Schatten-IT und die IT-Compliance

Als Schatten-IT werden IT-Systeme und Softwareprodukte bezeichnet, die durch die Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne Wissen des IT-Bereich verwendet werden. Insbesondere Software-as-a-Service-Produkte sind schnell und unkompliziert zu beschaffen, ohne Procurement, Datenschutz/Legal, SAM und die IT-Security miteinzubeziehen. Dazu kommen noch Gratisprodukte. Hier sind besonders die Free-Versionen der Messenger-Dienste, wie WhatsApp, Signal oder Telegram, beliebt. Weiterhin sind in der Produktentwicklung häufig Engineering-Tools, wie CAD-Programme, nicht immer durch SAM und IT-Security erfasst.

Schatten-IT birgt ein erhebliches Risikopotential in Bezug auf die IT-Compliance. Nachfolgend werden mögliche Risiken und Auswirkungen auf die Bereiche IT-Sicherheit, Lizenz-Compliance und Wirtschaftlichkeit sowie Datenschutz näher beleuchtet.

Für die IT-Sicherheit stellt die Nutzung von Schatten-IT ein großes Risiko dar. Von der Unternehmens-IT nicht abgesicherte Produkte können hierbei als Einfallstor für Hacker dienen. Die fehlende Einbindung der IT-Sicherheitsabteilung und die daraus resultierende Unwissenheit über die Nutzung bestimmter Produkte im Unternehmen kann zu schwerwiegenden Sicherheitsvorfällen, wie einer Ransomware-Attacke, aber auch zu unerwünschten Datenabfluss führen. Ein gutes Beispiel für letzteres ist hierbei die Nutzung von WeChat, einem in China sehr populären Messenger-Dienst, welcher mittlerweile auch für News, Shopping und Zahlungen verwendet wird. Neben den „Standart-Risiken“, wie die Ausnutzung von Sicherheitslücken durch Schadakteure, kommt hier noch die Komponente der Datensicherheit ins Spiel. Da WeChat insbesondere in China genutzt wird, steht die Frage der Datensicherheit im Raum. Kommunikationen, welche z.B. von Personal einer chinesischen Außenstelle in WeChat abgesetzt wird, könnten mitunter von staatlichen Stellen ausgelesen werden, welche Backdoors in der Software anlegen lassen haben. WeChat bietet zudem keine Ende-zu-Ende Verschlüsselung (E2EE) an. Dies macht jegliche Information zu Geschäftsgeheimnissen und anderen internen Angelegenheiten zu einem Risiko, welches Datenexfiltration zum Zwecke der Industriespionage zur Folge haben kann. Der Einbezug der IT-Sicherheit, welche eine Bewertung mit anschließender Freigabe oder Verbot durchführen kann, ist von essenzieller Wichtigkeit für den Schutz der Unternehmenssysteme vor kriminellen Hackern sowie Industriespionage. Eine entsprechende Awareness muss also innerhalb des Unternehmens, auch in internationalen Außenstellen, gewährleistet werden.

Neben den Sicherheitsaspekten spielen auch rechtliche und wirtschaftliche Risiken bei der Verwendung von Schatten-IT eine Rolle. Erfolgt die Beschaffung von Softwarelizenzen und Cloud Services dezentral ohne die Einbindung des Software Asset Managements und IT-Einkaufs besteht das Risiko, dass Vertragsklauseln wie z.B. die AGBs oder Open Source Lizenzbedingungen ungeprüft akzeptiert und dem Lizenzgeber ungewollt weitreichende Rechte eingeräumt werden. Weiterhin führt eine dezentrale Beschaffung dazu, dass Lizenznachweise nicht zentral dokumentiert werden. Die Folge ist ein erhöhter Klärungsaufwand im Falle eines Software-Audits, aber auch fehlende Kostentransparenz, keine Möglichkeit zur Volumenbündelung oder Verwendung ggf. ungenutzter (freier) Lizenzen an anderer Stelle im Unternehmen. Typischerweise sind die Risiken für einen Laien im Vorhin nur schwer überschaubar. Daher ist eine zentrale Koordination z.B. über das Software Asset Management mit den jeweiligen Experten anzuraten.

Ein weiteres Risiko besteht, wenn mittels Schatten-IT personenbezogene Daten verarbeitet werden. Grundsätzlich bedarf jede Datenverarbeitung in Unternehmen der Prüfung, ob darunter auch personenbezogene Daten fallen, wodurch die Vorschriften der Datenschutzgrundverordnung (DSGVO) Anwendung finden. In der Regel fehlt es Fachabteilungen an der Expertise, auf Basis der vorliegenden Dokumente zu beurteilen, ob eine Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt. Erfolgt diesbezüglich keine fachgerechte Prüfung, kann nicht sichergestellt werden, dass die Datenschutzgrundsätze eingehalten werden. Werden personenbezogene Daten nicht rechtmäßig verarbeitet, kann dies im schlimmsten Fall erhebliche Geldstrafen nach sich ziehen. Die DSGVO ermöglicht Geldbußen in Höhe von bis zu 4 % des Jahresumsatzes oder 20 Mio. €, je nachdem, welcher Betrag höher ist. Zudem gefährdet eine unrechtmäßige Verarbeitung von personenbezogenen und insbesondere sensiblen Daten das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen. Daher ist eine Einbindung der Datenschutzverantwortlichen für die Bewertung jedes Softwareeinsatzes wichtig.

Zuvor beschriebene Risiken lassen sich nur mit entsprechender Governance adäquat in den Griff bekommen. Hierzu bedarf es Richtlinien zur IT-Beschaffung, IT-Sicherheit sowie zur IT-Nutzung durch Fachabteilungen ergänzt um unternehmensinterne Awareness-Kampagnen. Die Vorgaben sind ferner mittels geeigneter Prozesse (z.B. im Software Portfolio Management) zu operationalisieren und über entsprechende Kontrollmechanismen (z.B. interne Audits, technisches Scanning, oder ähnliches) regelmäßig zu überprüfen.

COMPLION ist ein unabhängiges Beratungshaus mit Fokus auf das Themenfeld Digital Compliance. Unser Anspruch ist eine ganzheitliche Betrachtung von IT Governance, IT Risk und IT Compliance in allen Aspekten der digitalen Transformation. Unsere Kunden unterstützen wir typischerweise an der Schnittstelle zwischen Management und IT, u.a. in den Bereichen IT-Security, Software Asset Management und Datenschutz. Informieren Sie sich hier über unser Leistungsangebot.

Verfasser: Felix Baran, Tobias Philipsen, Anne Pinke