bereitet neben der IT-Abteilung vor allem der Geschäftsleitung Bauchschmerzen, da diese letztens verantwortliche Stelle bleibt. Gleiches gilt auch für Urheberrechtsverletzungen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen / arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen.
Aber auch das eigenständige Beschaffen dienstlicher Hardware und Software sorgt für einen Wildwuchs, der kaum zu überblicken ist, wodurch die Anforderungen aus der Anlage zu § 9 Satz 1 BDSG nicht bzw. nur teilweise erfüllt werden können. Zudem ist die Abstimmung untereinander aufwendiger und die doppelte Implementierung der IT-Lösungen verursacht hohe Kosten.
Neben den möglichen Verletzungen der Archivierungspflichten, dem Urheberrecht oder den nicht erfüllten Anforderungen des Bundesdatenschutzgesetzes bzw. perspektivisch der EU-Datenschutz-Grundversordnung (DSGVO), häufen sich Probleme durch den Einsatz von Cloud-Computing. Personenbezogene Daten werden beispielsweise unkontrollierbar in die Dropbox geladen. Dabei handelt es sich bereits um eine Datenübermittlung in die USA, für die man keine Einwilligung des Betroffenen und i. d. R. keine andere Legitimation hat und somit gegen geltendes Datenschutzrecht verstößt.
Fazit zur Schatten-IT
Sicherlich bringt die Verwendung privater Geräte, der Einsatz von Cloud-Computing oder das selbstständige Beschaffen von Hard-und Software, insbesondere für den Mitarbeiter, eine Vielzahl an Vorteilen. Er ist viel flexibler und kann Hardware, sowie Software nutzen, die ihm von der Handhabung besser gefällt. Die Einsparungen für die Hardware können zunächst auch aus Sicht der Geschäftsleitung von Vorteil sein, jedoch sollte dies in einer kontrollierten Form, wie Bring Your Own Device (BYOD) mit einer Mobilgeräteverwaltung, einem sogenannten Mobile-Device-Management (MDM), eingebracht werden. Auch Cloud-Dienste können für alle Seiten viele Vorteile mit sich bringen. Übergehen Sie vor dem Einsatz allerdings nicht die IT und sonstige weitere Entscheidungsträger sowie die Geschäftsleitung. Alles in allem sollte das unkontrollierte Ansiedeln einer parallelen IT-Infrastruktur in einem Unternehmen unterbunden werden, da es viele Risiken mit sich bringt und insbesondere für die IT-Abteilung einen großen Mehraufwand bewirken kann.