Der durchschnittliche Büroangestellte nutzt im Schnitt fast 17 verschiedene Cloud-Dienste, 2.9 unterschiedliche Content-Sharing-Services und 2.8 verschiedene Collaboration-Lösungen. Und längst nicht alle davon sind von der betriebsinternen IT-Abteilung zugelassen oder auch nur toleriert. Dieses IT-Chaos führt dazu, dass kaum noch ein IT-Administrator wirklich weiss, welche Tools seine Mitarbeiter tagtäglich nutzen – eine Schatten-IT ist entstanden. Wie kann man damit strategisch umgehen?
Diese Schatten-IT sorgt durch die fehlende Reglementierung und Überwachung zum Beispiel in grossen Krankenhäusern, aber auch in kleinen Unternehmen für ein unkalkulierbares Sicherheitsrisiko und jede Menge zusätzlicher Arbeit. Doch wie können Verantwortliche diesem Lösungsdschungel ohne Regeln entkommen und ihn in eine perfekt gestaltete IT-Parklandschaft verwandeln?
Eine 2015 durchgeführte Studie des Cloud-Security-Anbieters Skyhigh hat gezeigt, dass in Unternehmen insgesamt durchschnittlich mehr als 700 Cloud-Dienste zum Einsatz kommen. Davon ist aber weniger als ein Zehntel durch die IT-Abteilung oder die Verantwortlichen genehmigt. Der Hauptgrund dafür liegt vor allem in der -Bequemlichkeit der Mitarbeiter. Denn diese sind meist nicht bereit, andere Lösungen zu nutzen als die, die sie privat sowieso schon kennen. Ausserdem wollen sie sich nicht mit der IT-Abteilung auseinandersetzen, um die von ihnen eingesetzten Cloud-Services freigeben zu lassen.
Doch dieses Verhalten stellt ein massives Sicherheitsrisiko dar. Denn mit dieser sogenannten Schatten-IT bewegen sich die Mitarbeiter ausserhalb der IT-Sicherheitseinrichtungen ihres Arbeitgebers. Das ist besonders kritisch, wenn sich innerhalb der unreglementierten Cloud vertrauliche Patientendaten befinden. Gerade in Bereichen, in denen es auf absolute Geheimhaltung ankommt, wie beispielsweise im Gesundheitswesen, kann dies Datenlecks erzeugen, die im schlimmsten Fall wirtschaftliche Existenzen gefährden oder sogar Menschenleben fordern können.
Operation gelungen, Patient tot
Nehmen wir das Beispiel Spital. Im typischen Krankenhausalltag sind häufig nur wenige Systeme parallel im Betrieb – auch aus dem Grund, Cyber-Kriminellen so wenig Angriffspunkte wie möglich zu bieten. In der Regel deckt das Krankenhausinformationssystem (KIS) sämtliche benötigte Funktionen ab. Gefahr droht dann, wenn das KIS gewisse Features, vor allem zum internen Austausch wie zum Beispiel Filesharing oder Chats, nicht bietet. Da in den meisten Krankenhäusern die IT-Abteilung nur aus einem Administrator besteht, der sich in der Regel aus Zeitmangel auf wenige Kernaufgaben konzentrieren muss, suchen die vermeintlich IT-versierten Mitarbeiter in solchen Fällen oft selbst eine Lösung. Sie installieren dann beispielsweise einen Cloud-Dienst, der aus dem Privatleben bereits bekannt ist und sich dort auch bewährt hat.
Während beispielsweise ein kostenloser Cloud-Speicher für den privaten Gebrauch vollkommen ausreichend ist und sich auch für das Teilen von Dateien, wie zum Beispiel Urlaubsfotos, eignet, sieht das bei vertraulichen Patientendaten allerdings vollkommen anders aus. Denn zum einen sind diese frei zugänglichen Speicherdienste in keiner Weise durch die Compliance des jeweiligen Arbeitgebers gedeckt. Zum anderen verlassen so auch Daten, die nicht für Aussenstehende bestimmt sind, das interne Netz des Krankenhauses. Mitarbeiter machen sich also strafbar und verursachen gleichzeitig ein Datenleck unbekannten Ausmasses. Wenn beispielsweise eine «Man in the Middle»-Attacke ausgeführt wird, also sich ein Hacker in den Datentransfer einklinkt und die Daten manipuliert, kann das schnell lebensgefährlich werden. Auf diese Weise können Medikamentendosierungen verändert oder es kann zum Beispiel ganz einfach ein «Haken» bei der Sauerstoffversorgungspflicht eines Patienten gelöscht werden.
Das richtige Instrument ist entscheidend
Glücklicherweise gibt es jedoch Lösungen, die sowohl sicher sind als sich auch voll in eine bestehende IT-Landschaft integrieren lassen. Solche Collaboration-Lösungen, wie zum Beispiel von Mitel, lassen sich vollständig und nahtlos in ein vorhandenes KIS einbinden und sorgen durch den grossen Funktionsumfang dafür, dass Mitarbeiter nicht dazu verführt werden, eine ungenehmigte Lösung zu verwenden.
Gleichzeitig bieten die entsprechenden Collaboration-Lösungen Funktionen, die kaum Wünsche offenlassen. Dank Einbindung von Basisfunktionen wie E-Mail, Chat, Videotelefonie und Terminplanung ist die Zusammenarbeit innerhalb von Teams selbst über Landesgrenzen hinweg problemlos möglich. Und durch
die nahtlose Integration von Third-Party-Anwendungen wie beispielsweise Dropbox, Salesforce, Evernote oder GitHub hat die IT stets einen vollständigen Überblick über die eingesetzten Lösungen und kann dementsprechend bei Problemen sofort einschreiten. Gleichzeitig unterstützen solche Lösungen mobile End-geräte vollwertig und Anwender können, ohne Brüche in der Kommunikation zwischen Geräten hin- und herwechseln. So kann beispielsweise innerhalb einer laufenden Videokonferenz zwischen Desktop–PC und Smartphone gewechselt werden, ohne dass das Gegenüber etwas merkt.
Voll integrierte Collaboration-Lösungen sorgen so dafür, dass keine Schatten-IT und damit auch kein dauerhaftes Sicherheitsrisiko entsteht. Denn Mitarbeiter sind durch den umfassenden Funktionsumfang nicht mehr länger versucht, ungenehmigte Lösungen einzusetzen – sie haben alles, was sie brauchen, direkt zur Hand.
Weitere Informationen:
www.mitel.ch