Folgen der Schatten-IT

Cloud untergräbt IT-Kontrolle

Mitarbeiter in Unternehmen können die IT-Abteilung mit Cloud-Ansätzen durchaus in die Bredouille bringen. Da werden Storage-Lösungen wie Dropbox oder Anwendungen wie Google Docs mit Firmendaten genutzt, ohne dass die IT-Abteilung, geschweige denn der Datenschutzbeauftragte, davon etwas erfährt.

Den Reizen des Cloud Computing scheinen immer mehr Anwender zu erliegen. Eine aktuellen Online-Umfrage des Karlsruher Instituts für Informationswirtschaft und -management und der Proventa AG unter 226 IT-Spezialisten und -Entscheidern hat eine überraschend hohe Akzeptanz von IaaS (Infrastructure-as-a-Service) ergeben: 58 Prozent der Befragten wollen künftig die Cloud nutzen.

Für IT-Verantwortliche ist das nicht zwangsläufig eine gute Nachricht, denn Mitarbeiter in den Fachabteilungen benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.

Schatten-IT ist kein neues Problem

Allerdings ist das heimliche Nutzen von Hard- und Softwareressourcen kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können sie Softwareüber USB-Sticks, CDs und via Internet auf den Rechner installieren. In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit, aber auch aus Innovationsfreude der Mitarbeiter.

Sie werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. "Unsere IT-Abteilung ist zu unflexibel, und wir müssen zu lange auf neue Ressourcen für ein Projekt warten", lautet eine typische Beschwerde. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten, sie hinke den Anforderungen der Fachabteilungen technologisch hinterher.

Die Schatten der Cloud

Neu ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, solche alternativen Softwarelösungen einfacher und schneller zu beziehen als in der Vergangenheit. Die Lösungen sind öffentlich zugänglich und können von beliebigen Personen und Unternehmen genutzt werden. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud-Storage zu nutzen oder per Google Docs ein Dokument zu erstellen.

Geht man einen Schritt weiter, fördert das Cloud Computing auch den Abfluss von Informationen aus dem Unternehmen. Eine Datei bei einem Cloud-Anbieter hochzuladen ist schnell erledigt. Selbst wenn der Datei-Upload untersagt ist, lässt sich die Sperre ohne Weiteres umgehen, indem man Inhalte aus dem lokalen Dokument in das Cloud-Dokument kopiert.

Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Prominente Beispiele sind Amazons "Elastic Compute Cloud" (EC2) sowie Cloud-Hosting-Dienste von GoGrid und RackSpace. Die mittels Web-Browser leicht zu bedienenden Managementoberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilung etwas davon merkt.