Der Kampf gegen die Schatten-IT und wie du ihn gewinnst

Mitarbeitende nutzen bei ihrer Arbeit meist eine grosse Vielfalt an Anwendungen, von Notizapplikationen wie Evernote bis hin zu File-Sharing-Apps wie Dropbox. Laut einer Umfrage von Stratecast geben 80% der Mitarbeitenden zu, SaaS-Anwendungen wie Google Drive am Arbeitsplatz zu nutzen, in vielen Fällen ohne IT-Zulassung.

Die Entscheidung der Mitarbeitenden, solche Schatten-IT im Arbeitsalltag einzusetzen, erscheint natürlich, da dieselben Anwendungen meist auch ausserhalb des Unternehmens verwendet werden. Doch dieser Einsatz von Applikationen, die vom Unternehmen nicht registriert sind, kann zu Problemen führen. Die strategische Einrichtung eines digitalen Arbeitsplatzes kann jedoch dabei helfen, die Risiken von Schatten-IT einzudämmen.

SaaS und Schatten-IT – noch mehr Buzzwords??

Um im Begriff-Salat für ein wenig Ordnung zu sorgen, hier ein kurzes Lexikon:

Software-as-Service-Applikationen: Neben Infrastructure as a Service (Iaas) und Platform as a Service (PaaS) zählt Software as a Service (SaaS) zu den verbreitetsten Formen des Cloud Computing. So können Nutzer über das Internet auf Angebote zugreifen, die von einem Service-Provider gehostet werden. Eine der beliebtesten SaaS -Applikationen im Business-Bereich ist bspw. Microsoft Office 365.

Cloud Computing: Die Idee von Cloud Computing besteht darin, die benötigten IT-Ressourcen über das Internet oder Intranet bedarfsgerecht bereitzustellen und nach dem tatsächlichen Verbrauch abzurechnen.

Schatten-IT: Alle Arten von Anwendungen, die ohne Wissen oder Autorisierung der IT-Abteilung innerhalb eines Unternehmens genutzt werden.

Schattenrisiken

Der Einsatz von Schatten-IT ist ein häufiges Problem. Das grösste Risiko stellt dabei die Gefährdung von Sicherheit und Compliance der Unternehmensdaten dar. Vielen Mitarbeitenden ist dies nicht bewusst, doch wenn Dokumente und Nachrichten mit sensiblen Inhalten über Whatsapp, Dropbox oder andere Kommunikationsanbieter ohne Zustimmung der unternehmenseigenen IT-Abteilung versendet werden, werden die Rechte an diesen Inhalten oftmals an Dritte weitergegeben. Da meist die IT-Abteilung für die Sicherheit und Compliance einer Unternehmung zuständig ist, sollten solche Anwendungen immer im Voraus durch sie verifiziert werden. Wird dieser Prozess nicht vollzogen, so kann die IT ihren Job nicht richtig machen.

Weiter kann es dazu kommen, dass Inhalte und Informationen, die in cloud-basierten Systemen abgespeichert werden, auch nach dem Austritt eines Mitarbeiters oder einer Mitarbeiterin weiterhin unbemerkt auf der Plattform vorhanden bleiben. Dies geschieht, weil bei solchen unautorisierten Systemen die Aufgabe der Datenverwaltung nicht geklärt ist und die IT-Abteilung somit keinen Zugriff auf die Daten hat. So können sensible Informationen in der Cloud gespeichert bleiben, die dem Unternehmen nicht bekannt sind.

Zudem werde Anwendungen ausserhalb der Zuständigkeit des IT-Teams möglicherweise nicht mit wesentlichen Richtlinien versehen (wie bspw. GDPR- oder Passwortformate). Dies macht ein Unternehmen anfällig für Datenschutzverletzungen.

Durch den Gebrauch verschiedener unbewilligter Anwendungen kann ausserdem der Überblick verloren gehen: Wo befindet sich nun welches Dokument? Ist dies wirklich die aktuellste Version meines PDFs? Habe ich die Nachricht an meine Arbeitskollegin nun über Whatsapp, per Mail oder Yammer gesendet? Wird der Datenaustausch nicht einheitlich gestaltet, so bricht Chaos aus und die Mitarbeitenden verlieren immer wieder Zeit auf der Suche nach Informationen, weil sie nicht mehr wissen, wo sie sie zuletzt abgelegt haben. Hierzu kommt, dass auch keine einheitliche Suchfunktion verwendet werden kann, da die Daten nicht an einer zentralen Schnittstelle gesammelt werden.

Die Gefahren in Kürze:

  • Sicherheit und Compliance der Unternehmensdaten kann nicht gewährleistet werden
  • Keine Datenverwaltung möglich, keine Kontrollinstanz
  • Hohe Anfälligkeit auf Datenschutzverletzungen
  • Keine zielorientierte Suche möglich, da keine zentrale Datensammlung
  • Chaos bricht und Kommunikation wie auch Zusammenarbeit werden ineffizient

Warum Schatten-IT magisch anzieht…

Es ist beinahe unmöglich, einen Endbenutzer vollständig daran zu hindern, nicht zugelassene Software zu verwenden. Für die IT-Abteilung ist es deshalb oft ein echter Kampf gegen die Schatten-IT.

Der sinnvollste und somit meist erfolgreichste Ansatz, um die Arbeitskolleginnen und -kollegen von solcher Software wegzubringen, ist es, ihr Verhalten positiv zu beeinflussen. Am nachhaltigsten kann dies folgendermassen erreicht werden: die Mitarbeitenden über die Risiken von Schatten-IT informieren und ihnen zeitgleich ein „offizielles“ Werkzeug bieten, das ihren Bedürfnissen am digitalen Arbeitsplatz entspricht. Anders gesagt: die Nutzer werden dann auf Schatten-IT verzichten, wenn die formale, autorisierte Alternative mindestens so gut, wenn nicht sogar besser ist als die bisher verwendete Schatten-Anwendung.

Dies ist eine Herausforderung, insbesondere dann, wenn das Unternehmen eine durchmischte Belegschaft und eine vielfältige Unternehmenskultur aufweist.

Um das Verhalten der Mitarbeiter positiv zu beeinflussen zu können, müssen wir also verstehen, warum Mitarbeiter Schatten-IT einsetzen. Typische Gründe sind:

  • Es sind keine Anwendungen vorhanden, um schnell und einfach mit Teammitgliedern und externen Personen kommunizieren zu können.
  • Der Prozess der Softwareinstallation ist zu komplex oder dauert zu lange.
  • Der momentane digitale Arbeitsplatz weist eine schlechte Nutzungserfahrung auf – wie z.B. verwirrende Schnittstellen oder langsames Laden von Seiten.
  • Wenn es für Mitarbeiter schwierig ist, auf bestimmte Inhalte, Dokumente oder Dienste auf einem mobilen Gerät (z.B. Smartphone) oder ausserhalb des Unternehmensnetzwerks zuzugreifen, suchen sie nach Alternativen. Diese alternativen Anwendungen sind dann nur selten unternehmenskonform.
  • Die zentrale IT-Governance bzw. die Verwaltung ist unklar.
  • Eine Person ist besonders an der Nutzung eines bestimmten Programms interessiert, das vom Unternehmen nicht angeboten wird.
  • Den Mitarbeitenden ist nicht bewusst, von der Verwendung nicht autorisierter Software abgeraten wird.

Das Heilmittel: ein starker digitalen Arbeitsplatz

Nutzer verfallen hauptsächlich dann der Schatten-IT, wenn der bestehende digitale Arbeitsplatz ihnen keine praktikablere oder bessere Alternative bietet. Oder sie nicht wissen, dass er dies tut bzw. die Tools nicht kennen (z.B. keine Einführung in die Nutzung / Best Practices erhalten haben).  Daher ist das wirksamste Mittel zur Bewältigung der Schatten-IT, ein überzeugender digitaler Arbeitsplatz. Doch woran wird dieser erkannt? Ein starker digitaler Arbeitsplatz sollte eine positive Mitarbeitererfahrung zu bieten haben, der den Benutzern Tools zur Verfügung stellt, die Folgendes ermöglichen:

  • Durch eine zentrale Suchfunktion findet man die gewünschten Inhalte ohne langes Suchen.
  • Die digitale interne Kommunikation verläuft schnell und einfach, ganz ohne Hürden.
  • Der Zugriff aufs Intranet ist von überall, zu jeder Zeit und von jedem Gerät aus möglich.
  • Die Aufgabe der Datenverwaltung ist klar geregelt.
  • Es bestehen Tools, welche eine effiziente Zusammenarbeit mit Teamkollegen/-kolleginnen und externen Personen ermöglichen.

Checkliste:

Beim Aufbauen eines neuen digitalen Arbeitsplatzes und dem zeitgleichen Versuch, die Verwendung von Schatten-IT zu reduzieren, gibt es Einiges zu berücksichtigen:

1. Schaffung einer klaren und soliden Governance

Eine robuste Governance ist der Kern eines starken digitalen Arbeitsplatzes. Für die Auseinandersetzung mit der Schatten-IT ist es unerlässlich, klare Richtlinien zu definieren, die festlegen, welche Arten von Software die IT-Abteilung autorisiert und warum. Ohne Klarheit darüber, was befugt bzw. unbefugt ist, ist es sehr schwierig, gezielt gegen die Problematik anzukämpfen.

Sobald diese Kriterien festgelegt sind, können geeignete Massnahmen zur Umsetzung ergriffen werden: bspw. das Blockieren unbefugter Programme auf den Arbeitsgeräten.

2. Zusammenarbeit mit Power Usern

Einige Menschen lieben es, neue Technologien auszuprobieren und sind Feuer und Flamme für jegliche moderne Tools. Diese Menschen werden Power User genannt. Indem du auf solche Personen in deinem Unternehmen zugehst und sie ermutigst, mit den neuen Firmen-Tools zu experimentieren, kannst du auf jeden Fall einige Mitstreiter und Mitstreiterinnen für dich gewinnen. Dies ist der einfachste und vermutlich effizienteste Weg, dir Unterstützung beim Kampf gegen die Schatten-IT zu holen. Schliesslich versüsst du so mit hoher Wahrscheinlichkeit den Arbeitsalltag der besagten Mitarbeitenden und gewinnst dadurch Verbündete dazu.

Ausserdem erhältst du von den enthusiastischen Anwendern auch gleich Feedback zu den Tools und kannst dieses allenfalls umsetzen. Mit ein wenig Glück werden die Power User durch ihr vorbildliches Verhalten (Nutzung verifizierter Anwendungen) und ihre Motivation ihre Arbeitskollegen und -kolleginnen anstecken. So wird die Nutzungsrate deiner Firmen-Tools schliesslich zunehmen und die Schatten-IT langsam, aber sicher von der Bildfläche verdrängen.

3. Bewusstsein für Cyberrisiken schaffen

Wie bereits erwähnt, solltest du dein Arbeitsumfeld über die Gefahren und Risiken unbefugter Software aufklären. Ansonsten wird es deinen Mitarbeitenden schwerfallen, ihr Verhalten zu ändern – sie sehen ja schliesslich auch keinen Grund dazu.

Wenn du dich dazu entscheidest, deine Mitarbeitenden über die Problematik der Schatten-IT zu informieren, verwendest du am besten Beispiele aus der eigenen Firma (welche Schatten-Anwendungen benutzt werden, welche Risiken dies konkret mit sich bringt, mögliche Lösungsansätze, etc.). Es kann auch nicht schaden, für dein Vorhaben noch gleich einen Senior Manager hinzuzuziehen, um dadurch die Bedeutung deiner Botschaft hervorzuheben.

4. Mit Unterstützung und Anleitung zum Ziel

Bei der Unterdrückung von Schatten-IT geht es darum, die Einführung der offiziellen, bevorzugten Tools voranzutreiben. Es gibt viele Möglichkeiten, dies zu erreichen, einschliesslich der Bereitstellung von Unterstützung und Beratung. Am besten geschieht dies direkt durch andere Mitarbeitende und Power User, die zuerst geschult werden, um schliesslich selbst die restlichen Mitarbeitenden mit an Bord zu holen.

Ferner kann die Nutzung der erwünschten Anwendungen auch gefördert werden, indem sie durch die Integration in das Firmen-Intranet stärker hervorgehoben werden.

5. Die Mitarbeitenden wählen lassen

Wir kennen das aus der Schule: nicht alle Menschen lernen gleich, es gibt unterschiedliche Lerntypen. So ist es auch in der Arbeitswelt: nicht alle Menschen arbeiten gerne auf dieselbe Art und Weise. Aufgrund dessen ist es sinnvoll, Tools zur Verfügung zu stellen, die ein breites Anwendungsspektrum aufweisen. Eine Lösung passt niemals für alle, doch eine flexible Implementation von Anwendungen in den digitalen Arbeitsplatz macht auf alle Fälle Sinn. So kann ein Tool nämlich relativ schnell ausgewechselt werden, falls es nicht der Firmenkultur entspricht.

Reduziere den Bedarf an Schatten!

Ist die Anwendung von Schatten-IT auch in deinem Unternehmen ein Problem? Schau nicht länger weg und hole dir jetzt professionelle Hilfe beim Bekämpfen deiner Schädlinge! Die Beetroot AG hat sich auf die Begleitung von Firmen auf dem Weg zur Digitalisierung der Arbeitsplätze spezialisiert. Gemeinsam mit unseren Kunden entwickeln wir Strategien und Konzepte für moderne und starke Digital Workplaces – und vertreiben so den Schatten.

Weiterempfehlen

Registrieren Sie sich hier für unseren Newsletter.

Beetroot AG  Luzernstrasse 1   6210 Sursee
Telefon +41 41 700 30 40   info@beetroot.ag