KMUSEC Logo
Suche
Close this search box.

Schatten-IT: Was verbirgt sich dahinter und welche Risiken birgt sie?

„Schatten-IT“ bedeutet die Nutzung unautorisierter Software oder Dienste ohne Wissen der IT-Abteilung. Dies geschieht, wenn Mitarbeiter nicht genehmigte Tools verwenden oder genehmigte Tools über private Konten nutzen. Dies birgt erhebliche Risiken wie Datenschutzverletzungen und Cyberangriffe und erschwert es der IT-Abteilung, Sicherheitsmaßnahmen durchzusetzen. Schatten-IT verursacht dadurch höhere Kosten und erhöht das Risiko für Ihr Unternehmen.

Warum machen Mitarbeiter das?

Warum machen Mitarbeiter das?

Mitarbeiter greifen oft auf Schatten-IT zurück, weil sie schnellere und einfachere Lösungen für ihre täglichen Aufgaben suchen. Offizielle IT-Prozesse können umständlich oder zeitaufwendig sein, was den Arbeitsfluss behindert.

  • Oft sehen Mitarbeiter nicht die unmittelbaren Risiken der Nutzung unautorisierter Software.
  • Häufig finden sie, dass bestimmte Tools besser ihren Bedürfnissen entsprechen oder flexibler sind als die offiziellen Alternativen. Diese Eigeninitiative ist meist gut gemeint, kann aber ungewollt Sicherheitslücken schaffen und Risiken für das Unternehmen erhöhen.

Es besteht auch die Möglichkeit, dass Mitarbeiter absichtlich nicht zugelassene Tools aus böswilliger Absicht nutzen um:

  • Daten zu stehlen
  • auf vertrauliche Daten zuzugreifen
  • Löcher in der IT Sicherheit zu finden oder zu öffnen

Warum ist Schatten-IT ein Risiko für dein Unternehmen?

Schatten-IT stellt ein erhebliches Risiko für Unternehmen dar, da sie unkontrolliert und ungesichert ist. Diese unautorisierte Nutzung von Software und Diensten kann zu Sicherheitslücken führen, da IT-Abteilungen keine Kontrolle über die verwendeten Tools haben und somit keine Sicherheitsvorkehrungen treffen können.

Die Probleme sind vielfältig und Cyberrisiken können entstehen durch:

  • Fehlende Updates und Patches von Schatten-IT
  • (unbeabsichtigtes) Installieren von Malware (z.B. bei Spielen durch Cracks und Cheating-Tools)
  • Beabsichtigtes Installieren von Malware oder Hackertools

Kosten können entstehen durch:

  • Einen Cybervorfall, der durch Schatten-IT hervorgerufen wurde
  • Unklarer Überblick über Lizenzen
  • DSGVO Verstöße durch Nutzung von Software

Zudem können Schatten-IT-Anwendungen nicht den Compliance-Vorschriften entsprechen, was rechtliche Konsequenzen nach sich ziehen kann.

Schatten-IT am Beispiel ChatGPT

Angenommen, Ihre IT-Abteilung hat keine Genehmigung zur Nutzung dieses Tools erteilt. Mitarbeiter könnten ChatGPT dennoch verwenden, um Aufgaben wie das Verfassen von E-Mails, das Erstellen von Berichten oder das Generieren von Ideen zu beschleunigen. Obwohl dies ihre Produktivität steigern kann, birgt es erhebliche Risiken.

Daten, die in ChatGPT eingegeben werden, könnten außerhalb der Unternehmenssicherheit verarbeitet und gespeichert werden, was zu Datenschutzverletzungen führen kann.

Schatten-IT am Beispiel privater Cloud-Speicherdienste

Mitarbeiter verwenden persönliche Dropbox- oder Google Drive-Konten, um Unternehmensdokumente zu speichern und zu teilen, obwohl das Unternehmen OneDrive vorschreibt.

Diese Praxis kann sensible Unternehmensdaten gefährden, da persönliche Cloud-Konten nicht die gleiche Sicherheitsstufe bieten wie unternehmensverwaltete Systeme. Daten können leichter kompromittiert werden, und die IT-Abteilung hat keine Möglichkeit, den Zugriff auf diese Daten zu kontrollieren oder nachzuverfolgen, was zu erheblichen Sicherheits- und Compliance-Risiken führt.

Schatten-IT am Beispiel WhatsApp

Mitarbeiter nutzen WhatsApp, Signal oder Telegram für die interne Kommunikation, obwohl das Unternehmen Microsoft Teams als offizielles Kommunikationsmittel festgelegt hat.

Diese Anwendungen sind möglicherweise nicht so sicher und können zu Datenlecks führen, da die IT-Abteilung keine Kontrolle über die Kommunikationswege hat.

Weiterführende Links

KI Guidelines für KMU – damit KI nicht Teil deiner Schatten IT wird


Artikel teilen!

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?