Schatten-IT am Unternehmen vorbei

In meinen Schulungen zu Datenschutz und Datensicherheit weise ich Beschäftigte und Führungskräfte in einer der Grundregeln immer wieder darauf hin:

Nutze nie ohne Zustimmung des Unternehmens private Devices und Services für betriebliche Zwecke.

Das klingt simpel, wird aber oft schlichtweg aus Gründen der Verbesserung der eigenen Produktivität und Erleichterung von Arbeitsschritten ignoriert. Gefährlich wird es, wenn sich aus dem Handeln Einzelner eine Schatten-IT im Unternehmen bildet, beschrieben mit ihren Auswirkungen auf das IT-Service-Management im Detail im Beitrag „Schatten-IT ist Notwehr“ auf cio.de.

Ein praktisches Beispiel sind Dropbox und andere Cloud-Speicher-Dienste: Sofort zu installieren, Apps für alle mobilen Betriebssysteme verfügbar und im Notfall auch als Web-Anwendung einzusetzen erlaubt Dropbox dem Anwender, „mal eben schnell“ ein Dokument „mitzunehmen“. Damit aber landen ggf. auch vertrauliche oder Datenschutzgesetzen unterfallende sensible Daten und Informationen beim Anbieter, wenn nicht zugleich mit Boxcryptor oder Truecrypt gearbeitet wird. Deutlich reduzieren lässt sich der Wunsch nach derartigen Services etwa durch den Einsatz von Tools wie ownCloud, mit denen sich Unternehmen ihre eigene, sichere Dropbox ohne Fremdzugriff bauen können.

Rechtlich wird die Schatten-IT spätestens dann zum Problem, wenn deren Nutzung wegen eines Sicherheitsvorfalls auffliegt (Stichworte: Organisationsverschulden des Unternehmens, Informationspflichten bei Datenpannen nach z.B. § 42a BDSG) oder die existentiell gewordenen Dienste plötzlich nicht mehr laufen, etwa wegen eines Problems beim Dienstleisters, und dann eine Geschäftsfortführung mangels Einbindung der betroffenen Dienste in das unternehmensweite Risikomanagement und fehlender Service Level Agreements mit dem Dienstleister nicht möglich ist.

Ob sich mit den im cio.de-Beitrag vorgeschlagenen Lösungen (grob vereinfacht: agiles ITSM bindet Cloud-Dienste ein) das Problem der Schatten-IT in den Griff bekommen lässt, weiß ich nicht. Wahrscheinlich wird man die Nutzung von Parallelstrukturen außerhalb der Unternehmensherrschaft heute nicht mehr vollständig unterbinden können. Aber auch das wäre eine Erkenntnis, mit der man arbeiten und das Risikomanagement hierauf ausrichten kann.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>