Die DSGVO – Tod der Schatten-IT – Zeit für einen digitalen Arbeitsplatz

VonBurghardt Garske

Die DSGVO – Tod der Schatten-IT – Zeit für einen digitalen Arbeitsplatz

Schatten-IT – was ist das eigenlich? Zunächst einmal ein großes Problem! IT-Abteilungen geben regelmäßig die IT-Infrastruktur vor, die innerhalb einer Organisation genutzt werden soll und darf. Nutzen Fachabteilungen oder einzelne Mitarbeiter Systeme, von denen der IT-Bereich nichts weiß, spricht man von Schatten-IT.

IT-Abteilungen tolerieren Schatten-IT

Bisher haben IT-Abteilungen dies oft stillschweigend toleriert: meist, weil einfach keine Zeit war, dagegen vorzugehen. Andererseits aber auch, weil die IT natürlich weiss, dass die Fachabteilungen gute Lösungen brauchen. Diese können nicht immer über den offiziellen Weg beschafft werden. Oft eben genau aus dem Grund, dass die IT einfach keine Zeit hat. Also handeln die Fachabteilungen nach dem Motto “hilf Dir selbst, dann hilft Dir Gott”.

Unerwartete Hilfe erhalten die IT-Abteilungen nun von der DSGVO, die ab 25. Mai 2018 anwendbar ist. Die neuen Regelungen zum Datenschutz haben enormes Bedrohungspotenzial: verstößt ein Unternehmen gegen diese Vorschriften, kann es mit empfindlichen Geldstrafen belegt werden.

Schatten-IT wird in die Hoheit der IT überführt

Nun endlich dürfen sich die IT-Bereiche die Zeit nehmen, genauer hinzusehen: welche Anwendungen sind denn im Einsatz? Entsprechen diese den neuen Anforderungen? Sofern es sich um professionelle Software handelt, die von etablierten Softwareherstellern gegen Geld erworben wurde, dürfte das Thema nicht allzu dramatisch sein. Die Hersteller haben ein hohes Eigeninteresse, gesetzeskonforme Verfahren anzubieten. Die IT muss sich natürlich kümmern und entsprechend prüfen und dokumentieren.

In diesem Prüfungszusammenhang wird letztlich die bisherige Schatten-IT wohl regelmäßig Bestandteil der von der zentralen IT betreuten Infrastruktur werden wird. Ein Auge zuzudrücken kann sich weder die IT noch die Geschäftsführung erlauben.

Einige Programme werden die DSGVO nicht überleben

Dabei werden wohl nicht alle Programme überleben. Nämlich diejenigen Werkzeuge nicht, die in großer Zahl und in großem Umfang gern und ständig von den Mitarbeitern genutzt werden und die die tägliche Arbeit so gut erleichtern. WhatsApp, DropBox und Co sind solche Kandidaten. Rechtsanwalt Matutis aus Potsdam legt in seinem Blog überzeugend dar, das die Nutzung von WhatApp letztlich rechtswidrig ist. Hintergrund ist der Art. 6 (1) a DSGVO, der die vorherige Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten erfordert (Sie finden den Artikel 6 auf Seite 53 ff. des PDFs).

Ein separates Handy, in dem nur Kontakte verwaltet werden, die der Speicherung und Übertragung ihrer Daten in die USA zugestimmt haben, erscheint eine wenig realitätsnahe Alternative zu ein. Alle andere Gründe des Artikel 6 (1) treffen wohl kaum auf die übliche Nutzung von WhatsApp zu (z.B. die Wahrung lebenswichtiger Interessen der Person).

Es wird Zeit für einen digitalen Arbeitsplatz

Vor diesem Hintergrund wird es höchste Zeit für einen digitalen Arbeitsplatz, der Schluss macht, mit der Notwendigkeit, sich mit einem Sammelsurium an Tools zu organisieren. Nicht nur, dass diese Werkzeuge neue Datensilos schaffen und von fragwürdiger Sicherheit sind. Nein, es geht schlicht um produktiveres Arbeiten. Machen Sie Schluss mit langwierigen Suchen und beenden Sie die laufenden und zeitraubenden Störungen. Wie in meinem früheren Blog dargestellt: collaborative Werkzeuge erhöhen die Produktivität um bis zu 30 % und stärken auch noch die Innovationskraft Ihres Unternehmens. Also: führen Sie einen innovativen und sicheren digitalen Arbeitsplatz ein. Die Zeit ist reif dafür. Ein Schelm, wer dabei an humbee denkt.

Informiert bleiben

Über den Autor

Burghardt Garske administrator

Mitgründer und Geschäftsführer der humbee solutions GmbH. Burghardt Garske ist überzeugter Anwender des agilen Mindsets. Mit humbee, dem digitalen Arbeitsplatz, begleitet er die digitale Transformation seiner Kunden.

1 comment so far

rruttkowski1Eingestellt am2:44 pm - Mai 8, 2018

Schatten IT das Damoklesschwert über den Unternehmen??
Seit Jahren wird von der IT Industrie das Thema Cloud gepuscht und alles unternommen den Kunden dorthin zu bewegen. Trotz der vielen Sicherheitsbedenken seitens der IT Fachabteilungen machen viele Fachabteilungen hier Alleingänge aus den im Artikel genannten Gründen. Der IT Abteilung alleine die Verantwortung und damit auch die Schuld zuzuschieben ist nicht richtig, die ständige Reduzierung der IT Abteilungen auf den Unterhalt der ICT Infrastruktur hat hier dieses negative Bild der IT geprägt. Keine Zeit für Projekte, Innovationen, ständige Betriebssystemwechsel (weil die Fachabteilungen das so bestimmen, oder bestimmen müssen) also wenig Positives. Dabei ist es oftmals nur ein Gespräch mit der IT, dass es ermöglicht die Risiken zumindest zu erkennen und im Besten Fall auch zu umgehen. Verschlüsselung, Zwei-Wege Authentifizierung, Berechtigungsmodell, Backup und Desaster Szenarien, müssen als Grundvoraussetzung bei neuen APPs möglich sein, ansonsten sollte diese nicht geschäftlich zugelassen und genutzt werden.
Vor 20 Jahren mussten die IT schon gegen den Wildwuchs, wie “In 10 Minuten ist Ihr Windows Server installiert” kämpfen, damals hatte Sie noch eine Chance, weil ja die Hardware dazu benötigt wurde um ein solch unsicheres System in Betrieb nehmen zu können, heute fällt diese Schwelle weg, ein paar Mausklicks und der Service ist irgendwo aktiv, Daten werden importiert, kopiert, verschoben usw. und der Nutzer arbeitet außerhalb eines gesicherten Unternehmensnetzwerkes und auch ausserhalb der vorgeschriebenen Compliance Rules. Wer hier die Kontrolle behalten will, muss einige Anstrengungen machen, die auch schon in den Empfehlungen des BSI für einen Grunddatenschutz enthalten sind. Das kostet, es muss Personal abgestellt werden, nur da tun sich eben viele schwer.
Einfacher ist es mal abzuwarten, ob denn wirklich ein Missbrauch nach den neuen DSVGO Standards geahndet wird, sprich das Risiko wird ausgesessen. Welches enormes Potential Daten haben, sieht man an der aktuellen Berichterstattung zum Thema DATA-Leaks. Als haftender Geschäftsführer sollte man dringend die Verantwortung wahrnehmen um nicht vom eigenen Aufsichtsrat und Eigentümer wegen Unterlassung verklagt zu werden.
Datensicherheit: Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Art. 24 und 32 DS-GVO).
Wie kann dieser Artikel der DSGVO für die Schatten-IT umgesetzt werden? Nur wenn bekannt ist, was eigentlich im Unternehmen vor sich geht, sprich, wenn ich die Datenströme analysieren kann, die Anzahl der Devices im Unternehmen kenne und die APPS, die genutzt werden, herausfiltere. Dazu ist Zeit genug vergangen in den letzten Jahren aber die Schatten-IT wird auch über den 25. Mai existieren.
Die Verarbeitung der Daten ist in einer Cloudlösung unter Umständen sogar sicherer, weil der Zugang zu den Daten restriktiver ist, physisch wie auch virtuell. Der Schwachpunkt im System sind nach wie vor die Benutzer, die sich nicht bewusst sind, welche Gefahr im Netz lauert. Es ist eben auch wie früher, nur schneller, eine Sicherheitslücke im System (auch Menschen gehören zum System!) nur für sehr kurze Zeit reicht schon aus, um einen Angriff zu starten und Erkenntnisse für weitere Angriffe zu erlangen. Wenn alle sich an die DSGVO halten würden, dann gäbe es bald keine Leaks mehr, oder? Ich jedenfalls bin gespannt auf das Katz und Mausspiel, auf die „Wer ist schuld?“ Frage, wenn die ersten Strafen ausgesprochen werden und auf die Frage, „Wann ist die Schatten IT Geschichte!?“
Es muss auch ein Change des Mindsets bei den Unternehmen und Mitarbeitern eintreten. Wann endlich verstehen die Menschen, dass wenige Unternehmen und Personen von IHREN Daten und der freiwilligen Preisgabe von Informationen, profitieren. Auch wenn man bequem ist und gerne Werbung zielgerecht erhält, ist dies ein knallhartes Geschäftsmodell, das durch KI und AI noch weiter gepuscht, beschleunigt und verfeinert wird.
Wer daher wirklich etwas bequem ist, schafft seine doppelten und dreifach vorrätig gehaltenen Datensilos ab und stellt diese in einer neuen geschützten und professionellen Lösung nur den berechtigten Personen zur Verfügung (intern wie extern). Dabei halten sich unternehmenskritische Informationen in einem geschützten Raum auf und können diesen nur verlassen, wenn entsprechende Berechtigungen gesetzt sind (Natürlich gibt’s Logfiles). So wissen die, die Informationen zu einem Projekt, einem Auftrag, Angebot etc. aktuell über das Bescheid, was sie zu Erledigung Ihrer Arbeit benötige (Push and Pull). Der Rest ist nicht sichtbar. Dieses System oder besser diese Lösung ersetzt in vielen Bereichen dabei die unsichere Kommunikation (eMail, cc, bc), verhindert, dass Daten mehrfach irgendwo abgelegt werden, der Datenschutz wird so eingehalten, es kann archiviert werden mit gesetzlichen Aufbewahrungsfristen (DMS/ECM), Termine und Planungen erfolgen in KANBAN Boards (shared / private) und vieles mehr. Das Ganze ist einfach zu nutzen auf jedem Device, es entstehen über die mtl. Nutzerkosten keine weiteren Kosten in der IT für Infrastruktur, Storage und Server, es muss nur ausreichend Bandbreite für die Nutzung der Cloudbasierten Lösung bereitgestellt werden.
Als Nutzer der Lösung über nun bereits mehrere Monate, fällt es schwer den Weg zurückzugehen, sprich das Tool möchte ich nicht missen. Humbee hat alles was ver- und besprochen wurde mehr als nur eingehalten und ist zu Recht dafür mit dem Mittelstandspreis 2018 ausgezeichnet worden. Ein digitaler Workspace von https://humbee.de ist eben mehr als nur Schatten IT!

Ruttkowski Rüdiger

Kommentar verfassen