Mehr Licht: Wie man Schatten-IT schnell erkennt

Schatten-IT ist kein neues Phänomen, aber durch Corona und Remote Work hat der Trend neue Impulse bekommen. Mit der generativen KI – Schatten-KI – steigt das Problem nun auf ein neues Level: Schließlich sind Menschen neugierig, und sie wollen die Vorteile neuer Tools wie ChatGPT erproben, um etwa ihre Produktivität zu verbessern – im Handumdrehen haben sie sich angemeldet. Dadurch können Kosten und Risiken steigen, weil Informationen unkontrolliert abfließen und die Sicherheit kompromittiert oder auf Backups verzichtet wird.  

Auch wenn Unternehmen es nicht gerne zugeben: Schatten-IT findet sich in jeder Organisation. Allerdings wissen viele Firmen nicht genau, welche Reichweite das Problem tatsächlich hat. Schließlich ist der Browser der Nutzer eine Blackbox, aus der zwar viele Informationen zum Hersteller, aber nicht zur eigenen IT dringen. Wenn ein Team statt der offiziellen Collaboration-Lösung etwa Slack oder einen anderen Instant-Messaging-Dienst im Browser nutzt, bekommt es in der Regel niemand mit. Und wenn sensible Dokumente in eine Web-Freeware wie Kollaboration Boards oder Übersetzungstools hochgeladen werden, auch nicht. 

Eine Browser Extension für Schatten-IT 

Mit einem kleinen Tool können IT-Organisationen nun zumindest erfassen, wie groß das Problem der Schatten-IT tatsächlich ist. „AppNavi Discovery“ ist eine Extension für die wichtigsten Browser (Chrome, Edge, Mozilla), die per Policy eingebettet wird und Informationen zurücksendet: Welche Systeme nutzen Mitarbeitende im Browser, wie lange sind sie dort aktiv, und welche Ladezeit haben die Systeme. Diese Informationen fließen nicht zum Anbieter des Tools zurück, sondern zu einem Server der IT-Organisation, die das Programm einsetzt. Hier lassen sich die Daten auswerten, um gezielt Maßnahmen gegen den Wildwuchs einzuleiten. Das funktioniert auch in VPNs und gestreamten Desktops. 

Welche Bedeutung hat der Datenschutz? 

Die Browser Extension arbeitet völlig anonym, es werden nur die aufgerufenen Seiten zurückgespielt. Hinzu kommt, dass dies erst ab einer Gruppe von mindestens acht Nutzern und mehr als 25 Aufrufen passiert: Rufen etwa nur drei passionierte Segler in der Firma eine einschlägige Website auf, lassen sich keine Rückschlüsse auf Individuen ziehen. Zudem ermöglicht das Tool keine Segmentierung – für jeden Bereich oder jede Gesellschaft müsste eine neue Extension eingebunden werden. Jedoch sollten Betriebsrat, Information Security Officer und Datenschutz meiner Meinung nach immer ins Boot geholt werden, auch wenn es nicht um personengebundene Daten geht. 

Was unterscheidet die Extension von anderen Tools? 

Viele andere Tools bieten ebenfalls eine Art von Analytics an. Allerdings sind die meisten anderen Programme auf einer tieferen Ebene unterwegs, beispielsweise bei der Überwachung von Arbeitspfaden einzelner Mitarbeiter („Task Mining“) oder einer individuellen Datenauswertung. Die Browser-Extension hingegen sammelt ausschließlich Daten, die sich auf der Oberfläche zeigen. 

Change-Management 

Neben der klassischen Schatten-IT lassen sich derartige Tools auch verwenden, um die Verwendung von Legacy-IT zu bestimmen: Wer nutzt das alte CRM-Tool noch, obwohl eine moderne Lösung im Vorjahr eingeführt worden ist? Ist es nötig, Lizenzen für drei verschiedenen Trainings-Tools im Unternehmen zu bezahlen, auch wenn zwei Tools kaum noch verwendet werden? Durch die Dekommissionierung von Systemen sinken die Kosten, und man sieht, wo noch umfassende Change- und Enablement-Projekte zur Unterstützung der Mitarbeitenden gebraucht werden. Hier bewegen wir uns aber schon in die Gebiete User Behavior Mining, User Behavior Tracking sowie User Behavior Analytics. Das alles ist Teil eines weiteren Artikels. 

Wie sieht ein Implementierungsprojekt aus? 

Der Aufwand für die Einrichtung der Extension und die technischen Herausforderungen auf Kundenseite sind überschaubar. Um die Ergebnisse mit dem offiziellen Stand der Software vergleichen zu können, müssen alle genutzten und in Lizenz genommenen Systeme des Unternehmens erfasst werden. Gegen diesen Benchmark werden die Erkenntnisse zur Schatten-IT monatlich abgeglichen und ausgewertet. So lassen sich gravierende Probleme umgehend erkennen, um gezielt gegenzusteuern.  

Fazit 

Bislang haben sich Unternehmen auf das Gefühl verlassen, dass es in ihrer Organisation keine oder nur eine vermeintlich kontrollierbare Schatten-IT gibt. Die kleine Browser Extension kann zumindest einen schnellen Überblick verschaffen, welche externen Applikationen und Services in welchem Maße von den Mitarbeitenden genutzt werden – effektiv auf Basis aktueller Daten, ohne großen Aufwand und mit einem leichtgewichtigen Tool. Darauf lässt sich eine Strategie aufbauen, um das Problem zu erfassen und eventuelle Governance-Risiken zu senken. 

Wenn Sie wissen wollen, wie ein Discovery-Projekt mit AppNavi abläuft und wie man als IT-Organisation dadurch profitieren kann, freue ich mich über Ihre Kontaktaufnahme.