Shadow-IT in den Griff bekommen

Mann nutzt privates Handy im Handwerksbetrieb
Foto: Adobe Stock

Was versteht man unter Shadow IT?

Shadow IT bezeichnet die Nutzung von IT-Systemen, Software und Geräten, die ohne Wissen und Genehmigung der IT-Abteilung oder Geschäftsführung zum Einsatz kommen. Dies passiert häufig aus Bequemlichkeit oder Unwissenheit der Mitarbeitenden, die zum Beispiel schnell eine App für die Zeiterfassung herunterladen oder private Geräte für die Arbeit nutzen, ohne die damit verbundenen Risiken zu kennen.

Beispiele aus dem Handwerksalltag

Ein typisches Beispiel ist der Einsatz von Cloud-Diensten wie Dropbox oder Google Drive zur Speicherung und zum Austausch von Arbeitsdokumenten. Diese Dienste sind zwar praktisch, entsprechen aber oft nicht den Sicherheitsstandards des Unternehmens. Die Gefahr eines Datenlecks ist groß, etwa wenn Zugangsdaten nicht ausreichend geschützt sind oder Daten unverschlüsselt in der Cloud gespeichert werden.

Ein weiteres Beispiel sind private Smartphones, die Mitarbeitende nutzen, um Kundenanfragen zu beantworten oder Arbeitszeiten zu dokumentieren. Diese Geräte sind in der Regel nicht ins Sicherheitskonzept des Unternehmens integriert und stellen somit ein potenzielles Einfallstor für Cyberangriffe dar.

Warum ist Shadow IT ein Problem?

Shadow IT birgt zahlreiche Risiken. Zum einen erschwert sie die Einhaltung gesetzlicher Vorgaben wie der Datenschutz-Grundverordnung (DSGVO). Daten, die in nicht autorisierten Systemen verarbeitet werden, entziehen sich der Kontrolle des Unternehmens, was im Falle eines Verstoßes zu erheblichen Strafen führen kann.

Zum anderen entstehen Sicherheitslücken. Nicht genehmigte Software und Geräte werden oft nicht regelmäßig auf Sicherheitsupdates überprüft, was das Risiko erhöht, dass Schadsoftware unbemerkt ins Unternehmensnetzwerk eindringt. Zudem fehlt der IT-Abteilung die Übersicht über alle eingesetzten Systeme, was eine schnelle Reaktion auf Sicherheitsvorfälle erschwert.

Handlungsempfehlungen für Handwerksunternehmen

  • Mitarbeitende sensibilisieren: Ein Bewusstsein für die Gefahren von Shadow IT ist der erste Schritt zur Prävention. Schulen Sie Ihre Mitarbeitenden regelmäßig über die Risiken und die Bedeutung der Einhaltung von IT-Richtlinien.
  • Zentrale IT-Lösungen bereitstellen: Mitarbeitende greifen oft auf nicht genehmigte Tools zurück, weil keine passenden Alternativen zur Verfügung stehen. Stellen Sie benutzerfreundliche, sichere IT-Lösungen bereit, die die Bedürfnisse Ihrer Mitarbeitenden erfüllen.
  • Regelmäßige Kontrolle und Inventarisierung: Führen Sie regelmäßige Kontrollen durch, um nicht genehmigte Software und Geräte aufzuspüren. Eine aktuelle IT-Inventarliste hilft Ihnen, den Überblick zu behalten und Risiken frühzeitig zu erkennen.
  • Klare Richtlinien und Prozesse definieren: Erstellen Sie klare Richtlinien für den Einsatz von IT-Systemen und Geräten im Unternehmen. Diese sollten den Einsatz privater Geräte regeln und die Nutzung nicht freigegebener Software untersagen.
  • Mitarbeitende einbinden: Beziehen Sie Ihre Mitarbeitenden in die Auswahl und Implementierung von IT-Lösungen ein. Wenn die Belegschaft die bereitgestellten Tools als hilfreich empfindet, sinkt die Wahrscheinlichkeit, dass sie auf Schattenlösungen ausweicht.

Alexander Petto, Beauftragter für Innovation und Technologie mit Schwerpunkt Digitalisierung (DIGI-BIT) bei der Handwerkskammer des Saarlandes, rät: „Shadow IT ist eine unsichtbare Gefahr, die im Handwerksbetrieb leicht übersehen wird. Mit den richtigen Maßnahmen können Sie jedoch verhindern, dass diese unkontrollierte IT-Nutzung Ihr Unternehmen gefährdet. Setzen Sie auf Aufklärung, klare Prozesse und zentrale IT-Lösungen, um die Sicherheit und Effizienz in Ihrem Betrieb zu gewährleisten. Die beste IT-Infrastruktur ist nur so sicher wie ihre schwächste Stelle – und die könnte sich im Schatten verbergen.“


Ansprechpartner

Alexander Petto
Telefon 0681 5809-141
a.petto@hwk-saarland.de