Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

[datensicherheit.de, 02.05.2024] „NIS-2 ist eine notwendige Maßnahme, um europäische Unternehmen dazu zu bringen, in ihre IT-Sicherheit zu investieren. Grundsätzlich ist das eine großartige Idee“, so Ari Albertini, „CEO“ bei FTAPI, in seinem aktuellen Kommentar. Vor allem aber sei NIS-2 eine notwendige Maßnahme: „Immerhin ist die Lage der Cyber-Sicherheit in Deutschland und ganz Europa inzwischen mehr als angespannt – es ist eines der größten Risiken für unsere Wirtschaft und unseren Wohlstand!“

Foto: FTAPI

Ari Albertini: Mit der NIS-2-Richtlinie wird Vieles richtig gemacht…

Kritik: Kommunen von der NIS-2-Richtlinie ausgeschlossen

Mit dieser Richtlinie werde Vieles richtig gemacht – „ein europaweites, einheitliches Schutzniveau, das dafür sorgt, dass Angreifer seltener ans Ziel kommen und so keinen massiven Schaden anrichten können“. Durch deren aktuelle Überarbeitung Richtlinie entstehe „Awareness, die endlich Dinge ins Rollen bringt – auch auf Management-Ebene“.

Albertini merkt indes kritisch an: „Neben der Tatsache, dass Kommunen von der Richtlinie ausgeschlossen werden, ist auch die zögerliche Umsetzung auf Bundesebene kritisch zu betrachten.“ Anstatt die Chance für mehr Cyber-Sicherheit in ganz Europa am Schopf zu packen, werde sie im Tauziehen mit der Bürokratie verpuffen.

Einhaltung der NIS-2-Umsetzungsfrist bis Oktober 2024 fraglich

Die Wahrung der gegebenen Umsetzungsfrist bis Oktober 2024 sei inzwischen sehr unwahrscheinlich. Hinzu komme, „dass das Bundesinnenministerium (BMI) für eine Nichteinhaltung der Richtlinie keine schwerwiegenden Konsequenzen erwartet“ – weder für betroffene Unternehmen noch für das Ministerium selbst. „Diese Tatsache sendet genau die falschen Signale. Anstatt auf die Brisanz von Cyber-Angriffen für die Souveränität Deutschlands und Europas hinzuweisen, wird der Eindruck vermittelt, dass sich Unternehmen mit Investitionen in die Cyber-Sicherheit ruhig Zeit lassen können – immerhin drohen kaum Strafen.“

Was laut Albertini bei der Debatte im Dunkeln bleibt, sind die Konsequenzen eines Cyber-Angriffs: „Welches Unternehmen kann es sich leisten, tagelang nicht betriebsfähig zu sein und das Vertrauen der Kunden zu verlieren? Richtig, keines!“

NIS-2 sollte zu einem umfassenderen und proaktiven Ansatz in der Cyber-Sicherheit beitragen

Wenn die Politik hier nicht mit gutem Beispiel vorangeht, dann müssten es die Unternehmen selbst in die Hand nehmen. „Cyber-Sicherheit muss ein integraler Bestandteil einer jeder Geschäftsstrategie sein – kein lästiger Kostenfaktor oder ‚Sache der IT‘“, stellt Albertini klar.

So könne NIS-2 tatsächlich zu einem umfassenderen und proaktiven Ansatz in der Cyber-Sicherheit beitragen, der über die bloße Einhaltung von Vorschriften hinausgehe und eine Kultur der kontinuierlichen Verbesserung und des Risikobewusstseins fördere.

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 15.02.2024] Die sichere Übertragung von Daten muss in der heutigen, von Digitalisierung und globaler Vernetzung getriebenen Geschäftswelt zwangsläufig im Fokus stehen: „In einer Ära, in der Daten den Schlüssel zum Unternehmenserfolg darstellen, müssen Organisationen sicherstellen, dass ihre Daten geschützt sind. Und zwar nicht nur, wenn sie gespeichert werden, sondern eben auch dann, wenn sie die Unternehmensinfrastruktur verlassen“, betont Ari Albertini, „CEO“ der FTAPI Software GmbH, in seiner aktuellen Stellungnahme.

Unternehmen werden immer besser darin, Daten at rest abzusichern, aber bei den Daten in motion besteht Nachbesserungsbedarf

Albertini führt aus: „Unternehmen werden immer besser darin, Daten ,at rest’ abzusichern – sobald die Daten aber das Unternehmen verlassen, sinkt das Schutzniveau um ein Vielfaches, weil die Daten ,in motion’ nur über eine vermeintlich komplizierte Verschlüsselung möglich ist. Das lässt viele Unternehmen zögern.” Dabei sei ein sicherer Datenaustausch notwendig, um nicht nur die Integrität der Daten, sondern auch den Ruf und die Wettbewerbsfähigkeit des Unternehmens zu schützen.

In einer Welt, in der verschiedene Systeme miteinander interagierten, entstünden Risiken durch Inkompatibilität und mögliche Systemausfälle. Die Integration unterschiedlicher Plattformen erfordere eine umfassende Planung, um Datenverluste und Unterbrechungen zu minimieren. „Denn die Nichteinhaltung von Datenschutzbestimmungen kann nicht nur zu finanziellen Strafen führen, sondern auch das Vertrauen der Kunden erschüttern“, warnt Albertini.

FTAPI-Tipps für einen sicheren Datentransfer

Um den genannten Herausforderungen zu begegnen, gibt Albertini die folgenden fünf Tipps:

1. Einsatz robuster Verschlüsselungstechnologien
Das Implementieren von State-of-the-Art-Verschlüsselungslösungen stelle sicher, „dass die Daten auf dem gesamten Übertragungsweg geschützt sind“. Eine einfache Transportverschlüsselung reiche nämlich nicht mehr aus, um Informationen umfassend zu schützen. Eine durchgängige Ende-zu-Ende-Verschlüsselung mache nicht nur Nachrichten, sondern auch Anhänge für Angreifer unlesbar.

2. Usability-orientierte Sicherheitslösungen
„Die sicherste Lösung nützt nichts, wenn sie zu kompliziert in der Handhabung ist.“ Methoden, die den Nutzer und seine Verhaltensweisen in den Fokus stellen, würden unter dem Begriff „Usable Security and Privacy“ zusammengefasst. Ziel sei es, Sicherheit so in Systeme zu integrieren, „dass sie kein Hindernis darstellt“ – Albertini nennt als Beispiel „ein entsprechendes UX-Design“. Benutzerfreundliche Schnittstellen, eine intuitive Nutzungsoberfläche und regelmäßige Schulungen erhöhten die Akzeptanz von Sicherheitslösungen maßgeblich und könnten dabei helfen, das Bewusstsein für Sicherheitsrisiken zu schärfen.

3. Zusätzliche Schutzmaßnahmen
Um das Sicherheitsniveau weiter zu erhöhen, könnten Unternehmen und Organisationen zusätzliche Maßnahmen einführen. Eine Zwei-Faktor-Authentifizierung (ZFA) werde beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen. Auch die Einführung von Zugangsbeschränkungen nach dem „Need-to-Know“-Prinzip minimiere das Risiko des Verlustes sensibler Daten.

4. Schulungen und Sensibilisierung der Mitarbeiter
Regelmäßige Schulungen über Sicherheitsrisiken sowie klare Anweisungen für sicheren Datenaustausch seien von entscheidender Bedeutung. Nur so könnten Mitarbeiter über aktuelle Bedrohungsszenarien informiert werden und bekämen gleichzeitig ein Bewusstsein dafür, „dass die Sicherheit der Unternehmens-IT in der Verantwortung aller liegt – und nicht nur in den Händen der IT-Abteilung“.

5. Notfallvorsorge und Wiederherstellung
Notfallpläne seien Bestandteil jeder umfassenden Sicherheitsstrategie: „Wer ist im Ernstfall verantwortlich? Wie sind die Rollen verteilt? Wie wird der Informationsfluss sichergestellt?“ In detaillierten Notfallplänen werde festgehalten, was im Falle eines Datenlecks zu tun ist, um Schäden so gut es geht zu minimieren.

Sicherer Datentransfer als zentraler Pfeiler erfolgreicher Unternehmen

„In einer Welt, die von ständiger Innovation und digitaler Vernetzung geprägt ist, wird der sichere Datentransfer zu einem zentralen Pfeiler für den Erfolg von Unternehmen.“ Die Notwendigkeit, Daten sowohl in auf dem eigenen Speicher als auch in Bewegung zu schützen, erfordere eine ganzheitliche Sicherheitsstrategie.

„Indem Organisationen auf robuste Verschlüsselungstechnologien setzen, benutzerfreundliche Sicherheitslösungen implementieren und ihre Mitarbeiter fortlaufend schulen, können sie den Herausforderungen des Datentransfers begegnen“, so Albertini. Zusätzliche Maßnahmen wie eine ZFA und umfassende Notfallvorsorge trügen dazu bei, die Integrität und Vertraulichkeit sensibler Informationen zu gewährleisten.

Albertinis Fazit: „Letztendlich liegt es in der gemeinsamen Verantwortung aller, die Sicherheit der Unternehmensdaten zu schützen. Ein bewusster Umgang mit den Risiken und eine proaktive Herangehensweise an die Sicherheit sind entscheidend, um nicht nur den Fortbestand des Unternehmens, sondern auch das Vertrauen der Kunden zu sichern.“

2023 soll das OZG-Folgegesetz (OZG 2.0) verabschiedet werden

[datensicherheit.de, 16.01.2023] Bis Dezember 2022 hätten Bund, Länder und Kommunen Zeit gehabt, ihre Verwaltungsleistungen im Sinne des sogenannten Onlinezugangsgesetzes (OZG) zu digitalisieren. „Ziel war und ist eine digitale Administration, die mit zeitgemäßen Lösungen dem Bedarf der Bürgerinnen und Bürgern entspricht, Behörden entlastet und wertvolle Kapazitäten bei den Sachbearbeitenden in den Behörden freisetzt“, erläutert Ari Albertini, Co-„CEO“ bei der FTAPI Software GmbH. Geplant war demnach, insgesamt 575 Verwaltungsleistungen zu digitalisieren. „Ein ehrgeiziges und, wie sich herausgestellt hat, sehr sportliches Ziel“, kommentiert Albertini. Dies habe sich bereits Mitte letzten Jahres – 2022 – abgezeichnet, „als sich Bund und Länder einigten, statt 575 nur noch 35 sogenannte ,Booster’-Leistungen bis Jahresende mit Priorität umzusetzen“. Doch auch dieses Digitalisierungsziel hätten die Akteure verpasst – wenn auch nur knapp: „Aktuell sind in Deutschland immerhin 33 Verwaltungsleistungen flächendeckend online verfügbar.“ Ein verbessertes Update solle deshalb schon dieses Jahr – 2023 – mit dem OZG-Folgegesetz (OZG 2.0) verabschiedet werden. Trotz vereinter Aktivitäten von Kommunen und Ländern, digitale, nachhaltige Prozesse zu etablieren, bestünden offenbar massive Probleme, die Ziele des OZG umzusetzen. Die Gründe dafür liegen nach Albertinis Ansicht weniger im Unwillen der Beteiligten als im OZG selbst:

Foto: FTAPI Software GmbH

Ari Albertini: In der Folge bearbeiten Behörden weiterhin analog – vorhandene Potenziale der Digitalisierung und Automatisierung von Prozessen bleiben ungenutzt…

Software-Wildwuchs aufgrund schwammiger OZG-Vorgaben

Die Beteiligten unterschätzten bei der Digitalisierung der Verwaltung schlichtweg die Heterogenität der vorhandenen Systemlandschaften. „In den Behörden gab und gibt es stellenweise sehr große Unterschiede in den technischen Grundgegebenheiten oder beim fachlichen Know-how der Verwaltungsmitarbeitenden“, so Albertini.

Mit dem Inkrafttreten des OZG habe es der Bund verpasst, einheitliche Standards und Richtlinien vorzugeben, die alle Administrationen gleichermaßen umsetzen müssten. Genau das aber wäre eine wichtige Voraussetzung gewesen. Durch das Fehlen standardisierter Schnittstellen und einheitlicher Strukturen fehle nun die Basis, um die komplexen Systemlandschaften der einzelnen Behörden sinnvoll miteinander zu verbinden.

Der IT-Sicherheit im OZG kaum Aufmerksamkeit geschenkt

Behörden und öffentliche Administrationen seien immer wieder Ziele von Cyber-Angriffen, wie beispielsweise die Stadt Potsdam Ende des Jahres 2022. Dennoch schenkten die Zuständigen dem Thema IT-Sicherheit im OZG kaum Aufmerksamkeit. Zwar seien seit der EU-DSGVO insbesondere personenbezogene Daten entsprechend zu schützen. Für den datenschutzkonformen Austausch von Daten seien jedoch keine einheitlichen Vorgaben definiert worden.

Dies verwundere, stelle doch der ungesicherte, unverschlüsselte Austausch von Informationen nicht nur einen Verstoß gegen die DSGVO dar, sondern sei darüber hinaus noch eines der größten Einfallstore für Cyber-Angriffe. Albertini kommentiert: „Hier besteht dringender Nachholbedarf.“ Einen Lichtblick in puncto Sicherheit enthalte der aktuelle Neuentwurf des OZG 2.0 bereits: Dieser schaffe die gesetzliche Grundlage für eine flächendeckende und einheitliche elektronische Signatur. Das bedeute nicht nur ein Mehr an Sicherheit, sondern mache es einfacher, Prozesse durchgehend zu digitalisieren. Denn dafür stelle eine notwendige manuelle Unterschrift noch einen großen Hemmschuh dar.

OZG mit angezogener Handbremse: Nur zur Hälfte digitalisierte Prozesse schöpfen Potenziale nicht aus

Die Erforderlichkeit physischer Unterschriften sei jedoch nur einer von vielen Gründen, „warum digitale Prozesse häufig nicht durchgängig implementiert sind“. Um die Ziele des OZG so schnell und effizient wie möglich umzusetzen, führten viele Behörden Online-Formulare ein. Diese ermöglichten es zwar, Anträge einfach und unkompliziert digital einzureichen.

Albertini führt weiter aus: „In der Folge bearbeiten die Behörden diese aber weiterhin analog. Die vorhandenen Potenziale der Digitalisierung und Automatisierung von Prozessen bleiben also nach wie vor ungenutzt.“ Mit einer erfolgreichen Digitalen Transformation der Verwaltung habe dies nur wenig zu tun.

OZG sollte konsequent umgesetzt werden – vollständige Automatisierung gefragt

„Ziel sollten komplett digitalisierte Abläufe sein, in der alle Prozesse durchgängig online verfügbar sind“, betont Albertini. „Nicht nur sollten diese die Daten und Informationen digital erfassen.“

Auch die anschließenden Daten-Workflows und Prozesse sollten vollständig automatisiert sein. Behörden umgingen erst damit die gängigen, analogen Fehlerquellen, entlasteten ihre Mitarbeiter und sparten Zeit und Geld.

OZG 1.0 sah bereits elektronischen Kommunikationskanal für Bürger und Behörden vor

Eine weitere Lücke in der Behördenkommunikation ließe sich durch einen digitalen Rückkanal schließen, den bereits das OZG 1.0 gefordert habe. Zukünftig sollten Bürger Bescheide oder Informationen der Behörde zu einem Antrag nicht mehr per Post, sondern auf elektronischem Weg erhalten. Vorgesehen sei ein Postfach, welches an das Nutzerkonto des jeweiligen Onlineservices angeschlossen sei.

„Stellt jemand einen Antrag, wird automatisiert ein Kommunikationskanal eröffnet“ – über diesen könnten Antragssteller Informationen mit Bezug zu ihrem Antrag direkt mit der Behörde austauschen oder Rückfragen stellen. Bürger verfügten mit diesem Rückkanal über einen individuellen und sicheren Kommunikationskanal, welcher es Sachbearbeitern erleichtere, Anfragen korrekt zuzuordnen und Fehler zu vermeiden, wenn Abläufe Informationen einem falschen Antrag zuweisen würden. Nach dem erfolgreichen Abschluss des Antrags lasse sich dieser Kanal schließen.

Digitale Transformation der öffentlichen Verwaltung auch mit OZG 2.0 keine zu einem Stichtag abgeschlossene Aufgabe

Die Digitale Transformation der öffentlichen Verwaltung werde aber auch mit dem OZG 2.0 keine zu einem Stichtag abgeschlossene Aufgabe werden. „Wie schleppend die Administrationen das alte OZG umsetzten, hat bereits zur Genüge gezeigt, dass für eine flächendeckende Digitalisierung und wirklich digitalisierte und funktionierende Dienste für Bürger klare technische und rechtliche Vorgaben notwendig sind.“

Abschließend erläutert Albertini: „Weniger, um Behörden Druck zu machen oder sie in der Umsetzung einzuschränken, sondern um eine Infrastruktur zu schaffen, die es Bürgerinnen und Bürgern ermöglicht, Verwaltungsleistungen digital abzurufen und unnötige Behördengänge zu vermeiden.“ Genau dies zeichne aber eine innovative digitale Verwaltung aus.

Weitere Informationen zum Thema:

POTSDAM, 02.01.2023
Umfangreiche Sicherheits-Tests nach präventiver Abschaltung der Internetverbindungen

Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

[datensicherheit.de, 16.11.2022] „Die Risiken der sogenannten Schatten-IT werden häufig unterschätzt“, warnt Ari Albertini, „Co-CEO“ der FTAPI Software GmbH, in seiner aktuellen Stellungnahme. Auf den ersten Blick erschienen die in Abteilungen ohne Genehmigung der IT-Verantwortlichen genutzten Anwendungen, „Cloud“-Dienste und Konten eher harmlos. Sie seien oft benutzerfreundlicher als die Unternehmens-IT und stünden kostenlos zur Verfügung. Albertini stellt klar: „Für Unternehmen stellen ,Schatten-Tools’ jedoch ein ernstes Risiko für Sicherheit und Compliance dar.“ Viele IT-Verantwortliche schränkten die Verwendung daher mit drastischen Maßnahmen ein – meistens jedoch nicht mit dem gewünschten Erfolg. Sinnvoller wäre es, eine Unternehmens-Software einzusetzen, welche neben Datensicherheit auch ein hohes Maß an Anwenderfreundlichkeit bietet. IT-Verantwortliche könnten durch entsprechende Lösungsangebote an die Mitarbeiter die Verwendung illegaler Software reduzieren und dem Entstehen von „Schatten-IT“ entgegenwirken.

Foto: FTAPI Software GmbH

Ari Albertini: Virtuelle, browser-basierte Datenräume bieten effiziente Möglichkeit für das Teilen von Informationen und eine Kollaboration ohne Sicherheitsrisiko

Folgende Maßnahmen dämmen das Entstehen von Schatten-IT erfolgreich ein:

1. Bedürfnisse der Mitarbeiter verstehen!
„,Schatten-IT’ entsteht dann, wenn Mitarbeitenden keine passenden Lösungen zur Verfügung stehen, um ihre Aufgaben effizient zu erledigen“, erläutert Albertini. Der Einsatz nicht genehmigter Anwendungen und Dienste sei zudem ein Zeichen, dass das aktuelle Angebot den Anforderungen und Bedürfnissen der Mitarbeiter nicht gerecht werde. „Nutzer weichen dann häufig auf andere ,Tools’ aus, weil diese leichter zu nutzen sind oder ihre Bedürfnisse besser erfüllen.“ In der Regel machten sie sich über die daraus entstehenden Risiken keine Gedanken: „Etwa, wer auf welche Daten zugreifen kann oder ob Sicherheitslücken den Dienst zu neuen Einfallstoren für Cyber-Kriminelle machen.“
Bevor Verantwortliche Maßnahmen gegen den „IT-Wildwuchs“ ergreifen, müssten sie jedoch erst herausfinden, wie weit dieser in ihrem Unternehmen verbreitet ist. Das Befragen der Mitarbeiter sei da eine effiziente Möglichkeit. Hilfreich seien auch Monitoring-Programme, welche unbekannte IP-Adressen im Unternehmensnetz aufspürten. „Haben die Verantwortlichen sich so einen Überblick verschafft, können sie ihr Anwendungs- und Dienstportfolio präziser auf die offenbar nicht bedienten Bedürfnisse der Mitarbeitenden abstimmen.“ Letztlich würden sie in die Lage versetzt, die nicht genehmigten Ressourcen mit bedarfsgerechten, sicheren und intuitiv bedienbaren Lösungen zu ersetzen.

2. Produktive sichere Arbeitsumgebungen schaffen!
Selbst der Kommunikationsklassiker E-Mail unterstütze nicht immer alle praktischen Bedürfnisse: „Das ist zum Beispiel dann der Fall, wenn Mitarbeitende regelmäßig große Dateninhalte in einer Nachricht übermitteln müssen, aber damit Limits der zulässigen Mail-Größe überschreiten oder eine zu kleine Mailbox viel zu schnell zu voll wird.“ Nicht wenige Mitarbeiter wichen dann auf andere E-Mail-Anbieter aus. Damit entziehe sich aber die Nachrichtenübermittlung der Kontrolle durch die zentrale IT. Die Mehrzahl der angebotenen Lösungen übermittele zudem die Daten unverschlüsselt und biete, oft ohne besonderen Schutz ausgestattet, Cyber-Kriminellen eine ideale Angriffsfläche.
„Nur ein vollständig abgesicherter E-Mail-Verkehr – beispielsweise durch eine durchgängige Ende-zu-Ende-Verschlüsselung – kann die Informationen im Nachrichtenverkehr soweit schützen, dass Mitarbeitende selbst sensible, personenbezogene oder geschäftskritische Daten ohne Bedenken versenden können.“ Wenn der IT-Administrator die maximale Größe der Nachrichten und Mailboxen dann noch den Bedürfnissen entsprechend festgelege, blieben die Mitarbeiter dieser vorgeschlagenen E-Mail-Lösung treu.
Auch virtuelle, browser-basierte Datenräume böten eine effiziente Möglichkeit für das Teilen von Informationen und für eine Kollaboration ohne Sicherheitsrisiko. Diese besonders abgesicherten Ressourcen schützten nicht nur personenbezogene und andere sensible Daten vor unerlaubtem Zugriff, sondern organisierten zugleich die Zugriffsrechte Einzelner und von Gruppen. Mitarbeiter könnten auf die in den Datenräumen gespeicherten Daten ortsunabhängig und sicher zugreifen und Dateien jeder Größe auch über Unternehmensgrenzen hinweg ohne Risiko austauschen.

3. Automatisierte Workflows für mehr Datensicherheit!
IT-Verantwortliche könnten proaktiv ihren Mitarbeitern „Tools“ an die Hand geben, um gerade lästige Aufgaben automatisiert zu erledigen. Auch dadurch verhinderten sie das Abwandern von Beschäftigten in die „Schatten-IT“. Lösungen für einen automatisierten Daten-Workflow böten eine einfach zu integrierende offizielle Alternative im Gegensatz zu dem in vielen Firmen vorhandenen Wildwuchs an einzelnen „Tools“, die automatisch Daten synchronisieren, verarbeiten, versenden, archivieren oder auch Freigaben generieren sollten.
Die Ablage von Dokumenten, der postalische Versand von Gehaltsabrechnungen oder manuelle Bewerbungsprozesse könnten so schneller und zuverlässiger erledigt werden – „für mehr Effizienz und Sicherheit im Tagesgeschäft“. Geeignete Automatisierungs-Plattformen unterstützten dabei, Daten gesetzeskonform zu verarbeiten. Zudem blieben auch hier die Daten während des gesamten Workflows Ende-zu-Ende verschlüsselt. Eine revisionssichere Prozessautomatisierung verhindere zudem eine nachträgliche Datenmanipulation. Durch ein solches Hilfsangebot erhielten Mitarbeiter mehr Freiraum, so dass sie sich auf wesentliche, höherwertige Aufgaben konzentrieren könnten. „Solche Hilfen werden akzeptiert.“

4. Mehr Sicherheitsbewusstsein durch Schulungen!
Die meisten Mitarbeiter nutzten die kostenfreien Tools nicht, um dem Unternehmen zu schaden. „Sie fühlen sich eher durch zu rigide Sicherheitsbestimmungen im Unternehmen eingeschränkt oder ärgern sich über zu langsame Reaktionen der IT-Verantwortlichen auf ihre Anfragen“, erläutert Albertini. Persönliche, nicht von der IT freigegebene Konten ließen sich dagegen oft im ersten Schritt unkomplizierter, flexibler und schneller nutzen. In regelmäßigen Schulungen sollten Unternehmen daher ihre Mitarbeiter über die Risiken nicht-autorisierter Software informieren – „und ihnen klar machen, dass ein unkontrolliertes Sammelsurium an IT-Tools den Datenschutz und die Datensicherheit des Unternehmens gefährden“. Sie sollten Mitarbeiter außerdem ermutigen, fehlende Lösungen proaktiv einzufordern, anstatt hinter dem Rücken der IT eine gefährliche Selbsthilfe zu starten.
Durch regelmäßige, offene Kommunikation könnten Unternehmen einer Schatten-IT effektiv entgegenwirken. Abschließend rät Albertini: „Um einen verantwortungsvollen Umgang mit Unternehmensdaten zu erreichen, sollten Geschäftsführung und IT-Verantwortliche daher sichere Software-Lösungen unterstützen, die Compliance und einfache Bedienbarkeit in den Mittelpunkt stellen.“