Die (un-)heimliche IT

Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit ĂŒber die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der KomplexitĂ€t von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natĂŒrlich auch aus, dass auf Test, Dokumentation, VersionsfĂŒhrung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile PrĂŒfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbstĂ€ndig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen fĂŒr die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur VerfĂŒgung. Das mag im privaten Bereich komfortabel und gĂŒnstig sein. Doch fĂŒr Unternehmen entsteht aus dieser “Schatten-IT” ein betrĂ€chtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschĂ€tzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit können fĂŒr IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewĂ€hrleistet werden.

An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen fĂŒr die GeschĂ€ftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunĂ€chst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu mĂŒssen. Denn Ziel der BIA ist die Absicherung der  GeschĂ€ftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken fĂŒr die VerfĂŒgbarkeit, Vertraulichkeit und IntegritĂ€t zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage fĂŒr eine risikoorientierte  Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen mĂŒssen durch die IT Lösungen an die Hand gegeben werden, die FunktionalitĂ€ten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genĂŒgen.

Dies können zum Beispiel sein

  • Integration der FunktionalitĂ€ten in bestehende Standard-Anwendungen
  • Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
  • Geschlossene Unternehmens Cloud Lösungen
  • Sichere Dateitransfer- und Kommunikationslösungen
  • Geregelter Einkauf von Web-Anwendungen ĂŒber Einkauf und IT.

Auch wenn PrĂŒfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management ĂŒber die reine Notfallvorsorge hinaus.

One Response

Ein Pingback

  1. BCM-News Daily Digest » Business Continuity Management News

Schreibe einen Kommentar