Umfrage der Cloud Security Alliance

Nur 8 von 100 Unternehmen kennen ihre Schatten-IT

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Schatten-IT ist ein Problem für viele Unternehmen - einige wenige wissen aber zumindest, dass sie überhaupt welche haben.

Wie die Cloud Security Alliance (CSA) in einer Umfrage unter mehr als 200 IT- und Sicherheitsverantwortlichen weltweit herausfand, haben gerade einmal acht Prozent der befragten Unternehmen eine Ahnung, wieviel Schatten-ITSchatten-IT sie tatsächlich innerhalb ihrer Netze "beherbergen". "Das niedrige Bewusstsein für Schatten-IT war keine Überraschung", kommentiert Jim Reavis, CEO der Cloud Security Alliance das Ergebnis der Umfrage. So stelle die CSA immer wieder fest, dass Unternehmen die interne Nutzung von Cloud-Services um den Faktor Acht unterschätzten - weder Mitarbeiter noch Vorstände wüssten zu jeder Zeit, ob sie nun einen internen oder einen externen Service verwendeten. Zudem verstehe jeder etwas anderes unter dem Begriff "Cloud", erzählt Reavis. Schatten-IT gelange so in die Unternehmen, ohne dass diese sie auch als solche wahrnehmen. Alles zu Schatten-IT auf CIO.de

"Wir haben alle jahrelang versucht, uns für die Cloud zu rüsten - es hapert aber nach wie vor häufig an der richtigen Ausbildung", sagt Reavis. "Wenn ich einen Dollar für jeden IT-Angestellten bekäme, der mir sagt, sein Unternehmen nutze keine Cloud-Dienste, liebe aber Salesforce, wäre ich ein reicher Mann." IT-Abteilungen verständen unter "Cloud" häufig eine bestimmte Form der Server-Virtualisierung oder die Nutzung von IaaS-Plattformen wie AmazonAmazon Web Services. Mitarbeiter außerhalb der IT verständen unter "Cloud" hingegen zumeist Software-Dienste wie Dropbox, GoogleGoogle Docs oder LinkedInLinkedIn. Alles zu Amazon auf CIO.de Alles zu Google auf CIO.de Alles zu LinkedIn auf CIO.de

Einfacher Start in die Cloud

Neben dem Verständnis, was nun "Cloud" ist und was nicht, geht es auch um die einfache Beschaffung von Cloud-Diensten. Mitarbeiter können leicht entsprechende Services aufsetzen, ohne die IT einschalten zu müssen. "Einzig durch die Überwachung der ausgehenden Verbindungen können Sie solche versteckten Cloud-Services als IT-Abteilung überhaupt aufspüren", sagt Reavis. Er führt aus, was in solch einem Fall zu tun ist: "Sobald jemand sein eigenes Gerät für diese Dienste nutzt - beispielsweise das private Smartphone -, können Sie aber nicht einmal mehr das. Sie müssen mit den Mitarbeitern sprechen und die Ausgaben der einzelnen Abteilungen im Blick behalten."

Der Konflikt zwischen Fach- und IT-Abteilung führt schnell zu Spannungen. "Wir erwarten, dass die IT eine Governance-Rolle einnimmt und sicherstellt, dass alle Nutzer Technologie so einsetzen, dass sie bei der Lösung von Business-Aufgaben hilft", meint der CSA-Chef. Darüber hinaus werde im Allgemeinen erwartet, dass regulatorische Vorschriften sowie der Kundendatenschutz eingehalten würden. Versteht die IT-Abteilung diese ihr zugedachten Aufgaben nicht, beginnen die Probleme. "Einzelne Mitarbeiter innerhalb des Unternehmens sind de facto ihr eigener Administrator, ihr eigener CIO - und das führt zu Problemen", so Reavis.

Security wird Kerngeschäft

Gerade im Cloud-Umfeld verstehen die Unternehmen aber zunehmend, dass Security und Governance wichtig und entscheidend sind. 72 Prozent der von der CSA befragten IT-Verantwortlichen haben beispielsweise ein großes Interesse daran, zu erfahren, wie stark Cloud-AppsCloud-Apps innerhalb ihrer Organisation genutzt werden. Neben der IT-Abteilung findet das Thema auch Gehör bei den Vorständen - hier zeigt sich ein stark vergrößertes Interesse, fast schon Sorge, am Thema Datensicherheit. In bereits 61 Prozent der befragten Unternehmen sind Vorstandsmitglieder heute direkt in Entscheidungen zum Thema Datensicherheit eingebunden. Alles zu Cloud Computing auf CIO.de

Besonders große Unternehmen mit mehr als 5000 Mitarbeitern kümmern sich intensive um Themen wie Cloud Governance oder Security Awareness, also Trainingsprogramme für die Belegschaft.