*** Kommentar von Engelbert Hörmannsdorfer, speicherguide.de-Redaktionsmitglied ***

Haben Sie schon mal von Schatten-IT gehört? Die gibt es wirklich, und zwar mehr oder weniger eigentlich in jedem Unternehmen. Allgemein habe ich den Eindruck: Man nimmt sie als lästiges Übel – oder Beiwerk der Cloud – einfach in Kauf. Dass Unternehmens-Software auf privaten Endgeräten mitverwendet wird, dass im Büro auf Social-Media-Sites gesurft oder noch schnell ein Deal bei eBay unter Dach und Fach gebracht wird, lässt sich kaum vermeiden.

Doch mit dem Durchbruch der Cloud eröffnen sich nun für die Mitarbeiter viel mehr und noch einfachere Möglichkeiten, eine eigene kleine feine IT-Infrastruktur neben der Regulären aufzubauen. Ich denke hier an die neuen Möglichkeiten, die Infrastructure-as-a-Services (IaaS) und Cloud-Storage mit sich bringt. IaaS macht es Mitarbeitern ziemlich leicht, eigene IT-Lösungen neben denen der Unternehmen anzuwerfen. Und werden die Ressourcen sparend eingesetzt, ist die IaaS-Schatten-IT für CIOs schwer zu erkennen und zu kontrollieren.

Schattenseite: ungeschützte Dateien bei Cloud-Storage-Providern

Kurioserweise ist der Einsatz von nicht genehmigter IT kein unbekanntes Phänomen, die Unternehmen wissen im Prinzip Bescheid. Die Mitarbeiter sind sich sogar meistens des Unrechts ihrer Handlungen bewusst. Doch sie suchen die Gründe gern woanders – nämlich bei den angeblich zu bürokratischen IT-Verantwortlichen.

Doch die Schatten-IT hat Tragweite. Es gibt Problematiken, derer sich die Mitarbeiter nur selten bewusst sind:
? Es kann eine mögliche Fragmentierung von Informationen, Dateien und Dokumenten auftreten.
? Und es besteht eine erhöhte Gefahr der Verletzung deutscher Datenschutzbestimmungen, sollten Public-Clouds im außereuropäischen Raum ohne Wissen der IT-Verantwortlichen aufgesetzt oder sollten personenbezogene Dateien ungeschützt bei Cloud-Storage-Providern wie Dropbox, SkyDrive, Google & Co abgespeichert werden.

Offene Unternehmenskulturen für mehr Bewusstsein

Die Folgen für das Unternehmen könnten verheerend sein. Möglicherweise wollte der Mitarbeiter in bestem Wissen und Gewissen eigentlich nur schnell voranpreschen und Ressourcen sparen – und stattdessen drohen nun im Gegenzug hohe Strafgelder. Das ist nun wirklich nicht zielführend.

Das Problem ist nicht einfach zu lösen. Den Mitarbeiter einfach in seinen Rechten zu beschränken, ist sicherlich wirksam. Aber es kann für Verstimmung im betrieblichen Umfeld sorgen. Ich bin hier großer Verfechter von offenen Unternehmenskulturen, bei denen aber jeder Mitarbeiter ständig aufgeklärt werden sollte, was machbar und erlaubt ist – und wo es aufgrund neuer Technologien Probleme geben könnte. Wenn ein Mitarbeiter in einem Segment – zum Beispiel Cloud-Storage, oder Betreuung von Social-Media-Sites – Kompetenzen entwickelt, dann ist es meiner Meinung nach sicherlich erfolgversprechender, sich dieses Wissen zunutze zu machen. So können Risiken für das Unternehmen deutlich minimiert werden, und trotzdem lässt sich ein Unternehmenswert durch den Einsatz der Cloud steigern.

Ab in die Cloud – aber mit Bedacht und nicht allzu schnell

Wer sich also auf die Cloud zu bewegt, liegt im Trend richtig – aber es sollte vielleicht nicht allzu schnell erfolgen. Denn sogar Gartner-Analysten ruderten bei ihrer anfänglichen Euphorie gegenüber der Cloud letztes Jahr einen Schritt zurück. Das ist nicht falsch zu verstehen: Gartner & Co finden immer noch Gefallen an der Cloud, nur so richtig sicher erscheint sie ihnen nicht.

Das ist schon ein wenig skurril: Auf der einen Seite sehen Analysten wie aus dem Hause Gartner oder IDC eine rosige finanzielle Zukunft für alle Cloud-Anbieter; auf der anderen Seite trauen sie ihnen noch nicht so ganz über den Weg. So warnte Gartner auch davor, sich auf die Sicherheitsvorkehrungen der Cloud-Provider zu verlassen. Für besonders schützenswerte Daten sollten Unternehmen doch lieber ihre eigenen Sicherheitsvorkehrungen treffen. Unterstützen soll dies das Argument, dass man ja auch keine Kindersitze vom Autohersteller kaufe, sondern vom Spezialisten. (Nun, das ist sicherlich nicht ganz korrekt, aber ich will hier keine Erbsen zählen.)

Daten in der Cloud von Drittanbietern verschlüsseln lassen

Einen interessanten Ansatz finde ich die Gartner-Empfehlung, demzufolge Firmen beispielsweise Daten nicht vom Cloud-Dienstleister, sondern von einem Drittanbieterprogramm verschlüsseln zu lassen. Also für jede Disziplin den richtigen Spezialisten. Finde ich gut. Auch denke ich, dass Unternehmen den Schutz vor Überlastungsangriffen – in vielen Firmen eine erprobte Disziplin – doch besser selber in die Hand nehmen sollten. Denn die besten Spezialisten sitzen möglicherweise im eigenen Haus.

Letztendlich geht es darum, das Überspringen gefährlicher Inhalte in die Cloud zu verhindern. Sei es durch übereifrige Mitarbeiter, die eine Schatten-IT aufbauen, oder sei es durch zu schnelles Agieren mit noch nicht so ganz ausgegorenen Technologien. Die Cloud per se ist eine tolle Entwicklung – man muss sich ihr aber nicht unbedingt gleich im Rekordtempo nähern.

Mit gesicherten wolkigen Grüßen
Engelbert Hörmannsdorfer

.