Heute bringt fast jeder Mitarbeiter eigene Geräte – meist ohne Genehmigung – ins Unternehmen. Dazu zählen Smartphones, Tabletts, Notebooks usw. Meistens nutzen diese Geräte die vorhandene Unternehmensinfrastruktur, indem sie sich des Firmennetzes bedienen. Darüber hinaus werden nicht nur auf den von den Mitarbeitern mitgebrachten Geräten fremde Programme genutzt, sondern auch lokal auf den Firmenrechnern. Das stellt für IT-Abteilungen ein enormes Problem dar, denn was offiziell nicht vorhanden ist, kann weder verwaltet, noch überwacht werden.
Allein mit dem normalen Betrieb und die Pflege der IT-Infrastruktur haben die IT-Abteilungen genug zu tun – und nun müssen diese sich zunehmend mit der sogenannten Schatten-IT auseinandersetzen. Das Modewort „BYOD“ (Bring Your Own Device – zu Deutsch: Bringe dein eigenes Gerät mit) macht dabei die Runde.
Was ist „BYOD“?
Das ist die Bezeichnung dafür, private mobile Endgeräte wie Laptops, Tablets oder Smartphones in die Netzwerke von Unternehmen, Schulen, Universitäten und anderen Institutionen zu integrieren.
Risiken
BYOD stellt ein hohes Risiko dar, denn es führt zu einem unkontrollierten Wildwuchs in der IT-Landschaft eines Unternehmens, der ohne geeignete Maßnahmen der IT-Verantwortlichen den Unternehmen verborgen bleibt. Dieser Wildwuchs ist für IT Abteilungen ein wahrhaftiges Schattengewächs, das mit dem Schlagwort „Schatten-IT“ belegt wird. Darunter fällt der Einsatz ungenehmigter IT-Produkte und Dienste: Der Informatikprofessor der Hochschule Konstanz, Christopher Rentrop, drückte das in einem Fachvortrag folgendermaßen aus: »Schatten-IT sind alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT-Service-Management (ITSM) betrieben werden.«
Mit BYOD steigt die Komplexität und damit der Betriebsaufwand der IT-Infrastruktur im Unternehmen und führt zu erhöhten Sicherheitsrisiken.
Das Phänomen ist nicht neu – BYOD hat in Unternehmen verstärkt Einzug gehalten und es wurde in vielen Unternehmen in gewisser Weise legitimiert. Die selbst mitgebrachten Geräte sind primär nicht das eigentliche Problem, denn viele Netzwerkmanagement-Tools können diese identifizieren. Allerdings gestaltet sich die Kontrolle von Social-Media-Plattformen und cloud-basierten Anwendungen extrem schwierig. Über Facebook oder Dropbox können Mitarbeiter zum Beispiel unbeobachtet Dokumente versenden oder veröffentlichen. Ein wahres Horror-Szenario!
Wenn Software und Dienste, die nicht freigegeben sind, die weder überschaubar, noch verwalterbar und demnach auch nicht zu eliminieren sind, verstärkt im Unternehmen zum Einsatz kommt, entsteht ein großes Problem: Netzwerke werden verlangsamt, Bandbreite wird vergeudet, die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft (Compliance) werden extrem erschwert. Das alles erhöht die finanzielle und personelle Last für die IT-Abteilungen. – Laut einer Studie von PwC geht die Hälfte der IT-Manager davon aus, dass 50 Prozent ihres Budgets für das Verwalten von Schatten-IT dahinschmilzt.
Transparenz in den IT-Abteilungen ist daher eines der primären Ziele, um die Schatten-IT in den Griff zu bekommen. Ein erster und notwendiger Schritt ist die Offenlegung der von den Mitarbeitern mitgebrachten Geräte und auf den Arbeitsstationen installierten Applikationen.
Der Beschaffungsprozess krankt
Warum werden Geräte, Dienstleitungen und Software ohne Zuhilfenahme der eigenen IT-Abteilungen überhaupt beschafft? Die Antwort auf diese Frage kann nach mehreren Studien und Befragungen dreigeteilt werden:
- Die unternehmensinterne IT ist zu schwach in der Umsetzung und demnach träge
- Für den Betrieb und die Bereitstellung bestimmter Geräte, Diente und Applikationen fehlt der unternehmensinternen IT die nötige Kompetenz.
- Die unternehmensinterne IT ist schlicht und einfach zu teuer und komplex.
Der Chefanalyst von Gartner Peter Sondergaard prognostizierte bereits 2012 in seiner Eröffnungsrede zum Gartner-IT-Symposium in Orlando, dass im Jahr 2020 nicht weniger als 90 Prozent der IT-Budgets außerhalb der IT kontrolliert werden. Und auch Forrester stellt die Vermutung auf, dass dann die zentrale IT-Abteilung vielerorts bereits obsolet sein könnte. Somit stellt die Schatten-IT eine geradezu existenzielle Bedrohung für die IT-Abteilungen dar. Könnte aber nicht genau dieser Trend eine große Chance darstellen?
Die an die IT gerichteten Vorwürfe, die im Zusammenhang mit Schatten-IT im Raum stehen, sollten die Unternehmen und insbesondere deren IT-Abteilungen sehr ernst nehmen. Einer der wesentlichen Gründe, warum die Schatten-IT so blüht, liegt darin begründet, dass die IT-Beschaffungsprozesse zurzeit in den meisten Unternehmen kränkeln. Es sind gerade diese trägen und schweren Prozesse, die seit über 25 Jahren praktiziert werden, die diesen Schatten werfen. Sie müssen überdacht und neu ausgerichtet werden. Unternehmen sollten die Bedürfnisse ihre Mitarbeiter genau im Blick haben und überlegen, welche Anschaffungen und Vorgehensweisen es braucht, um die Mitarbeiter effizienter, effektiver und letztlich auch zufriedener zu machen.
Mitarbeitern zuhören und danach handeln
Die IT-Verantwortlichen müssen die Schatten-IT erkennen, einkreisen und einfangen. Diese sollten als Ziel haben, konstruktiv mit den Mitarbeitern zusammen zu arbeiten und entsprechende Lösungen zusammen zu entwickeln. Dazu müssen die IT-Abteilungen den Mitarbeitern genau zuhören. Der Prozess bzw. die Erscheinung, dass elektronische Endgeräte wie beispielsweise Smartphones, Tablet-PCs usw. von Arbeitnehmern auch für ihre Erwerbsarbeit benutzt werden (Consumerization of IT) muss als Chance begriffen werden, bevor die Risiken eingedämmt werden können – in der Regel wollen Mitarbeiter die IT-Verwaltung nicht vorsätzlich umgehen, sondern sie haben meist den Wunsch, ein aktuelles und womöglich akutes Problem schnell und effizient zu lösen.
Mitarbeiter sind im privaten Umfeld den Komfort gewohnt, sich mit den unterschiedlichsten Applikationen und Cloud-Anwendungen das Leben zu vereinfachen. Aus deren Sicht stellt sich die Frage, aus welchem Grund sollen sie dann im Business darauf verzichten?
Für Mitarbeiter ist es ganz selbstverständlich und mit viel weniger Aufwand, einfach eine preisgünstige cloud-basierte Lösung aus dem Netz zu nutzen, als lange und zähe IT-Beschaffungsprozesse anzustoßen, welche möglicherweise sogar im Sande verlaufen oder das eigentliche Kernproblem nicht lösen. Das begründet auch die große Beliebtheit von Diensten wie u. a. Dropbox oder OneDrive in Unternehmen. Das E-Mail-System ist z. B. für große Anhänge ungeeignet: Der Mitarbeiter speichert ein Dokument auf Dropbox und sendet dem Empfänger lediglich einen Link darauf – schon ist die Sache vom Tisch und er kann sich anderen Aufgaben widmen.
Mit den Mitarbeitern kooperieren
Als IT-Verantwortlicher sollte man in diesen Situationen die Kooperation mit dem Mitarbeiter suchen, anstelle ihn an den Pranger zu stellen. Die Auswirkungen der Schatten-IT können durch die nachstehend aufgeführten Schritte abgemildert und die Zusammenarbeit mit den Mitarbeitern gefördert werden:
- Einführung von Netzwerkverwaltungswerkzeugen die in der Lage sind, nicht autorisierte Applikationen anzuzeigen, bevor diese Probleme verursachen. Als Beispiel dafür sei ein Flow-Monitor genannt, der u. v. a. einen detaillierten Überblick darüber bietet, wie und von wem Netzwerkbandbreite und -kapazität genutzt werden. Darüber hinaus wird nicht nur die Gesamtauslastung des LAN, WAN, bestimmter Geräte oder Schnittstellen angezeigt, sondern es wird auch deutlich, welche Benutzer, Anwendungen und Protokolle die Bandbreite verbrauchen.
- Durch Monitoring können problematische Geräte sofort entdecken werden. Wer hat Zugriff auf welche Ressourcen und über welches Gerät?
- Die Bandbreitennutzung des Netzwerks muss transparent sein. Der IT-Verantwortliche muss einen Überblick haben, an welchen Stellen und in welchen Situationen Nutzer, Geräte und Anwendungen die Netzwerkkapazität an ihre Grenze bringen könnten.
- Ursachen von Ausfällen bzw. Verlangsamungen im Netzwerk müssen schneller identifiziert und gelöst werden.
- Die IT-Infrastruktur sollte über einfache und effiziente Tools zum Datenaustausch verfügen, um dem Einsatz von unkontrollierbaren Cloud-Diensten vorzubeugen, welche die Datensicherheit gefährden.
Eine zentrale Bedeutung hat die Verbesserung des Arbeitsalltags für den Mitarbeiter. So hat beispielsweise ein Vertriebsmitarbeiter eines mittelständischen Unternehmers eigenständig eine kleine Applikation zur automatischen Verteilung von aktualisierten Preislisten an seine Geschäftspartner heruntergeladen, installiert und angepasst. Es ist ein sinnvolles kleines Tool, das er ohne lästige Freigabeprozesse und Abstimmungen mit seiner IT-Abteilung aufgesetzt hat. Als seine Vorgesetzten darauf aufmerksam wurden, hoben sie diesen Einsatz positiv hervor. Die IT-Abteilung suchte daraufhin das Gespräch und nahm letzten Endes die Applikation unter ihre Kontrolle in die IT-Landschaft des Unternehmens auf. Nun wird diese Applikation durch eine Monitoring-Lösung überwacht, die sofort Alarm schlägt, falls bei der Lösung ein Problem auftreten sollte.
Natürlich heißt das noch lange nicht, dass jeder Mitarbeiter nach Belieben im Unternehmen Applikationen installieren oder Fremdgeräte betreiben darf. Selbstverständlich müssen die Sicherheitsrichtlinien des Unternehmens eingehalten werden. Sollte dies aber in Einzelfällen nicht der Fall sein, sollte man die Ursache analysieren und erst dann entsprechenden Maßnahmen einleiten.
Es ist daher sehr wichtig, in regelmäßigen Abständen die Belegschaft durch geeignete Schulungsmaßnahmen zu sensibilisieren. Je nach Sicherheitsansprüchen einer Firma kann es durchaus sein, dass ein gewisser Grad an IT-Selbständigkeit toleriert wird, in anderen Fällen kann das aber die Wettbewerbsfähigkeit des Unternehmens gefährden.
Beim Thema BYOD muss noch bedacht werden, dass brisante Unternehmensinformationen die Grenzen des Unternehmens sehr schnell und unbemerkt von Monitoring-Tools verlassen können. Stellen Sie sich einfach vor, Rezepturen, Pläne, Bauanleitungen, Aufträge, Protokolle usw. werden mit dem Smartphone abfotografiert, die Aufnahmen nicht über das Firmennetz, sondern direkt über das Smartphone verschickt und im Anschluss diese vom Smartphone gelöscht. Zu keiner Zeit bestand eine Verbindung zwischen BYOD und Firmennetz und somit keine Möglichkeit, so einen bösartigen Angriff zu entdecken.
Spätestens an dieser Stelle ist die IT-Abteilung größtenteils machtlos, denn hier greift nur selten die Technik, sondern es müssen andere Regelungen auf einer ganz anderen Ebene getroffen werden.
Unsere Aufgabe ist, diese Schwachstellen zu erkennen und zu analysieren, um zusammen mit Ihrer IT geeignete Lösungen zu entwickeln. Dazu zählen Technik, Prozessoptimierung, Schulungen und die gesetzlichen Rahmenbedingungen, die mancher technischen oder organisatorischen Lösung einen Riegel vorschieben.
Nehmen Sie Kontakt mit uns auf, wenn Sie mehr darüber erfahren wollen oder Hilfe benötigen.