Schatten-IT gestern und heute
IT-Sicherheit an erster Stelle
An vorderster Stelle steht somit die Sicherheit der ICT-Infrastruktur, die es physisch (durch bauliche Massnahmen) und logisch (durch vollständig überwachte und gesicherte Zugriffe) zu schützen gilt. Diesem Thema ist eine hohe Aufmerksamkeit zu widmen, was besonders in Fremdbranchen oft schwierig ist, da es IT-Security nicht umsonst gibt. Es gilt aber auch, die Mitarbeitenden zu sensibilisieren. Denn viele Mitarbeitende sind sich zudem nicht bewusst, was es bedeutet, über öffentliche Netzverbindungen auf einen Geschäftsrechner zuzugreifen.
Während der Corona-Pandemie erhielt dieses Thema aber eine grössere Bedeutung, weil die Mitarbeitenden nicht mehr aus der geschützten Umgebung Ihres Arbeitgebers, sondern von daheim auf Unternehmensserver zugriffen. Für Mitarbeitende der ICT-Branche ist dies selbstverständlich, für praktisch alle anderen Branchen jedoch nicht, wo andere Themen im Fokus stehen. Hier ist das Management gefordert, die Mitarbeitenden zu informieren und gezielt zu lenken, damit Super-GAUs ausbleiben.
Die Gefahr droht von innen
So müssen Mitarbeitende von Grossunternehmen in der Regel eine IT-Vereinbarung unterzeichnen, die genau vorgibt, was erlaubt und was sanktioniert oder sogar strafrechtlich verfolgt wird. Trotzdem stellt man immer wieder eine gewisse Naivität im Umgang mit IT-Mitteln des Arbeitgebers fest, was schnell zum Fiasko führen kann. Besonders in Grossfirmen gab es in den letzten 20 Jahren durchaus nicht selten ein böses Erwachen, wenn eine fristlose Kündigung fällig war. Dabei passiert es bisweilen, dass wichtige Daten aus Frust gelöscht oder manipuliert werden.
Zudem sind Fällen bekannt, bei denen Mitarbeitende z.B. Kundendaten bewusst an Dritte weiterverkauft (Firmenspionage) oder Patente und Eigenentwicklungen weitergaben – notabene gegen Bezahlung. Innovative Firmen mit vielen Neuentwicklungen stehen die Firmen besonders in der Gefahr, ihr Know-how oder Kunden an Mitbewerber zu verlieren. Davor schützen auch entsprechende Passagen in den Arbeitsverträgen oft nicht.
Das Cloud-Computing hat einen weiteren Puzzle-Stein in dieses komplexe Bild eingefügt. Während bis vor nicht allzu langer Zeit z.B. russische Privatfirmen ihre Daten gerne auf Schweizer Datenserver speicherten, scheint umgekehrt viele Schweizer Firmen der Speicherort ihrer wertvollen Daten nicht besonders zu interessieren, was naiv ist und fahrlässig sein kann.
Software Asset Management (SAM)
Ein Softwarelizenzmanagement (engl. Software Asset Management, SAM) umfasst alle notwendigen Prozesse und Infrastrukturen, um die Investitionen in Unternehmenssoftware in jeder Phase ihres Lebenszyklus zu planen, zu steuern und zu schützen. Die entsprechenden SAM-Tools unterstützen die Automatisierung von Aufgaben, etwa bei der Erstellung und Einhaltung von Lizenznutzungsrechten unabhängiger Softwareanbieter. Sie sind erkennen und vermindern Softwarerisiken und optimieren die Ausgaben für die Unternehmens-IT.
SAM-Tools bieten eine gründliche Analyse der Software-Assets, indem sie Software-Lizenzberechtigungen entschlüsseln, die Erfassung von Software-Verbrauchsdaten automatisieren, die effektiv erteilte SW-Lizenzen ermitteln sowie Update-Bedarf erkennen und steuern. Sie optimieren die gesamte Software-Bereitstellung und teilen Informationen mit anderen Tools und Interessengruppen.
Somit gewährleisten SAM-Tools die Compliance, senken die Software- und Lizenzierungskosten und vermindern die Komplexität des IT-Betriebes. Richtig eingesetzt vermindert SAM aber auch die Gefahr einer Schatten-IT, indem sie Anreize dafür vermindert und Hürden aufbaut, um sie überhaupt aufzubauen. Denn wenn jeder macht, was er will und alle machen mit, so kommt es am Ende nie gut.
Beispiele aus Forschung
Noch bis in die tiefen 1990er hinein waren die ICT-Strukturen weit weniger komplex und noch verständlicher. In der Forschung oder universitären Umgebungen war es oft üblich, dass die Mitarbeitenden ihre ICT neben Ihrem Job selbst aufbauten und unterhielten. Solange ein Budget vorhanden war und die Infrastruktur flüssig lief, bestand auch seitens des Managements kein Anlass zur Klage. Wenn eine SW fehlte, beschaffte und installierte man sie einfach selbst.
Dies hatte den Vorteil, dass jeder Mitarbeitende genau die HW und SW auf seinem Schreibtisch hatte, die er/sie auch benötigte – und dies ohne grossen Bestellkrieg oder zentrale Überwachung durch zentrale Stellen. So lag es nahe, selbst Lösungen zu erstellen und zu betreiben. Dies funktionierte jahrelang gut und fast alle waren zufrieden damit. Problematisch wurde es meistens dann, wenn elektronische Informationen untereinander ausgetauscht werden mussten.
Die neue «Unternehmenskultur»
Ab diesem Zeitpunkt wurde praktisch alles zentralisiert beschafft und vereinheitlicht, besonders in grösseren Firmen und Verwaltungen. Durch das stürmische Wachsen der Datenmengen wird es jedoch nicht gerade leichter, jederzeit den vollständigen Überblick zu behalten. Besonders in grösseren Firmen stehen die ICT-Verantwortlichen unter Erwartungs- und Kostendruck. In heutigen Grossfirmen mit anonymen Grossraumbüros kennen die Benutzer ihre ICT-Kollegen meist gar nicht, die bisweilen auf einer ganz anderen Flughöhe unterwegs sind als die Benutzer, fachlich wie sprachlich.
Das Frustpotential ist daher gross und der Wille zur Selbsthilfe ebenso. Wenn die IT das Erwartete oder das für die Arbeit Nötige nicht liefern kann, liegt es nahe, sich selbst zu helfen, also die gewünschte Applikation einfach und schnell aus der Cloud zu beziehen. Hier spricht man dann von Software-as-a-Service (SaaS). Dazu genügen neben einem gewissen IT-Know-how ein Budget sowie eine leistungsfähige Internetverbindung. Die zentrale IT-Abteilung weiss in der Regel nichts davon oder toleriert es sogar, um kein Spielverderber zu sein und nicht noch weiter ins Abseits zu geraten.
“Ein weiteres Risiko sind fehlende Backup-Konzepte Saas-basierte Systeme„
Rüdiger Sellin