Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit über die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der Komplexität von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natürlich auch aus, dass auf Test, Dokumentation, Versionsführung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile Prüfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbständig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen für die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur Verfügung. Das mag im privaten Bereich komfortabel und günstig sein. Doch für Unternehmen entsteht aus dieser “Schatten-IT” ein beträchtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschätzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, Integrität und Verfügbarkeit können für IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewährleistet werden.
An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen für die Geschäftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunächst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu müssen. Denn Ziel der BIA ist die Absicherung der Geschäftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage für eine risikoorientierte Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen müssen durch die IT Lösungen an die Hand gegeben werden, die Funktionalitäten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genügen.
Dies können zum Beispiel sein
- Integration der Funktionalitäten in bestehende Standard-Anwendungen
- Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
- Geschlossene Unternehmens Cloud Lösungen
- Sichere Dateitransfer- und Kommunikationslösungen
- Geregelter Einkauf von Web-Anwendungen über Einkauf und IT.
Auch wenn Prüfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management über die reine Notfallvorsorge hinaus.
