Aus dem Schatten treten

Risiken vermeiden

Interview mit Stephan Dawo,Leiter Business Unit München bei der agentes GmbH

Zahlreiche Altanwendungen, aber auch uneinheitliche, individuell entwickelte und über Jahre gewachsene Systeme, bergen hohe Risiken für Unternehmen. Man spricht dann von der sogenannten „Schatten IT“ – dezentral, häufig an der unternehmenseigenen IT-Abteilung vorbei entwickelter Lösungen. Mit den Anforderungen an das Risikomanagement sind diese Anwendungen jedoch überfordert.

Herr Dawo, inwiefern ist das Thema Schatten-IT heute aktueller denn je?
Unternehmen setzen zurzeit häufig auf Cloud Services, kostenlose Dienste also, die nicht immer in Absprache mit der eigenen IT-Abteilung genutzt werden. Diese Anwendungen bergen hohe Risiken, was die Sicherheit der Daten angeht. Die aktuelle Diskussion im Bereich Risikomanagement zeigt zudem, dass das Thema Sicherheit und Risikominimierung zumeist an die unternehmenseigenen IT –Abteilungen ausgelagert wird. Wenn sich Fachabteilungen ihrer Verantwortung diesbezüglich entziehen, entstehen vielfach auch Insellösungen, die beispielsweise auf Microsoft Excel basieren. Diese Anwendungen sind jedoch mit regulatorischen Anforderungen, wie etwa der Datendokumentation, überfordert.

Wo sehen Sie persönlich die größten Risiken von Schatten-IT?
Das größte Risiko sehen wir vor allem im unkontrollierten Wuchs von Schatten-IT.
Je mehr Anwendungen in Unternehmen existieren, desto weniger lässt sich nachvollziehen, woher diese kommen, wer welche Rechte für diese besitzt und ähnliches. Aber auch soziale Netzwerke können in den Bereich Schatten-IT fallen: beispielsweise dann, wenn Mitarbeiter in Unternehmen am eigenen Intranet vorbei kostenfreie Dienste wie beispielsweise facebook nutzen, um sich untereinander auszutauschen. Dabei entstehen für Unternehmen klare Risiken. So können beispielsweise vertrauliche Informationen nach außen gelangen, Arbeitsplätze bieten mehr Angriffsfläche für Malware oder aber ganze Abteilungen verlieren an Produktivität.

Und wo sehen Sie Chancen?
Die meist aus Kostengründen individuell entwickelten Lösungen können meiner Ansicht nach problemlos auf zukunftsfähige Architekturen migriert werden, ohne dass die gewünschten Funktionalitäten verloren gehen. Das ist eine Chance für die Institute, sich für die kommenden Jahre IT-seitig zu rüsten.

Mit Blick auf 2012: Worin sehen Sie die größten Herausforderungen für das Risikomanagement in der Finanzindustrie?
Wir sehen die größte Herausforderung darin, die Verantwortung für das Risikomanagement zukünftig gleichermaßen zu teilen und nicht etwa das Thema einzig und allein zum Projekt der IT-Abteilungen zu machen. Gerade die Komplexität der Regulatorien erfordert ein perfektes Zusammenspiel zwischen den einzelnen Fachabteilungen und der IT. Wir als agentes werden da sicher auch im nächsten Jahr unseren Beitrag leisten.