Mit dem Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) rückt die Schatten-IT verstärkt in den Blickpunkt. Gemeint sind IT-Lösungen, die die Mitarbeiter benutzen, ohne dass die IT-Abteilung ihren Einsatz genehmigt und sie unter ihrer Kontrolle hat. Besonders beliebt, weil unmittelbar verfügbar und einfach zu bedienen, sind cloud-basierte Anwendungen wie Synchronisations-, Kommunikations- oder File-Sharing-Tools. Gegeben hat es Schatten-IT schon immer; zum Massenphänomen hat sie sich entwickelt, seit Arbeitnehmer nicht nur mobile Geräte wie Smartphones und Tablets von zuhause mitbringen, sondern auch Dienste und Tools aus dem privaten Umfeld im beruflichen Alltag von ihren Unternehmens-PCs aus einsetzen.
Den meisten Mitarbeitern ist allerdings nicht klar, in welche Schwierigkeiten sie ihr Unternehmen damit bringen können. Schwachstellen in den Anwendungen können zum Einfallstor für Angriffe von außen werden: Lösungen, an deren Beschaffung die IT nicht mitwirkt und von deren Benutzung im Unternehmen sie nichts weiß, kann die IT nicht im Hinblick auf ihre Sicherheit bewerten; sie kann die Mitarbeiter nicht über Risiken informieren, die mit der Benutzung verbunden sind, und etwaige Schwachstellen nicht patchen. Sie kann also einer ihrer wichtigsten Aufgaben, nämlich die Infrastruktur von Cyberangriffen zu schützen, nicht nachkommen.
Vor allem aber unterwandert die Schatten-IT sämtliche Bestrebungen im Rahmen des Datenschutzes und des Schutzes sensibler Firmendaten. Die IT-Abteilung kann nicht überwachen, welche Daten wohin transferiert werden, wer darauf Zugriff hat und sie auf welches Endgerät herunterlädt. Wenn aber über Lösungen der Schatten-IT datenschutz-relevante Daten verloren gehen, haftet das Unternehmen.
Um Datenverluste durch Schatten-IT zu unterbinden, stehen Aufklärung und die Sensibilisierung der Mitarbeiter für die Gefahren der eigenmächtigen Benutzung von Anwendungen an erster Stelle. Selbstverständlich können Sie den Zugriff auf die einschlägigen Cloud-Dienste auch einfach blockieren. Das wird nur so lange eine Lösung sein, bis die Mitarbeiter neue Tools gefunden haben, mit denen sie ihre Arbeitsabläufe geschmeidiger gestalten können. Weil innerhalb kürzester Zeit jede Menge neue Dienste auf den Markt kommen, können Sie dieses Wettrennen eher nur verlieren.
Sie können aber auch die von den Mitarbeitern favorisierten Tools gewissermaßen legalisieren, indem Sie ihnen vergleichbare unter der Regie der IT-Abteilung anbieten. Dann können Sie sicherstellen, dass die Lösungen gepflegt und die Dateien bei der Übermittlung verschlüsselt werden. Sie wissen, wer Zugriff auf den Masterkey hat und können den Datentransfer überwachen. Die Mitarbeiter nehmen die Anwendungen nur dann an, wenn sie ebenso komfortabel und einfach zu bedienen sind wie die, die sie an der IT vorbei benutzen. Sonst stehen Sie in Kürze wieder vor Wildwuchs und potenziellen Datenlecks.
Es ist nichts dagegen zu sagen, dass der Einkauf ein Kollaborationstool einsetzt, damit die Fachabteilungen ihren Bedarf an Klarsichthüllen und Klebezetteln in die Bestellliste eintragen können. Oder der Marketing-Mitarbeiter die neue Unternehmensbroschüre an seinen privaten Rechner schickt, um übers Wochenende Schreibfehler zu korrigieren. Sie dürften weder Betriebsgeheimnisse noch datenschutzrechtlich relevante Informationen enthalten. Aber Sie können nicht zulassen, dass dies mit Kundenlisten, Kontodaten, Vertragsentwürfen oder Konstruktionszeichnungen passiert. Möglicherweise sind Sie der Auffassung, dass diese Daten in der Cloud, auf einem fremden Server einfach nichts zu suchen haben.
Dann sollte das Problem zusätzlich von einem anderen Ansatzpunkt her angegangen werden. Stellen Sie den Mitarbeitern die Tools zur Verfügung, die ihnen die Arbeit erleichtern, und sorgen Sie dafür, dass sie nur die Dateien transferieren können, die sie transferieren dürfen. Das erreichen Sie mit einer Lösung für Data Loss Prevention, die die Datenübermittlung im Unternehmen inhaltsbasiert überwacht, und zwar auch dann, wenn die Mitarbeiter doch wieder auf eine nicht zugelassene Anwendung zurückgreifen sollten.