Die Schatten IT – der unsichtbare Feind in der Behörden-IT
Das Datenvolumen wächst ständig; dieser Umstand verändert massiv das Kommunikationsverhalten von Mitarbeitern in Behörden und Unternehmen. Können die zur Verfügung stehenden Systeme die daraus resultierenden Anforderungen nicht erfüllen, behelfen sich die Mitarbeiter oft selbst und verwenden Informations- und Kommunikationstechnologien, ohne die IT-Abteilung darüber zu informieren oder ohne Autorisierung. Dann kommen Produkte zum Einsatz, die nicht den Compliance-Standards entsprechen. Die sogenannte Schatten-IT kann jedoch verhindert werden, indem bestimmte Punkte bei der Softwareauswahl beachtet werden.
Häufig tritt der als Schatten-IT bezeichnete Einsatz von nichtautorisierter Software beim Datenaustausch in Behörden auf: Sollen große Daten an Kollegen, Projektpartner oder Bürger geschickt werden, kommen gängige E-Mail-Lösungen schnell an ihre Grenzen. Kaum eine ermöglicht den Versand von beispielsweise Bauplänen, Ausschreibungsunterlagen oder Konstruktionsdaten. Mangels Alternativen und oft unter Zeitdruck weichen Anwender auf Lösungen aus, die sie aus ihrem privaten Umfeld kennen: Public-Cloud-Lösungen wie Google Drive, Dropbox oder iCloud sind schnell gestartet und ermöglichen eine einfache Kommunikation mit dem Empfänger. Für den Anwender ist das Problem kurzfristig gelöst. Die rechtlichen und organisatorischen Folgen können jedoch schwerwiegend sein.
Gefahren der Schatten-IT
Nutzen Beamte nicht autorisierte Lösungen, verliert die IT die Kontrolle über die Dateien, die dann auf öffentlichen Servern außerhalb der eigenen IT-Infrastruktur liegen. Damit wird gegen Gesetze, die DSGVO sowie interne Compliance-Vorgaben verstoßen. Ganz zu schweigen von der Sicherheit der Daten – auf die Öffentliche Hand werden laut einer Studie von radware die meisten Cyberattacken aller Branchen durchgeführt. Public Cloud-Dienste bieten nur ganz selten verschlüsselte Übertragung beziehungsweise Speicherung der Daten an. Hinzu kommt, dass die Server der gängigen Dienste in den Vereinigten Staaten stehen oder es sich um amerikanische Unternehmen handelt, die dazu verpflichtet sind, Daten im Zweifelsfall herauszugeben.
Eine Schatten-IT durch Verbote zu unterbinden, löst das eigentliche Problem nicht. Es müssen Alternativen für den sicheren Datentransfer angeboten werden, die sowohl den Anforderungen an Compliance als auch an einfache Bedienbarkeit gerecht werden – besonders und vor allem in der Bürgerkommunikation. Die E-Mail ist das Kommunikationsmittel mit der weitesten Verbreitung und der höchsten Akzeptanz im Arbeitsalltag. Weichen Beamte auf nicht autorisierte Lösungen aus, dann nur, weil die zur Verfügung stehenden Lösungen nicht die gewünschten Funktionen abdecken.
Den Anwender verstehen
Um jederzeit die Kontrolle über den Datenfluss und den Datenschutz in der Behörde zu behalten, ist eine Lösung zum sicheren und vor allem einfachen Datentransfer heute ein Muss. Eine solche Lösung muss nicht nur sicher und einfach sein, sondern sich auch schnell in wichtige Kommunikationsprozesse integrieren lassen. Nur dann wird sie vom Anwender akzeptiert und verwendet.
Überall dort, wo Sicherheit und die Nachvollziehbarkeit bei der Übertragung vertraulicher Daten gefragt sind, kommen Behörden an einer Ende-zu-Ende-Verschlüsselung der Daten nicht vorbei. Sie umfasst eine sichere Verschlüsselung des Transportweges sowie die Verschlüsselung der Nachricht und der angehängten Dateien.
Verschlüsselung als Weg zum Erfolg
Dabei spielt die eingesetzte Verschlüsselungstechnologie eine wichtige Rolle. Bei der Auswahl einer optimalen Lösung sollte darauf geachtet werden, dass wichtige Kriterien erfüllt werden: Die Ende-zu-Ende-Verschlüsselung muss BSI-konform und der verwendete Algorithmus als sicher eingestuft sein. Zudem muss sie eine dem aktuellen Standard entsprechende Schlüssellänge verwenden.
Neben einer hochsicheren Ende-zu-Ende-Verschlüsselung und der einfachen Bedienbarkeit gibt es noch weitere wichtige Kriterien, die eine Softwarelösung für den sicheren Datentransfer in einer Behörde erfüllen muss. Sie sollte sich unbedingt nahtlos in bestehende Systeme integrieren lassen, individuell an die Erfordernisse der Behörde anpassbar, nachvollziehbar und kostentransparent sein sowie die Übertragung hoher Datenmengen ohne Größenlimit sicherstellen. Zudem garantiert eine optimale Lösung einen geringen Verwaltungsaufwand und entlastet die IT-Administratoren.
Digitalisierung in Hinblick auf das OZG
Zudem bieten moderne Softwareprodukte zahlreiche innovative Features zur Digitalisierung des Inputmanagements und somit einen wichtigen Baustein für die Erfüllung von eGovernment- und Online-Zugangs-Gesetz.