"Benutzerfreundlichkeit ist ein Sicherheitsfeature"
Schatten-IT gibt es laut einer Studie in mindestens vier von fünf Abteilungen. Daher kennt es fast jeder: Vertrauliche Unterlagen durch den Google-Übersetzer gejagt, große Dateien werden über unverschlüsselte Clouddienste an Kunden gesendet und exotische Dateiformate werden online konvertiert, um sie am Bürocomputer öffnen zu können. Täglich werden so ungewollt Datenschutzgesetze gebrochen und die Unternehmenssicherheit gefährdet. Warum sind solche Schatten-IT-Einsätze so beliebt und was können Unternehmen dagegen tun? Tresorits Head of Product und Mitgründer György Szilagyi, David Kelm von IT-Seal und Dr. Christian Zeyer von swisscleantech geben Antworten.
Schatten-IT ist seit langem ein Datenschutz- und Sicherheitsproblem: Mitarbeiter nutzen kostenlose und einfach zu installierende Programme für die Büroarbeit, ohne es mit der IT-Abteilung abzusprechen. Aber anders als bei der privaten Nutzung, tragen Unternehmen auch Verantwortung für die Daten ihrer Geschäftspartner, Kunden und Mitarbeiter. Laut einer Befragung von zur Verbreitung von Schatten-IT speichern trotzdem 4 von 5 Abteilungen Firmendateien auf kostenlosen Cloudspeicherdiensten ab, die von der IT-Abteilung nicht genehmigt wurden. Ein aktuelles Beispiel zeigt, dass die Sorge nicht unbegründet ist: Dropbox, einer der in dieser Befragung oft genannten Anbieter, war erst kürzlich wegen 68 Millionen gestohlenen Nutzerpasswörtern in den Schlagzeilen. Es ist anzunehmen, dass damit auch unzählige Unternehmen und Behörden betroffen sind, ohne dass es in den Organisationen bekannt ist.
Warum ist Schatten-IT so verbreitet?
Jeder kennt die Trampelpfade, die sich dort bilden, wo Gehwege zu Umwegen für die Fußgänger werden. Ein klassisches Beispiel zu den Folgen schlechter Ergonomie: Mit den Trampelpfaden brechen die Fußgänger zwar Regeln, aber kommen schneller zum Ziel. Auch IT-Abteilungen schießen bei der Implementierung sicherer Lösungen oft am praktischen Bedarf der Mitarbeiter vorbei.
„Daraus entsteht schnell ein Dilemma: Entweder werden bestehende Vorschriften streng durchgesetzt, sodass die Mitarbeiter unproduktiv und unzufrieden werden – oder die Verbote werden umgangen“, erklärt David Kelm, Geschäftsführer des Startups IT-Seal, das die Sicherheitskultur in Unternehmen analysiert. „Es gibt da ein Beispiel aus den Anfängen unseres Unternehmens“, ergänzt György Szilagyi, Produktvorstand bei Tresorit. „Wir sind ein verschlüsselnder Cloudspeicher und wollten dementsprechend auch unsere eigenen geschäftlichen Mails mit dem PGP verschlüsseln. Aber es ist sehr umständlich und ließ sich nicht vernünftig einrichten. In solchen Momenten ist man frustriert und wird dazu verleitet, bequemere und weniger sichere Lösungen zu nutzen.“ Netzexperte Sascha Lobo nannte das kürzlich Digitale Ungeduld.
Usability-Experten wie unser Mitgründer Szilagyi wissen, dass es für den Nutzer wichtig ist, schnell, unkompliziert und ohne Unterbrechung ihre Aufgaben zu erledigen. „Die großen, auf Endkonsumenten ausgerichteten Anbieter sind deshalb so beliebt, weil sie sehr viel dafür tun, dass die Software intuitiv zu bedienen ist“, sagt Szilagyi. Studien zu den Ursachen von Schatten-IT geben ihm Recht: Einfache Konfiguration, Benutzerfreundlichkeit, kleine Budgets und Ineffizienz der verfügbaren Tools sind die am häufigsten genannten Motive für den heimlichen Einsatz unerlaubter Konsumentensoftware.
Schatten-IT ist die bequeme Abkürzung, wenn sichere IT zu umständlich ist.
Sicherheit hat geringe Priorität bei vielen Konsumentenanwendungen
Während bei den großen, auf Konsumentenfreundlichkeit spezialisierten Software-Riesen Fragen der Sicherheit oft als Nebenbaustelle gelten, übersehen reine B2B-Anbieter und IT-Abteilungen dagegen oft die Nutzerdimension, wenn sie die strengen Feature- und Sicherheitsvorgaben von Unternehmen abarbeiten. Dadurch geraten Mitarbeiter in eine Zwickmühle: Konsumentensoftware ist nicht sicher genug, Unternehmenssoftware oft zu kompliziert in der Nutzung: „Mitarbeiter haben an neuer EDV meistens wenig Freude. Es ist daher wichtig, dass alles nahtlos läuft. Sicherheit und Vertraulichkeit muss einfach sein“, findet Dr. Christian Zeyer, Co-Geschäftsführer des Schweizer Wirtschaftsverbands swisscleantech und nimmt damit auch die Anbieter von Unternehmenssoftware in die Pflicht. Wir bei Tresorit sehen das ähnlich. Sicherheitsmaßnahmen funktionieren am besten, wenn der Nutzer sie in den Arbeitsabläufen gar nicht bemerkt. Technisch ist das zwar oft mit wesentlich größerem Entwicklungsaufwand verbunden – aber durchaus möglich, wie viele verschlüsselte Tools der neuen Generation zeigen.
Unternehmen und Softwareanbieter müssen umdenken
Im Zentrum der Sicherheitskultur eines Unternehmens steht der Mensch. Und dem müsse man gerecht werden, erklärt Sicherheitsberater David Kelm. Dem sollten sich sowohl die Anbieter stellen, aber auch die Entscheidungsträger in Unternehmen, wenn sie Softwarelösungen auswählen. Ein guter Anfang ist es, vom bestehenden Bedarf auszugehen und intern zu evaluieren, ob die bereits eingesetzte Schatten-IT in der Business-Variante doch für einen offiziellen Einsatz geeignet ist. Wenn dem nicht so ist, gibt es am Markt meist ähnliche, aber sichere Alternativen, deren Benutzerfreundlichkeit man leicht aus den Bewertungen in den App-Stores ablesen kann. Auch auf die Verfügbarkeit der im Unternehmen gesprochenen Sprachen und von Mitarbeitern privat genutzten Betriebssystemen sollte geachtet werden. „Benutzerfreundlichkeit ist für mich ein eigenständiges Sicherheitsfeature, dass auf jede Beschaffungscheckliste gehört“, rät daher unser CPO György Szilagyi.