Definition

Schattenanwendung (Shadow App)

In der Vergangenheit kamen häufig lokale Installationen von nicht durch die IT sanktionierten Applikationen vor. Die Gründe dafür können vielfältig sein, entweder wollen Mitarbeiter den Genehmigungsprozess umgehen, um Zeit zu sparen. Oder sie möchte die Funktionalität ihres Systems und ihre Produktivität optimieren, in dem sie Tools oder Utilities einsetzen, die nicht offiziell von der IT-Abteilungen angeboten werden. Schattenanwendungen ist ein Teil des gesamten Bereiches Schatten-IT (Shadow IT)

Mit der zunehmenden Verfügbarkeit und Erreichbarkeit von SaaS-Anwendungen (Software as a Service) und Cloud-Diensten erstreckt sich das Thema Schattenanwendungen auch auf diese Bereiche. Skype, Dropbox und Google Text und Tabellen sind typische Beispiele, die von Mitarbeitern auf ihren Unternehmensrechnern genutzt werden, ohne dass dies vom IT-Team abgesegnet wäre. Obwohl diese Schattenanwendungen die Produktivität und Zusammenarbeit mit geringem oder gar keinem finanziellen Aufwand für das Unternehmen verbessern können, ist ihre Nutzung mit Risiken verbunden. Dies beispielsweise, wenn der Mitarbeiter mit seinem persönlichen Account auf die Dienste zugreift und dorthin auch Unternehmensdaten transferiert. Diese Daten können so einem Risiko ausgesetzt sein und auch nicht sicher sein, wenn der Mitarbeiter beispielsweise das Unternehmen verlässt.

Um entsprechenden Problemen vorzubeugen, sollte die IT über entsprechende Prozesse verfügen, um entsprechende Nutzung von Diensten erkennen zu können. Beispielweise über Lösungen die innerhalb des rechtlichen Rahmens den ausgehenden Netzwerk-Traffic entsprechend überwachen können. Zudem sollten ein Unternehmen Richtlinien etablieren, die eine Nutzung von Firmen-Accounts für entsprechende webbasierte Anwendungen einschränkt. Auf den Systemen sollten die Rechte und Privilegien der Anwender so begrenzt sein, dass diese keine lokalen Anwendungen installieren können.

Wenn eine größere Gruppe von Mitarbeitern eine bestimmte nicht sanktionierte Cloud-Anwendung einsetzt, sollte dies ein Anzeichen dafür sein, dass ein entsprechender Bedarf existiert. Dann sollte die IT-Abteilung erwägen, den Dienst zu prüfen und eventuell intern bereitzustellen. Und schließlich sollten die Anwender aufgeklärt werden, welche Risiken die Schattenanwendungen im Hinblick auf die Unternehmensdaten, Datenschutz und die IT-Sicherheit darstellen.

Diese Definition wurde zuletzt im Oktober 2020 aktualisiert

Erfahren Sie mehr über Bedrohungen