users lounge

Der Podcast für mehr IT-Sicherheit

#38 Schatten-IT

Die unsichtbare Gefahr im Unternehmen

14.03.2025 60 min

Zusammenfassung & Show Notes

Wo Licht ist, ist auch Schatten - Gleiches gilt in der IT. Wir sprechen daher mal genau über diese Schatten. Die Gründe für Schatten-IT sind vielfältig, aber auch die Gefahren. Wir diskutieren die Möglichkeiten wie Schatten-IT verhindert werden kann und wie auch das Verständnis im Unternehmen dafür geschärft wird.

In dieser Episode diskutieren wir über die Herausforderungen und Lösungen im Bereich der Technik für Unternehmen. Wir betonen, wie wichtig es ist, Transparenz über die IT-Ressourcen im Unternehmen zu haben und welche Rolle die Kommunikation zwischen IT und Mitarbeitern spielt. In dieser Episode wird das Thema Schatten-IT umfassend behandelt, insbesondere wie sie entsteht, welche Herausforderungen und Sicherheitsrisiken sie mit sich bringt und welche Maßnahmen Unternehmen ergreifen sollten, um diese Risiken zu minimieren. Wir stellen erneut fest, dass technische und organisatorische Maßnahmen notwendig sind, um die IT-Sicherheit zu gewährleisten und dass Schulungen und Awareness für Mitarbeiter entscheidend sind. Zudem stehen auch Cloud-Lösungen und deren Risiken im Fokus. Auch die Wichtigkeit individueller Lösungen für Unternehmen, die Notwendigkeit von Offenheit gegenüber Mitarbeiterbedürfnissen und die Bedeutung von Monitoring zur Vermeidung von Schatten-IT sind wichtige Punkte. Unser Fazit: Es gibt keine universelle Lösung und Unternehmen müssen proaktiv handeln, um Sicherheitsrisiken zu minimieren.

Takeaways
  • Schatten-IT kann sowohl Hardware als auch Software umfassen.
  • Die Nutzung von Cloud-Diensten ohne Genehmigung ist ein Risiko.
  • Mitarbeiter nutzen oft private Software aus Bequemlichkeit.
  • Ein idealer Zustand in Unternehmen erfordert Transparenz über IT-Ressourcen.
  • IT-Sicherheit sollte in der Unternehmensstrategie verankert sein.
  • Die Kommunikation zwischen IT und Mitarbeitern ist entscheidend. Schatten-IT entsteht oft durch unzureichende IT-Regelungen.
  • Mitarbeiter suchen sich oft eigene Lösungen, wenn offizielle nicht vorhanden sind.
  • Sicherheitsrisiken durch Schatten-IT sind erheblich und oft unbemerkt.
  • Technische Maßnahmen sollten immer Vorrang vor organisatorischen haben.
  • Schulungen sind entscheidend, um das Bewusstsein für IT-Sicherheit zu schärfen.
  • Compliance-Regelungen müssen klar kommuniziert und durchgesetzt werden.
  • Cloud-Lösungen können Sicherheitsrisiken bergen, wenn sie nicht richtig verwaltet werden.
  • Mitarbeiter müssen adäquate Lösungen an die Hand bekommen, um Schatten-IT zu vermeiden.
  • Die Verantwortung für Datenmanagement liegt beim Unternehmen.
  • Ein effektives Backup-Konzept ist unerlässlich für Cloud-Daten. Datenübertragung erfordert klare Zugriffsmanagement-Strategien.
  • Permanente Zugriffe sind nicht notwendig beim Datentransfer, temporäre Links sind zu bevorzugen.
  • Die Wahl der Cloud-Anbieter sollte Sicherheitsmechanismen berücksichtigen.
  • Mitarbeiterbedürfnisse sollten ernst genommen werden.
  • Offenheit für neue Technologien ist wichtig.
  • Monitoring kann helfen, Schatten-IT zu erkennen.
  • Unternehmen sollten proaktiv Sicherheitsmaßnahmen ergreifen.
  • Es gibt keine universelle Lösung für alle Unternehmen.

Transkript

Michael
00:00:57
Schönen guten Morgen René, grüße dich.
René
00:01:00
Moin Michael. Episode 38.
Michael
00:01:05
Episode 38. Thema schließt sich ein Stück an, an das was wir das letzte Mal hatten. Und zwar hatten wir uns als Thema diesmal vorgenommen, wir reden mal über die Schatten-IT und unsichtbare Gefahren im Unternehmen. Titel kam von dir, fand ich cool, hat dich angetriggert. Lass uns mal über Schatten-IT reden.
René
00:01:25
Ja, wir sind ja auch schon ein paar Mal drüber gestolpert. Ich glaube, wir haben ja mal, ich weiß nicht mehr, wir haben mal über Managed-Geräte gesprochen oder generell Managed. Und da sind wir ja auch schon mal über die Schatten-IT gestolpert. Schatten-IT ist immer so ein Begriff, der ist immer schwierig. Es hört sich immer so abgedroschen an, ein Gerät, was da irgendwo liegt, keine Ahnung. Was man halt einfach nicht im Blick hat. Aber eigentlich ist es ja noch mehr als das. Und ich glaube, deswegen ist es einfach schon interessant, mal drüber zu sprechen und einfach mal zu gucken, was bedeutet das? Wie sollte man damit umgehen? Und gerade du aus dem regulatorischen Bereich, Compliance, wo wir vor ein paar Episoden auch waren, da gehört das einfach mit rein.
Michael
00:02:08
Es ist auch ein durchgehender Running-Gag, um es mal so auszudrücken, in allen Unternehmen. Und deswegen nehmen wir uns jetzt die Zeit, reden mal drüber. Ich hoffe, dass wir es nicht crashen wie beim letzten Mal, dass wir über die anderthalb Stunden drüber gehen. Weil ich glaube, über Schatten-IT könnten wir mehrere Folgen machen und könnten echt auch allein aus der Praxiserfahrung und aus was haben wir schon gesehen, glaube ich, allein zwei Stunden füllen. Wir versuchen das in der Stunde abzufrühstücken. Wir gehen relativ raff durch. Und sollten wir uns in einem Thema so fest quatschen, würde ich sagen, wir brechen das ab an der Stelle und machen dazu mal eine extra Folge. Also das sind so die Dinge, wo ich sage, wir gucken, wie wir durchkommen. Weil allein jetzt, wenn ich dich frage, was ist denn Schatten-IT oder wie definierst du denn Schatten-IT? Allein darüber, glaube ich, werden wir jetzt so viele Optionen kriegen und Möglichkeiten aufzeigen.
René
00:03:01
Also ich will jetzt gar nicht heute so groß auf einzelne Produkte eingehen. Ich glaube, das macht es dann einfacher, wenn wir jetzt wirklich gucken, dass wir relativ allgemein daran gehen. Also wirklich immer von Gruppen sprechen oder was es halt im Großen und Ganzen ist. Also wenn wir zur Definition von Schatten-IT kommen, dann ist es erstmal so, wie ich gerade eingangs ja schon gesagt hatte, das kann Hardware sein, das kann Software sein, die irgendwo im Netzwerk existiert, die keiner auf dem Schirm hat, die einfach da ist und nicht gemonitort wird, nicht gewartet wird, nichts. Sie ist einfach da. So und das kann auch einfach damit zu tun haben, dass diese Hardware grundsätzlich im Unternehmen gar nicht vorgesehen ist, die da jemand reinsteckt. Nehmen wir mal, meinetwegen wird sie auch gewartet. Sie wird auch gesehen, sie wird aber komischerweise akzeptiert, obwohl sie da nicht hingehört. Nehmen wir da Alexa, du hast das schon mal angesprochen oder HomePod oder keine Ahnung was, das ist ja auch etwas, was nicht unbedingt ins Firmennetzwerk gehört, aber es ist halt da. So und genauso kann eine Schatten-IT auch eben ein Cloud-Speicher sein. Ich habe das schon ganz oft gesehen, dass dann jemand im Unternehmen dann sagt, ja hier, ich muss jetzt Daten mit jemandem teilen, leg das mal eben in der Dropbox und dann wird das halt rausgeschickt. Das ist halt so und das ist halt etwas, das wird einfach gemacht, um es einfach zu halten, weil man vielleicht für sich selber keine Alternative eben zur Hand hat oder vielleicht auch die Expertise dazu nicht hat, wie auch immer. Aber das sind so Bereiche, wo ich sage, okay, das ist ganz klar Schatten-IT. Und Software ist halt genau das gleiche. Jetzt nicht unbedingt nur Cloud, es gibt auch Software, die auch Daten übers Netzwerk sammeln könnte, also auch eine Gefahr darstellt, die vom Unternehmen nicht vorgesehen ist. Also das heißt, sie ist vielleicht nicht lizenziert übers Unternehmen, ist auch gar nicht gewollt, sie zu nutzen, weil es eben Risiken gibt. Aber Mitarbeiter machen es sich dann einfach, um eben schnell ein Ergebnis zu bekommen. Auch das ist diese Richtung.
Michael
00:05:11
Also ich habe für Schatten-IT, du hast schön geclustert, Schatten-IT ist Hardware und Software. Ich würde den Cluster eine Stufe dedizierter machen. Und zwar Schatten-IT kann sowohl Firmen-IT als auch private IT sein und sowohl dienstlich genutzte Software als auch private Software, weil da clustert es sich ja nochmal. Also du hast ja einmal dieses Thema mit privates Handy im Firmennetzwerk drin, ohne was schattenmäßig von der IT-Net erfasst wird und was du nicht auf dem Schirm hast. Du kannst das aber auch genauso gut haben und da bringe ich gerade mal so etwas Aktuelles rein, was gerade in fast jedem Unternehmen gelebte Praxis ist, was natürlich, wenn ich von einer privaten Software und Schatten-IT spreche, dann ist es ganz klar der private Jet-GPT-Zugang, wo die ganzen Firmendaten durchgenudelt werden, weil sich das Unternehmen noch über keine GPT-Gedanken gemacht hat und noch keine gescheiten Regelungen getroffen hat. Hashtag KI-Verordnung, können wir vielleicht dem Thema, ich weiß nicht, ob wir es anschneiden, aber das ist für mich so ein absolut plakiates Beispiel, plakatives Beispiel für, was ist denn eine private Schatten-IT im Kontext von einem Unternehmen?
René
00:06:20
Ja, da hast du natürlich recht. Also da trennt sich es nochmal auf, ob ich sie jetzt wirklich im gewerblichen Bereich nutze oder ob es eben privat ist. Das gehört nochmal dazu mit zur Betrachtung. Es kann durchaus beides sein. Also wie ich gerade schon gesagt habe, wenn wir jetzt mal einfach nur darüber sprechen, wie entsteht das eigentlich? Es gibt ja immer Gründe auch für eine Schatten-IT. Wenn wir jetzt mal einmal den ersten Punkt da nehmen, das ist halt, glaube ich, einfach so ein Punkt Bequemlichkeit, wenn man einfach sagt, okay, ich möchte jetzt nicht irgendwie jemanden anfragen, keine Ahnung, ich brauche jetzt eine Freigabe auf irgendwas, also zum Beispiel, meine Wegen, wir haben ein Sharepoint eigentlich, aber ich müsste es jetzt bei der IT anfragen. Dann zieht sich das alles so lange hin. Ja, komm, ich nehme einen privaten Dropbox-Account. So, und dann schickt man es darüber. So kann es passieren. Das ist auch genau so. Also dann sprechen wir eigentlich auch schon von der Produktivität. Das ist ja genau eigentlich das Gleiche. Also wenn jetzt nicht unbedingt nur die IT dann vielleicht der ausschlaggebende Faktor ist, sondern es kann ja auch sein, dass ich bestimmte Prozesse habe, die einfach zu lange dauern. Keine Ahnung. Ich frage eigentlich was im Unternehmen an. Ich brauche jetzt irgendein Gerät. Das kostet meine Wegen nur einen Zwanni. So, das müsste ich aber jetzt anfragen. Dann dauert das, bis überhaupt eine Freigabe kommt, dass ich das Gerät bekommen soll. Ja, komm, ich bestelle mir das eben selber bei Surfcom. Und dann kriege ich das dann halt und setze es einfach ein, ohne zu fragen. Das kann ja auch ein Punkt davon sein, weil ich das für mich für zu bürokratisch oder Ähnliches halte.
Michael
00:07:56
Und es gibt Unternehmen, da funktioniert das richtig gut. Eigene Erfahrung. Wenn das zu lange dauert, holst du es eben bei Hashtag Surfcom. Und dann reichst du es einfach als Barquittung mit in die nächste Spesenabrechnung mit rein. Merk kein Schwein, kriegst die Kohle zurück und hast das Ding. Wenn im Außendienst mehrfach gelebte Praxis, kann ich nur, also ich könnte mir vorstellen, dass es Unternehmen gibt und Mitarbeiter gibt, die sowas ausnutzen und wo sowas funktioniert. Wenn ich mich mal neutral ausdrücke. Also gelebte Praxis. Aber René, ich habe einen Punkt ganz kurz noch, damit wir alle, die zuhören, auch noch mal richtig abholen. Bevor wir über die Schatten-IT noch mal weiter ins Detail reingehen, lass uns noch mal ganz kurz, gib uns zwei Minuten und lass uns mal die heile Welt ausmalen. Weil wenn wir ja über Schatten sprechen, mal blöd gesagt, müsst ihr auch Licht geben. Das heißt, was ist denn in einem Unternehmen oder für den IT-Administrator des Unternehmens, der Idealzustand? Und da ist doch, wo wir hinwollen ist und der Idealzustand, wo wir sein wollen ist doch, das Unternehmen, der IT-Administrator im Unternehmen hat unter Kontrolle, welche Unternehmen oder welche Geräte es im Unternehmen gibt, welchen Zugriff diese Unternehmen auf welche Netzwerke haben und welche Software-Systeme in dem Unternehmen im Einsatz ist. Warum? Der René kommt von der IT-Sicherheitsseite her, von der Administration, Mobile Device Management, Organisation, Struktur, Rechte, Rollen, Nutzer, Verschlüsselung. Ich komme vom Datenschutz her. Ich muss wissen, wo meine Daten liegen, Datenhaltung, welche Daten werden transferiert, in welche Software-Systeme geht es rein, AV-Verträge, Auftragsverarbeitung, den ganzen Zermorn und dafür brauche ich in meinem Unternehmen oder ist mein Ziel im Unternehmen, ich habe eine Transparenz. Ich weiß ganz genau, welche Geräte sind bei mir unterwegs, wie ist mein Software-System aufgebaut, wer hat Zugriff auf meine internen Systeme und welche Software habe ich im Einsatz und welche Daten liegen in dieser jeweiligen Software. Ich glaube, dass wir da nochmal ganz kurz klar sind. Ich denke, das ist die heile Welt, die wir alle anstreben und das ist das, wo ein Unternehmen sein sollte, wenn sie es richtig machen wollen. Das wäre das Licht im Unternehmen. Ja, definitiv. Nur, dass wir da noch einmal ganz klar sind, wenn wir von Schatten-IT sprechen, was ist denn der Gegenpol oder was ist der strebenswerte Zustand?
René
00:10:27
Das kann ich jetzt nicht nochmal wiederholen.
Michael
00:10:29
Das hat es ja eigentlich schon gut zusammengefasst. Genau und da ist ganz klar, was du gesagt hast, da sucht sich die Natur seinen Weg. Also, wenn ich im Unternehmen Strukturen habe, die eben sehr zäh sind, wie du es auch immer schon gesagt hast, und im Unternehmen es eben unklar ist, mit IT-Freigaben, mit Anschaffungen, mit Cloud-Diensten, mit was auch immer, wird sich der Mitarbeiter aus Bequemlichkeit oder aber auch, weil er sagt, aus Produktivitätssteigerung. Ich bin für mich gefühlt als Mitarbeiter viel schneller. Ich tausche mal eben schnell einen Datensatz über einen Google Drive, über einen WeTransfer, über eine Dropbox, über was immer ich sowieso privat in Benutzung komme. Ich nutze das eben, ich kenne es privat, da funktioniert es. Also eben schnell mit meinem E-Mail-Account, kostenlos. Wir bleiben mal bei Dropbox, nur als Pseudonym für alle Dienstleister. Ich hole mir eben schnell ein Dropbox-Account für die Firma. Das kriege ich ja sehr schnell kostenlos eingerichtet und ab dafür. Und das sind eben so die Sachen, wie Schatten-IT entsteht und wie es passiert, dass die IT beziehungsweise das Unternehmen auf einmal gar nicht mehr mitkriegt, was ist denn bei mir im Unternehmen überhaupt im Einsatz und irgendwelche Parallelwelten aufgebaut werden.
René
00:11:48
Ja, du hast es eigentlich gerade auch schon gesagt. Es gibt ja noch viel mehr Dinge, die dazu führen können, dass eben so eine Schatten-IT entsteht. Nehmen wir mal an, ich komme aus der Microsoft-Welt. Ich wechsle das Unternehmen und die nutzen plötzlich ein LibreOffice. Ist egal, was man von der Lösung hält, darauf wollte ich jetzt nicht ein, sondern einfach, die nutzen das jetzt. Ich setze mich jetzt hin und sage, das ist es nicht. Ich hätte es gerne so wie vorher, aber das Unternehmen möchte es nicht. Nehmen wir mal an, jetzt würde diese Person sagen, jetzt gibt es doch eine kostenfreie Variante von der Office Suite mit Werbung drin. Die ziehe ich mir jetzt und installiere die. Ist ja nicht vorgesehen. Ist also auch eigentlich Schatten-IT. So kann es also passieren. Es sind nicht so bequeme Lösungen, wie ich mir eigentlich wünsche. Nicht die passenden Lösungen zu meinem Workflow, weil ich ihn einfach anders kennengelernt habe. Dann gibt es, ich sage mal, im Hybridenarbeiten. Da fängt es doch auch schon an. Wir haben eine Episode schon darüber gehabt, über Bring Your Own Device. Du würdest jetzt, keine Ahnung, jemand der sehr viel im Außendienst ist, der hat jetzt von der Firma einen Notebook gestellt bekommen und ein Smartphone, meinetwegen, und würde jetzt zur Vertragsunterzeichnung in der Regel zum Kunden fahren. Sondern sitzt er da am Tisch, ja, da müssen wir es jetzt ausdrucken. Internet habe ich noch über den Hotspot, aber ich müsste mir jetzt das Dokument ausdrucken, damit es vernünftig unterschrieben werden kann. Aber ich habe zu Hause noch ein iPad oder was weiß ich, irgendein Tablet. Pack das aus, da packe ich mir das drauf, kann es sofort unterschreiben lassen, fertig. Auch das kann ein Thema sein. Also ich bekomme keine gute oder keine Lösung so an die Hand, dass es wirklich für mich effizient ist oder passend ist, angenehm. Auch dass der Workflow oder die Vorgehensweise für den Kunden nicht optimal ist, dann passiert das auch.
Michael
00:14:00
Da hast du einen Punkt und was in meiner, oder auch ein absoluter Klassiker ist, IT-Administratoren dieser Welt regulieren die Posteingangsgröße. Vollkommen normal, vollkommen legitim. Sagen wir mal, reduzieren die Posteingangsgröße auf 5 MB. Wenn du jetzt mit irgendeinem Datensatz herkommst oder willst du irgendeinen Datensatz empfangen oder auch senden, der größer 5 MB ist, reicht dein Posteingang, vollkommen klar. Und wenn du jetzt den Mitarbeitern nicht geschult bekannt gibst und trainierst bekannt gibst, pass auf, wir wollen gar keine Anhänge mehr haben oder alles größer 5 MB. Dafür haben wir vom Unternehmen eine OneDrive, eine Nextcloud, eine whatever geahndete Plattform. Darüber möchten wir, dass das rüber geht. Dann wirst du zwangsläufig in so eine Richtung reinkommen, dass der Mitarbeiter sich einen Weg sucht. Der wird nämlich die Daten brauchen. Entweder muss er sie rausschicken oder er muss sie empfangen. Und wenn die sich gegenüber, das ist so ein Klassiker für ein Beispiel für Schatten-IT. Und die werden sich einen Weg suchen. Und wenn sie es über das private iCloud-Kondo oder über irgendein Google oder über sonst was drüber schieben, aber die werden sich die Daten drüber schieben. Und das ist nicht nur Größenbeschränkung. Ich kenne so viele Spamfilter und so viele Unternehmen, die das inzwischen regulieren. Word mit Makros, Excel mit Makros, Doc oder XLS-Dateien. Also diese alten Office-Formate. Das ist so blöd, wie es klingt. Das ist immer noch in vielen Unternehmen unterwegs. Ja, das ist so. Und wenn das der andere Spamfilter wegblockt, dann wird sich der andere melden und sagen, ja, pass auf, du wolltest mir doch gerade ein Angebot. Angebot als Word. Aber egal, du wolltest mir gerade eine Datei schicken. Das Format, mein Spamfilter, blockt das. Ich brauche das aber. Und dann werden die zwei sich Wege suchen, dass das funktioniert. Und dann ist der Weg, den die sich suchen, mit Sicherheit nicht oder höchstwahrscheinlich nicht, der Anruf beim IT-Admin, der sagt, hier, pass auf, ich brauche jetzt mal eine Doc-Datei, die ist 30 MB groß. Änder mal kurz die Firmen-Rules, dass ich da Gas geben kann. Und selbst wenn die noch den Weg zu dem ITler finden, wird der ITler hoffentlich auf gar keinen Fall sagen, Junge, da hast du eine saugeile Idee. Ich mache es gerade für alle. Das auf die Lösung habe ich gewartet. Das heißt, bei solchen konkreten Dingen musst du als Unternehmen den Mitarbeitern adäquate Lösungen an die Hand geben, die einfacher sind oder mindestens genauso einfach sind, wie eben so eine Schatten-IT aufzubauen oder irgendwelche Schatten-Clouds und sich sonstige Dinge aneinander vorbeizubewegen.
René
00:16:52
Man muss ja auch einfach sehen, nehmen wir mal an, du würdest jetzt wirklich mit einem Kunden in Kontakt stehen, sagen wir mal, du bist jetzt in dem Fall der Kunde, und die würden dir dann sagen, ja, habe ich dir geschickt, was soll ich machen? Dann ist dir das ja erstmal unangenehm, weil du ja nicht in der Lage bist, diese Dokumente zu empfangen. Das heißt, den Weg, der dir dann vorgeschlagen wird, den gehst du mit, weil du ja nicht die Hosen runterlassen willst. Also machst du das halt. Genau das ist es halt. So, und wenn wir dann mal einfach davon ausgehen, wir haben jetzt die Schatten-IT. Was sind denn die Gefahren? So, die Gefahren aus meiner Sicht, ganz klar, Sicherheit. Darüber haben wir aber jetzt die letzten Male schon so oft gesprochen. Also, wie ich eingangs gesagt habe, die Sachen werden nicht gemonitort, die Sachen werden nicht geupdated. Im schlechtesten Fall weiß ich nicht mal, dass sie da sind. Das ist auf jeden Fall schon mal ein Riesenthema. Also, ich habe da eine riesen Angriffsfläche erstmal geschaffen, weil ja auch keiner weiß, dass er was gegen diese Sicherheitslücken oder Sicherheitsrisiken tun muss. All das siehst du ja gar nicht, weil das Gerät ja eigentlich nicht existiert. Wenn der ITler das im Griff hat, okay, dann sieht er im Netzwerk, ist da irgendein Gerät, das muss da weg. Aber nehmen wir mal an, es wäre eine Software. Ja, der ITler kann nicht eben sehen, ob da eine Software neu ist. Oder kann er schon, aber dann würde man es schon komplett übertreiben, weil man dann ja jede Installation noch prüfen würde.
Michael
00:18:23
Schwierig. Ja, und du kriegst es halt in ... Wir hatten das Thema schon mal im Ansatz. Früher hast du eine Software im Unternehmen angeschafft. Die hast du gekauft, und dann kam irgendwann der Postbote oder UPS, hat dir ein kleines Päckchen gebracht. Da war die Software drinnen in Form von einer CD, einer DVD, ein Whatever, ein Medium. Das hast du der IT gegeben, z.B. die IT hat es gekriegt, die hat das genommen, hat es ins Laufwerk eingelegt und das auf dem Server installiert. Da war vollkommen klar, jetzt ist die Software meins. Software as a Service, Browseranwendung, wo wir gerade drüber gesprochen haben und was immer mehr wird, das hast du nicht mehr unter Kontrolle, wenn du es nicht vernünftig mit deinen Mitarbeitern regelst und den Mitarbeitern klare Regeln angehen. Das kann kein ITler mehr unter die Kontrolle bringen. Das funktioniert nicht. Woher will der ITler wissen, wir haben gute Regeln und ich weiß, was bei mir im Unternehmen abgeht. Aber selbst wenn jetzt bei mir ein Mitarbeiter auf die Idee käme, sich irgendwo irgendeinen Account anzulegen oder sonst was, wenn ich das nicht klar geregelt hätte und nicht klare Sachen hätte, wie ich das detektieren kann, hätte ich eben auch da gar keine Kontrolle drüber. Das ist Mindset im Unternehmen kombiniert mit wir nutzen einen Passwortmanager und ich kriege darüber mit, wenn neue Accounts angelegt werden. Du kriegst das nativ einfach nicht mit als Admin. Das ist das Thema.
René
00:19:52
Und dann muss man ja einfach sehen, das sind ja wirklich jetzt die Sachen, dass es einfach nebenher läuft. Das ist halt die Sicherheitslücke. Du hast es gerade aber schon ein paar Mal gesagt, auch die Regelung Compliance. Wir haben darüber gesprochen. Wenn wir das mal jetzt alleine schon nehmen, dann kannst du auf Papier bringen, was du willst, wenn du es dann nachher nicht wirklich auch durchsetzt. Das ist eine Sache. Aber wie du gerade schon gesagt hast, schulen, damit das Verständnis halt da ist.
Michael
00:20:20
Ja, wir sind auch da wieder mit ein bisschen Einschuss Datenschutz. Wir reden, wenn wir über Datenschutz, Informationssicherheit, reden immer von technischen und Organisatorschutz. Und die technische Maßnahme ist immer, deswegen steht die vorne. Wir reden nicht von organisatorischen und technischen, sondern von technischen und organisatorischen. Das heißt, wir müssen immer erst gucken, passt die Technik und was können wir möglichst tun, um das technisch sicherzustellen. Wenn ich was technisch sicherstellen kann in einem normal geregelten Workflow, dem ist so, wenn ich das technisch sicherstelle, kann meine organisatorische Maßnahme sehr gering ausfallen, beziehungsweise ich brauche gar keine. Bin ich aber in der Lage, es nicht mehr technisch sicherzustellen, erst dann muss ich mir Gedanken machen, technisch habe ich keine Lösung, jetzt muss ich ins Organisatorische gehen. Das heißt, dann muss ich erst Compliance machen, muss Richtlinien machen, Passwortvergabe, so ein Klassiker. Stelle ich es technisch sicher, alle meine Systeme, maximal, minimal zwölf, für was brauche ich eine Passwortrichtlinie im Organisatorischen, wenn es die Technik sauber vorgeht? Und das ist hier genau das Gleiche.
René
00:21:26
So, sagen wir mal so, jetzt greife ich dem vor, aber du bist gerade genau in dieser Schiene, deswegen passt es. Wenn wir es ganz strikt machen würden, dann können wir das Ganze ja verhindern. Wir könnten ja schlichtweg sagen, okay, wir nehmen allen die administrativen Rechte, sie haben keine Möglichkeit mehr, überhaupt noch was zu installieren, selber. Und auf der anderen Seite könnte ich mit einem MAC-Adress-Filter dafür sorgen, dass Geräte im Netzwerk einfach nichts tun können, es sei denn, sie sind eingetragen. Also so strikt könnte man da ja auch rangehen. Ob das dann in der Praxis wirklich so ganz sinnig ist, ja, das mag in einigen Bereichen so sein, aber nehmen wir mal, wie bei euch, ich denke nicht, dass es sinnvoll ist, wirklich alles ganz, ganz, ganz strikt zu unterbinden. Warum nicht? Es gibt immer, ja, kann man machen, aber du musst halt immer den administrativen Aufwand dahinter ja auch sehen. Nehmen wir mal an, da würde jetzt jemand, was soll ich sagen, da gibt es ja eigentlich viele Beispiele, irgendwie, du musst jetzt fürs Marketing, brauchst du irgendein Plug-in, damit du jetzt da wirklich was tun kannst, damit du weiterarbeiten kannst. Michael, du bist im Urlaub oder wir sind jetzt von der IT-Sicht nicht gerade erreichbar, dann soll dein Kollege, deine Kollegin da sitzen und warten und nichts lohnt. Also ich meine, es gibt ja immer so spezielle Punkte, muss man immer gucken, also mit Maß auch wirklich abwägen, ob das jetzt wirklich komplett sinnvoll ist.
Michael
00:22:59
Genau, mit Augenmaß. Wenn wir über Augenmaß reden, bin ich zum Beispiel vom Ansatz her, und das ist der Ansatz, den ich in die Unternehmen reinbringe, und ich bin da auch ganz schwer von wegzukriegen. Hardware muss bekannt sein und Hardware wird auf die eingeschränkt, die die IT zur Verfügung stellt und die die ITler in den Finger hatten. Ich will das mal so ganz pauschal ausdrücken. Es geht kein Handy ins Firmennetzwerk, es geht kein PC ins Firmennetzwerk, es geht nichts ins Netzwerk, was nicht über die IT gelaufen ist. Es gibt einen klaren Bestellprozess, es gibt einen Freigabeprozess für Anforderungen von Software und Hardware. Lassen Sie erstmal beim Hardware bleiben. Es gibt Prozesse, die nur die IT darf beschaffen und nur die IT gibt aus. Und dann kannst du das schon mal sauber regeln. Und dann ist für mich, ich habe auch eine Null-Toleranz-Grenze ganz im Ernst dafür, dass private Handys im Firmennetzwerk drin sind, weil ich es den Mitarbeitern erlaube. Null. Das hat die IT und das Unternehmen technisch zu lösen. Entweder gladenlos verbieten, indem die die Passwörter nicht wissen, also auf jeden Fall, oder denen halt ein Gastnetzwerk als Ausweichlösung zu geben. Ich glaube Hardware, da habe ich mich gerade ein bisschen unglücklich ausgedrückt.
René
00:24:13
Im Hardware-Bereich bin ich ganz deiner Meinung, da darf nichts gesteckt werden. Das muss strikt so sein, das ist klar. Softwareseitig. Das ist das, was ich meine, das muss man echt abwägen.
Michael
00:24:24
Das ist richtig, René, aber auch das Software, auch Software, egal welche, ob Software as a Service, Cloud, alles läuft auch durch einen Bestellprozess und durch einen Freigabeprozess, in einer heilen Welt, damit die IT eine Chance hat, das zu bewerten. Es macht nämlich auf der Seite keinen Sinn und auch mit Optionen möglich zu machen, dann sind wir dann, was haben wir denn überhaupt dem Unternehmen zur Verfügung? Wir hatten eine Aufstellung der Software-Systeme im Unternehmen zu machen, wo die Mitarbeiter sehen können, wir haben die Software im Einsatz, die ist dafür freigegeben, die können wir benutzen. Das macht nämlich keinen Sinn, wenn das Marketing auf einmal sich irgendeinen Schatten anfängt mit irgendeinem Sharepoint oder der Nächste im Vertrieb sagt, ach, jetzt müsste man mal einen V-Transfer haben und die Entwicklung überlegt sich noch was ganz anderes. Also das müssen Systeme klar sein und da muss unterbunden werden, dass ein gewisser Wildbuch stattfindet. Dass du in dedizierten Systemen, mit dedizierten Mitarbeitern gewisse Spielräume hast, klassisch hier glaube ich als Beispiel, dass die ihren lokalen Admin haben, dass die sich mal was installieren, kommst du nicht drum rum. Klassischer ist, ich habe viel im Service und im Außendienst gearbeitet, wir haben viel mit unseren Computern, die wir hatten, also mit Laptops, die wir hatten, um Berichte zu schreiben, E-Mails abzufangen. Damit sind wir auch auf Anlagen draufgegangen, auf Messgeräte draufgegangen. Wir haben spezielle Software gebraucht und spezielle Freigabenports und Kram, dass wir auf SPSen drauf sind, dass wir Messgeräte über LAN oder USB ansteuern konnten. Das war eine andere Hausnummer wie Standard 0815, sorry, wenn ich das so sage, 0815 Mitarbeiter, der im Büro sitzt und schreibt irgendwelche Rechnungen.
René
00:26:09
Ja, aber das ist das, was ich meinte. Also man muss da immer mit Augenmaß drauf gucken. Also ich bin auch der Meinung, wie du jetzt gerade sagst, wenn ich damit wirklich irgendwelche Messgeräte oder sonst irgendwas, also eine Messung mit durchführe oder mich dann wirklich mit Kundensystemen verbinde und so weiter. Ich muss ja auch eine Sicherheit für die schaffen und so weiter und so fort. Und es gibt aber, also klar, man kann jetzt auch die Software vorgeben. Natürlich sollte man für jeden Bereich, den man im eigenen Unternehmen abdeckt, sollte man eine Lösung parat haben. Und man kann auch immer über Optionen sprechen. Sagen, hey, du findest jetzt, dass das besser ist? Ja, dann lass uns mal drüber sprechen, vielleicht können wir es ersetzen. Das ist alles fein. Wie gesagt, für mich ging es jetzt wirklich so um Kleinigkeiten. Du hast halt zum Beispiel deine Videoschnittsoftware oder wie auch immer und brauchst jetzt da ein Plugin, damit du halt keine Ahnung, was weiß ich, für einen Effekt da nutzen kannst oder wie auch immer. Das ist extra so ein kleines Beispiel jetzt, weil wenn ich strikt sagen würde, okay, du darfst gar nichts mehr installieren, würde dieser Mitarbeiter, diese Mitarbeiterin halt permanent bei dir auf der Matte stehen und sagen, hey, können wir mal, weil das sind eigentlich ja nur kleine Sachen, du kannst die aber gar nicht installieren.
Michael
00:27:29
Ja, wobei bei deinem Beispiel brauche ich jetzt diesen Special Effekt, um im Unternehmen weiterhin eine Leistung zu bringen, die angemessen ist oder sage ich, ich nutze den.
René
00:27:38
Wenn es eine Mediengestalterin ist, dann ja. Ist ja einfach so. Deswegen, ich habe extra jetzt ein ganz lapidares Beispiel genommen. Natürlich, du hast deine Grundfunktion, aber diese Person entwickelt für dich ja auch was weiter und es kann halt durchaus sein, dass du etwas brauchst, um es mal zu testen oder keine Ahnung was und schwierig.
Michael
00:28:00
Ja, es ist schwer, da gehe ich mit, aber das sind die Klassiker, wo du dann in diese organisatorische Kiste reingehst. Nutzungsrichtlinie, IT oder so ein Kram oder Nutzungsrichtlinie Software. Das ist aber das, was ich meine. Das sind wir uns ja auch einig. Es darf keine Software installiert werden. Plugins von vorhandenen Softwaren sind erlaubt. Das wäre jetzt so die Lücke, wo du genau aus dieser Sache rausgehst und dass du sowas da hast. Da muss es Schulungen und Regelungen geben. Also es ist illusorisch, meine heile Welt aufzuzeichnen, wo ich sage, nicht ein einziger Mitarbeiter für ein mobiles oder für ein Endgerät, also keiner braucht einen Admin-Zugriff oder keiner wird jemals irgendwas installieren dürfen. Das ist in der PC-Welt, je nachdem, was du für Anforderungen für Unternehmen hast, ist es utopisch, bin ich dabei. Aber für die Fälle, wo es dann der Fall ist und die dann wirklich einen Admin kriegen, da gibt es spezielle Regelungen. Ich bin nicht dafür zu sagen, wir haben einmal im Marketing, einmal im Jahr den Fall gehabt, also müssen wir jetzt allen Mitarbeitern den Admin-Zugriff geben, weil das könnte ja nochmal passieren. Also das muss man mit Augenmaß, wie du so schön gesagt hast, vernünftig abwägen. Und da geht nicht die Bequemlichkeit des IT-Admins vor. Auch das nochmal ganz kurz, nochmal richtig böse rein. Es ist nicht, dass der IT-Admin sagt, jetzt machen wir mal überall die Admin-Rechte, einmal Vollgas drauf, dann habe ich weniger Tickets und weniger Anrufe, es ist dann geschmeidiger für mich. Das ist kein Argument.
René
00:29:22
Wenn er Pech hat, hat er danach aber auch umso mehr Arbeit damit, weil wenn es schief geht, Pech gehabt.
Michael
00:29:27
Wenn dann richtig, genau.
René
00:29:29
Ja gut, aber dann sind wir uns da ja trotzdem einig, ob es lange nicht danach klang. Doch, doch, doch. Nein, also du hast es ja eigentlich genau so gesagt. Also technisch kann man versuchen alles schon abzudecken, das sollte man auch. Und an der Stelle, wo es eben nicht geht, dann eben wirklich mit Augenmaß eben die organisatorischen Maßnahmen anwenden, da eine Regelung schaffen und ganz klar per Schulung und ein Verständnis fördern, damit halt klar ist, warum man das Ganze überhaupt so macht.
Michael
00:30:03
Ja, wie immer ist das wichtig. Schulung, Awareness schaffen, erkläre deinen Mitarbeitern, warum du es blöd findest, dass die das machen und warum du das nicht willst, dass das getan wird und erkläre ihnen dann, was sie für Alternativen haben. Hier, pass auf, wir haben einen Cloud-Laufwerk, wir haben einen Cloud-Anschluss. Ich glaube, Unternehmen, die heute der Meinung sind, so kämen noch ohne. Also Unternehmen, also jedes Unternehmen, was uns zuhört, wo keine Cloud-Anwendung präsent ist und zugelassen ist, jedes Unternehmen, möge sich mal bitte melden, wir würden dann mal nach Schatten-IT suchen. Wo ich hin will, ernsthaft, es wird nicht wirklich heutzutage noch ein Unternehmen geben, was ohne eine Transfer-Cloud, also irgendeine Cloud-Anwendung, um irgendwelche Daten zu sharen und zu verteilen, noch klarkommt. Das de facto gibt es nicht. Ansonsten lassen wir uns gerne überzeugen.
René
00:30:59
Ja, sehr gerne sogar. Das würde ich dann gerne sehen, ja. Ja, warum das Ganze noch so gefährlich ist? Also nehmen wir mal, jetzt haben wir ja gerade darüber gesprochen, wir können angegriffen werden. Also die Geräte sind da, ich habe ja Sicherheitslücken geschaffen, sie werden nicht gewartet und deswegen sind sie angreifbar. Ich kann also angegriffen werden. Okay, das ist jetzt ein Part. Das ist natürlich schon schlecht, schlecht genug vor allem, aber darüber hinaus gibt es ja noch mehr Gründe, also noch mehr Risiken, die ich da schaffe. Nehmen wir mal an, wir würden jetzt den Prozess, weil es ist ja wirklich dann angenehm gewesen, Cloud, du hast es gerade perfekt gesagt, Cloud hat jedes Unternehmen in irgendeiner Form. So, und ich würde jetzt als Mitarbeiter anfangen, diese Cloud zu verwenden. Mit Partnern, mit Kunden, keine Ahnung, und ich würde dann irgendwie immer wieder Daten da ablegen. So, dann überlege ich mir irgendwann, müssen die Daten dann wirklich noch auf meinem Rechner liegen? Am besten liegen sie auch da nicht, aber okay. Müssen sie denn wirklich da liegen? Nein, da könnte ich sie ja eigentlich, weil der Kunde braucht sie ja. Ich lege sie einfach direkt in die Cloud, da bearbeite ich die auch, dann liegen die da. So, was passiert denn jetzt, wenn diese Cloud angegriffen wird, wenn der Anbieter einen Angriff hat, die Server sind aus oder keine Ahnung was? Diese Daten liegen nirgendwo bei mir im Backup. Das heißt, ich habe keine Sicherung dieser Daten. Sind die weg? Sind die weg? Und dann brauche ich auch den Antilla nicht mehr ansprechen, sie sind weg. Also da habe ich einfach keine Wahl. So, das ist halt der Grund, warum, also mit einem Grund, warum Shadden IT halt so gefährlich ist. Weil das ist, glaube ich, etwas, das man schnell unterschätzt. Es ist ja ganz oft so, und wir bieten ja auch zum Beispiel ein Backup für Clouds an. Das ist ja auch normal, machen ganz viele, ohne jetzt zu sagen, wir machen das nur. Das ist ja mittlerweile einfach ein etabliertes Produkt. So, jetzt gehen aber viele ran und sagen, ja warum? Also die Cloud ist doch immer da. Okay, also dahinter stehen ja auch nur Rechner, oder Server in dem Fall. Und warum kann bei mir im Unternehmen was passieren, bei denen aber nicht? Natürlich sind die Maßnahmen bei denen sehr stark. Also, die versuchen natürlich diesen Ausfall nicht zu haben. Aber was passiert, wenn er da ist? Sind die Daten weg? Und dafür haftet der nicht. Das sind halt einfach Dinge, die sind super gefährlich. Und die werden unterschätzt. Ich glaube, dass umso mehr man mit diesen Diensten auch arbeitet, dass die Hemmschwelle einfach sinkt und man das so als normales, wie damals ein Netzlaufwerk auf den Server ansieht. Und das sollte man wirklich nicht tun. Also das ist ganz, ganz gefährlich. Und gerade der Cloud-Bereich kann sehr schnell zu einer Schatten-IT werden. Hast du ja selber auch schon mehrfach jetzt heute gesagt.
Michael
00:33:56
Ja, und die ist halt tödlich, wenn du kein vernünftiges Backup-Konzept hast. Also deswegen wieder eine, um es vorweg zu nehmen. Na ja gut, wenn du gar nicht weißt, dass da die Cloud ist, dann brauchst du auch kein Backup. Deswegen sage ich, um es vorweg zu nehmen, Unternehmen sollten sich auf eine Cloud-Lösung einigen, die sie den Mitarbeitern zur Verfügung stellen und die entsprechend ein Backup haben, beziehungsweise auch das muss man wahrscheinlich ein Stück differenzieren, glaube ich. Also können wir mal ganz kurz darüber reden. Ich unterscheide das zum Beispiel. Ich nehme immer gerne mich als Beispiel. Das kann ich gut erklären. Ich habe zwei Clouds. Ich habe die eine Cloud, da läuft meine interne Kommunikation drüber, also alles das, was ich intern habe, meine Unternehmensdaten, Backup-Konzept, alles, alles wirklich und alles fein, Backup abgesichert, zwei Faktor, alles was du brauchst. Aber ich habe der zweite Cloud, wo ich wirklich Daten transferiere, wo ich aber auch ganz bewusst hier im Unternehmen sage und auch meinen Kunden sage, das ist ein Transferlaufwerk. Wir übernehmen keine Verantwortung, dass die Daten, die da drauf liegen, permanent verfügbar sind. Transferiert, legt drauf, lädt runter und lösche, wenn du fertig bist. Das heißt, das ist wirklich so ein richtiges Transferding. Warum mache ich das so oder warum habe ich den Ansatz? A, will ich nicht oder A, was mir ganz wichtig ist, ich will nicht, dass mein Kunde irgendwelche Daten in meine interne Cloud legt. Also ich will nicht, dass mir irgendeiner irgendwelche Daten bei mir auf ein System legt, was dann automatisch in irgendeinem Backup liegt und ich mich von dem Mist, Entschuldigung, wenn ich das so sage, auf Deutsch gesagt, nicht mehr trennen kann, sondern ich will für mich dediziert entscheiden, ich kriege vom Kunden über ein Transferlaufwerk eine dokumentierte Information, einen Datensatz und ich entscheide, jawohl, den nehme ich bei mir in die interne IT auf, ins Backup. Ich brauche das, weil es für mich wichtig ist für die unternehmerische Tätigkeit oder ich sage, alles klar, die Information habe ich gelesen, interessiert mich nicht weg damit. Also ich trenne das an dieser Stelle. Ich arbeite mit zwei Cloud-Systemen. Ich würde, da haben wir auch schon mal, glaube ich, am Anfang wie wir bei mir in der Implementierung drin waren, wie es gesagt hat, mach doch ein Sharepoint oder ein OneDrive-Laufwerk auf für die Kunden, dass sie drauflegen können. Nein, machen wir nicht, sondern wir haben ein separat getrenntes Ding für Spaß, für Elefants, für Transfer und haben eine interne, wo die Synchronisation eben durchliegt und die liegt im Backup drin, ganz klar. Darf ich sagen, dass wir es anders machen? Darfst du, darfst du gerne, darfst du dich auch gerne davon überzeugen.
René
00:36:28
Nein, es gibt ja, man muss das ja immer für sich entscheiden. Also wir zum Beispiel nutzen auch nur eine Cloud, die ist voll abgesichert, natürlich, was Backup und sowas angeht. Wir gehen aber nicht dran, dass wir sagen, okay, wir haben da jetzt einen Bereich, der bleibt halt immer offen. Das machen wir halt nicht. Wir machen das halt so, dass wir immer Freigaben erstellen, also sprich, wenn wir jetzt eine Datei transferieren möchten, dann schicken wir einen Freigabelink, der ist auch ganz klar schon mit einem Datum versehen. Der läuft automatisch ab. Da kann mir der Kunde dann auch etwas wieder reinlegen, das habe ich dann, aber es gibt keinen permanenten Zugriff. Also da haben wir eine klare Trennung drin, so machen wir es. Das ist aber wirklich eine Herangehensfrage oder eine Glaubensfrage, wie man das halt machen möchte.
Michael
00:37:14
Permanenten Zugriff habe ich auch nicht, das ist auch, sondern ihr kriegt immer einen, entweder kriegt ihr einen Upload-Link oder ihr kriegt halt eben die Datei zum Download als Link zur Verfügung mit Ablaufdatum, alles cool, aber ich will den halt für mich, ich habe den nicht im SharePoint oder nicht im OneDrive-Link, nicht in der 365-Instanz, sondern komplett gelöst davon.
René
00:37:35
Gegenfrage, du hast jetzt, ich will gar nicht, dass wir über einen Anbieter sprechen, wenn wir jetzt einen anderen Anbieter nutzen, ist das sichergestellt, dass da ein Virenfilter hinter sitzt, dass das schon in der Cloud quasi filtert, ehe du einen Zugriff auf das ...
Michael
00:37:55
das ist so? Das ist so. Achso, ich nicke gerade, ja, dem ist so. Natürlich habe ich mir bei der Auswahl der Cloud Gedanken gemacht, das ist eine Cloud, die entsprechend die Schutzmechanismen bietet, wo alles in Ordnung ist, dass ich da Wölkchen bin und ein gutes Gefühl für habe, aber ...
René
00:38:14
Ich wollte gerade nur darauf hinaus, weil du hast ja bei Microsoft 365, den Namen nenne ich, weil darüber sprechen wir oft genug, aber da hast du halt den Schutzmechanismus, dass da ja schon ein Virenfilter mit drin ist. Das heißt nie, dass wir zu 100% sicher sind, wir haben ja auch noch unsere Virenfilter auf unseren Endgeräten, aber am Ende des Tages, es findet schon beim Upload eine Prüfung statt, und wenn diese nicht bestanden wird, dann kann man die Datei nicht hochladen, da kann man machen, was man will. Also das ist halt schon ein guter Vorteil, da hat man auch eine gewisse Sicherheit. Aber wie ich gerade gesagt habe, es ist halt wirklich eine Glaubensfrage, wie man da herangehen möchte. Ich glaube, du tauscht, das muss man fairerweise auch sagen, ich glaube, du tauscht auch einiges mehr Daten mit Kunden aus wie wir. Bei uns ist es halt wirklich mal hier, hey, du brauchst ein Dokument, da stehen deine Daten drin, das hast du dann da, und damit endet es. Das ist bei dir wahrscheinlich gerade, dieser Informationsaustausch ist da ein etwas anderer.
Michael
00:39:14
Er ist ein wenig anders da, aber dadurch, dass ich, wenn ich Mandanten laufend betreue und sowas mache, habe ich, wenn ich zur Verfügung stelle, sowieso ein Portal, wo ich meine Mandanten mit drin habe, wo auch meine Mandanten Zugriff haben, da tauschen wir uns über ein ganz anderes, sicheres Portal aus an dieser Stelle. Das, wenn ich über den Transfer rede, es ist, wenn der Kunde, also Informationen, also Vorlagen, Templates oder so ein Kram, mache ich jetzt seit Anfang des Jahres ganz anders da. Ich stelle einfach temporäre Links in Confluence bereit, komplett rübergestiegen auf Confluence. Confluence kann ich teilen, dann haben die einfach Sichtrichter auf das Ding und können sich dediziert für 2-3 Wochen einfach mal Informationen an der Stelle runterladen. Den Upload oder dieses Transfer Cloud, von dem ich gesprochen habe, das ist wirklich für Kunden, die mal eben schnell was rüberschicken wollen, wo ich mal, ich habe für Behörden benannte Stellen, Kunden, die noch Doc-Dateien haben, also das ist primär für sowas gemacht, wo mein Spam-Filter einfach, Gott sei Dank, weil er so eingestellt einen auf Tabula Rasa macht. Und das ist wirklich nur ein Transferlaufwerk. Das ist wirklich nur der Ausweich für, es gibt vernünftig keinen anderen Weg, wo wir uns austauschen können. Ich will es im Outlook drin haben, der Spam-Filter. Also die Nutzung von den Dingern ist nicht hoch, aber ich will es halt genau auch aus diesen Gründen nicht auf dem Shepard liegen. Ich will keine, um es mal böse auszudrücken, wenn mein Spam-Filter schon sagt, ist eine Doc-Datei oder ist eine XLS-Datei oder hier einmal voll mit Makros und hast du nicht gesehen, lehn ich ab. Dann will ich die auch nicht, dass der mir die automatisiert auf irgendein Shepard hochlegt, sondern dann geht die bei mir in die dedizierte Transfer Cloud rein. Da kann ich mir das in der Vorschau in Ruhe angucken, kann mir dann Gedanken machen, will ich ja nein, da ist ein Scan drüber gelaufen, dann entscheide ich, ob ich mir das Ding runterlade oder nicht. Die will ich nicht im System haben.
René
00:41:08
Genau da ist dann die andere Herangehensweise, weil diese Dateien nehmen wir gar nicht an. Also die blocken wir komplett. Da gibt es auch keinen Transfer zu. Siehst du, wir sind halt einen anderen Weg gegangen.
Michael
00:41:20
Da kann ich mich halt nicht gegen wehren. Also ich will mich da auch nicht gegen wehren, weil es halt, wie gesagt, ich habe eben gesagt, es gibt Kunden, die noch Docs versenden oder es gibt halt auch manchmal von benannten Stellen oder von Zertifizierungsstellen Dokumente, die Makros drin haben und ich will das einfach von Haus aus, ist mein Spam-Felder auf den ganzen Gramm geblockt, ich will es nicht nativ kriegen und dann haben die halt die Option, wenn es wirklich so etwas sein soll, dann bitte schieb mir es auf meinen Transfer. Ich gucke mir das in Ruhe an, dann ist gut. Das unterscheidet dich, glaube ich, von mir. Ich bin darauf angewiesen, dass ich die Information kriege. Also ich muss Kanäle aufstellen, dass das geht. Ich kann nicht einfach sagen, nee, will ich nicht, sondern ich muss halt eben vernünftig oder ich will vernünftige Alternativen anbieten und da war mein Weg eben eine komplett losgelöste Cloud von der internen IT.
René
00:42:11
Siehst du, bei uns ist es halt genau andersrum. Wir sind halt nicht darauf angewiesen, Informationen zu bekommen. Wir sind darauf angewiesen, Informationen zu verschicken. Das heißt, da haben wir auf der anderen Seite halt unsere Sicherheit. Deswegen, also da, wie gesagt, sind wir irgendwie den gleichen Weg gegangen, aber eben passend auf uns.
Michael
00:42:30
Aber das zeigt, wenn wir ins Thema wieder reinspringen, das zeigt aber ganz genau, wie schwer es ist, beziehungsweise, dass es keine pauschale Kiste gibt und auch nie eine pauschale Empfehlung geben gibt, mach den Weg, der ist richtig, sondern man merkt an unseren beiden Anwendungsfällen, unseren beiden Herangehensweisen, dass beide Wege korrekt sind, aber, richtig zwar, wir haben uns beide Gedanken drüber gemacht und haben beide auf Basis dieser Gedanken, die wir uns gemacht haben, eine Entscheidung getroffen. Und das muss am Ende jedes Unternehmen für sich machen und das muss durchs Unternehmen durchlaufen und das müssen die Mitarbeiter auch wissen, dass das da ist und dass es nutzen soll.
René
00:43:07
Michael, ich glaube, wir haben auch mehr als deutlich gemacht, dass egal, was wir besprechen, ob es in der IT oder im Datenschutzbereich ist, es gibt keine Lösung für alle. Das gibt es einfach nicht. Es gibt durchaus Produkte für alle, die ganz gut sind, aber man muss immer noch gucken, wie setze ich sie ein, wie passe ich sie an, sodass sie wirklich wieder auf mich passen. Ja, aber die Lösung für alle gibt es.
Michael
00:43:31
Das bist du und ich. Ja, das ja. Wenn wir uns auf den kleinsten gemeinsamen Nenner lösen wollen und welche Lösung können wir dann universell auf alle Unternehmen ansetzen, dann doch wohl uns. Ja, Michael, dann mal kurz Werbung in eigener Sache.
René
00:43:45
Also schon seit 98 ist so ein Slogan IT-Lösung nach Mars.
Michael
00:43:50
So, genau.
René
00:43:50
Also, gut, ich wollte jetzt gar nicht so sehr in die Werbung rein.
Michael
00:43:57
Nein, den Ball hast du mir so schön vorgelegt, den musst ich verwandeln, sorry.
René
00:44:04
Nein, aber es ist ja einfach so, also es gibt keine Lösung für alle. Bis auf die genannten Argumente natürlich. Aber man muss halt jede Sache, wir haben über Backup gesprochen, auch das muss individuell betrachtet werden. Wir haben über so viele Themen mittlerweile gesprochen und es ist halt immer so, dass man bei jedem Thema wirklich für sich selber abwägen muss. Passt das jetzt für mich? Muss ich das vielleicht ein bisschen anders sehen? Man hat ja auch andere Aufgabenbereiche, man hat andere Branchen, man hat andere Herangehensweisen vielleicht auch einfach und man darf halt nie pauschal da rangehen und sagen, ja cool, wir haben es jetzt gekauft, da ist es, sondern man muss halt gucken, dass es auf einen selber passt. Und das ist nämlich genau auch der Übergang, aber deswegen dann, du wolltest gerade noch was sagen, dann mach du erst.
Michael
00:44:54
Wobei es schon eine gewisse Baseline gibt. Also es gibt ja schon ein Unternehmen ist, also Marmelos64 ist ein Unternehmen, egal ob es IT-Dienstleistungen macht oder macht eine Consulting-Dienstleistung, in einem Unternehmen setzt IT ein und grundsätzlich können wir schon pauschal sagen, jedes Unternehmen sollte sich Gedanken machen, dass sie wissen, welche IT sie im Haus haben, sollte sich Gedanken machen über Netzwerktrennung, über Netzwerke, Gastnetzwerke, Zugriffe, bring your own device, Handys, Kram, der Klassiker ist immer wieder, es hilft mir, haben wir auch schon drüber gesprochen, es hilft mir, das schönste Firewall und das schönste Konzeptnet, wenn die Mitarbeiter ihr Smartphone per USB vom Computer ausladen und die Dateifreigaben ergeben und solche Spielereien, das sind halt einfach, das ist aber dann auch wieder, technisch könnte ich sagen, stell den Mitarbeitern einfach Ladegeräte zur Verfügung, sie laden sowieso, sperrt die USB-Ports, organisatorisch schult sie einfach und weist mal vorsichtig drauf hin. Also es gibt so ein paar Baselines.
René
00:45:59
Oder du sperrst USB und schaffst keine Netzteile.
Michael
00:46:02
Ja, sperrst USB. Also das, es gibt so ein paar Baselines, wo sich die Unternehmen für so ein Fundament, für so eine Basisabsicherung schon sehr gut Informationen aus dem Netz holen können oder können uns anrufen oder uns in die Beratung eingehen. Es gibt da schon so ein Repertoire, wo wir, ich zum Beispiel mit so einer Checkliste oder mit so einem Mindset reingehe und sage, habt ihr das, habt ihr das, habt ihr das, habt ihr das, passt nach da drauf und dann wird das immer dedizierter und irgendwann kommst du halt in die Erbsenzählerei und in das Feinkranulare, wo du wirklich sehr strukturiert gucken musst, auch risikotechnisch, Risikonutzen Abwägung machen musst, mach ich das jetzt so, mach ich das so. Es gibt Produktionsanlagen, die einfach alte Rechner haben. Es gibt Entwicklungsabteilungen. Ich habe in vielen Elektronikunternehmen gearbeitet, in elektronischen Entwicklungsabteilungen. Was da die Buben ans Netz hängen und was da die Jungs von zu Hause und was da los ist und was da bei RS oder bei sonstigen Dienstleistern besteht. Genau, du nickst auch gerade schon. Das ist eine andere Welt. Die haben auch ein ganz anderes Verständnis dafür. Da muss ich denen einfach technisch über Netzwerksequenzierung Dinge an die Hand geben, dass die Dinge tun können, die sie brauchen, damit sie ihren Job machen können. Ich aber trotzdem von der IT und von meinem Unternehmen noch sicher bin, dass eben da nicht die Welt einbricht. Und das sind so Dinge, die muss man sich echt individuell anschauen.
René
00:47:20
Also wie du gerade schon gesagt hast. Es gibt immer schon so einen Baukasten, den du hast, aber du musst natürlich immer noch gucken, dass du das passende daraus baust. Ja, wo wir aber genau dahin kommen, Strategien gegen eben genau die Schatten IT. Man sollte sich einfach, wenn man merkt, okay, irgendwas passiert hier gerade im Unternehmen. Also nehmen wir mal an, das hat sich schon so eingebürgert und dann fällt es einem doch mal irgendwann selber auf. Dann sollte man sich vielleicht mal gemeinsam hinsetzen und einfach mal transparent darüber sprechen. Hey, wir haben damals die und die Sachen angeschafft. Mir ist aufgefallen, ihr habt jetzt mittlerweile da das und das stehen. Das kommt aber nicht von uns. Darüber sollten wir uns mal unterhalten. Also wirklich transparent mal einfach eine Aufstellung. Ja, einmal aufstellen, was haben wir alles? Was steht hier jetzt gerade alles? Und dann einfach auch mal drüber sprechen. Hey, macht das jetzt wirklich Sinn? Denkst du nicht auch, dass das vielleicht ein gewisses Risiko mit sich bringt? Manchmal muss man auch strikt entscheiden und sagen, nee, das geht nicht. Aber vielleicht gibt es ja einfach, also wie ich vorhin gesagt habe, dieses iPad, was ich einfach aus praktischen Gründen einfach nutzen kann, weil es nach außen besser aussieht, weil es einfacher ist und was weiß ich was. Das sind halt Dinge, über die kann man ja sprechen. So, und vielleicht kommt man gemeinsam dann auch wirklich zu dem Ergebnis und sagt, ja, das machen wir. Oder sollte man dann in dem Fall auch so nicht.
Michael
00:48:52
Genau, und da ist die Aufgabe der Geschäftsleitung oder des IT-Leiters oder der Führung, auch da offen für zu sein. Wenn ein Außendienstler kommt und sagt, hier, pass mal auf, ich habe die letzten fünf Jahre in einem anderen Unternehmen gearbeitet, haben das alles mit iPads gemacht. Jetzt willst du, dass ich hier mit einem Blatt Papier und einem Block durch die Gegend renne, guck dir mal das an. Also ich, dann ist es die Aufgabe, technikoffen zu sein und entsprechend da auch zu investieren. Und nicht sagen, nee, machen wir nicht, sondern da muss dann halt auch die Erwartungshaltung sein, dass die Mitarbeiter ernst genommen werden und investiert.
René
00:49:30
Ja, also da habe ich auch eine ganz klare Meinung zu. Aus meiner Sicht, wenn ich jetzt, nehmen wir mal einen Außendienstmitarbeiter, so, und jetzt nicht mich als Techniker, bin ich auch nicht mehr, aber nehmen wir mal einen Techniker hier bei uns aus dem Haus, der sonst immer rausfährt, den würde ich jetzt mal nicht nehmen, weil der, klar, der hat sein Handwerkszeug dabei. Ich selber war Techniker, deswegen kann ich das nachvollziehen, was die für Höhen haben oder was sie brauchen. Nehmen wir mal einen Vertriebler. Ich habe einen Vertriebler bei uns. So, wenn ich den jetzt nehme, ich war nie Vertriebler. So, der weiß also am besten, was braucht er wirklich an Handwerkszeug, damit er da effektiv arbeiten kann. So, und dafür muss ich tatsächlich auch offen sein, so wie du gerade gesagt hast. Also, da brauche ich nicht von oben herab sagen, wieso, die Techniker, die brauchen nur ein Notebook, du brauchst halt dann kein iPad. Nee, eigentlich braucht der vielleicht gar kein Notebook oder klar, braucht er auch was Vernünftiges zum Arbeiten, so nicht, aber vielleicht macht es dann mehr Sinn, ein iPad Pro zu nehmen oder was weiß ich, mit Tastatur, Maus, wie auch immer, dass die Person daran arbeitet. Also, ne, da muss man wirklich auch offen für sein, dass man den Schmerz der Mitarbeiter erkennt und den Mehrwert auch erkennt. Und wenn man ihn nicht erkennt, erklären lassen. Und zur Not auch so lange, bis man ihn erkennt. Also, es gibt ja immer Gründe, da wird ja keiner stehen und sagen, hey, Chef, gib mir mal, was weiß ich, das Gerät für 3000 Euro. Dem wird ja auch klar sein, hey, ich muss das ja irgendwie darlegen, warum das so ist. So, und wenn der das erklären kann, ist es wunderbar. Wenn nicht, okay, muss man sich mal genauer darüber unterhalten. Also, das denke ich, dafür muss man auf jeden Fall immer total offen sein, dass man eben dieses Gespräch auch führt.
Michael
00:51:22
Das ist aber Geschäftsleitungsmindset und die Offenheit, und das kannst du durch tausend Themen durchziehen. Ich kann mich über Diskussionen für Firmenwagen erinnern, wo man darüber diskutiert hat, es wäre doch Luxus, wenn sie Navigationssysteme oder Massagesitze hätten. Man könnte doch ein Navi, auch hier so ein TomTom reinkleben, das wäre ja billiger. Also, wo wir hinwollen, ist das Mindset vom Unternehmen und Entscheider im Unternehmen sollten auf die Leute hören, auf die Anwender hören und sich damit auseinandersetzen, positiv und nicht in eine Blockadehaltung reingehen, nach dem Motto, jetzt wollen sie doch noch ein iPad haben. Jetzt haben wir ja erst einen Laptop gekauft für 3,99, jetzt wollen sie doch noch ein iPad haben. Sondern man muss da wirklich offen für sein und ein Ohr für haben. Weil wenn man das nicht ist, die Natur sucht sich seinen Weg, um es auch noch mal blöd auszudrücken.
René
00:52:14
Naja, im Zweifel ist die Person einfach gar nicht mehr da.
Michael
00:52:17
Entweder ist die Person nicht mehr da oder es wird halt doch das Private benutzt, damit es halt einfach geht. Das ist halt einfach so.
René
00:52:25
Wichtig ist auf jeden Fall, wir haben vorhin ja schon über Organisatorisches gesprochen, wichtig ist, dass man einfach auch offen ist für oder nein, dass man eine Zusammenarbeit anstrebt mit den entsprechenden Personen und eben nicht anfängt, einfach nur Verbote auszusprechen. Das macht gar keinen Sinn, da passiert nämlich genau das Gleiche, wie du gerade gesagt hast. Die Person wird dann irgendwann denken, hier, ich spreche es jetzt nicht aus, aber sie wird sich ihren Teil dazu denken und wird dann einen anderen Weg finden. Das ist auf jeden Fall so. Es gibt Möglichkeiten, Schatten-IT im Netzwerk auch zu erkennen.
Michael
00:53:04
Ja, da hätte ich dich jetzt nochmal angetriggert für, was mache ich denn jetzt? Du hast doch garantiert eine IT-Admin super Software, die du installierst, drückst auf einen Knopf und kriegst einfach angezeigt, was Schatten ist und was Licht ist im Unternehmen, oder?
René
00:53:22
Es gibt auf jeden Fall ein paar Tools, ich werde jetzt keinen Namen nennen, weil das ist halt wieder, ist auch immer Geschmackssache. Aber es gibt auf jeden Fall Tools, die können einem zum einen anzeigen, hey, da sind jetzt Geräte, keine Ahnung, die sind nirgendwo inventarisiert, so möchte ich es mal sagen. Genau das Gleiche kann man mit Software oder Software, ich kann mir eine Freigabe-Liste erstellen oder sagen, okay, hier, das ist jetzt mein Ausschnitt von diesem Monat, das ist jetzt Software-Stand heute und wenn ich in diese Liste nichts Neues eintrage, dann gib mir bitte aus, was im nächsten Monat meine wegen da installiert wurde oder was weiß ich was, also das geht auch. Es gibt Möglichkeiten, ja, besser ist es aber, das vorab schon unterbunden zu haben, beziehungsweise da wirklich auch in die Gespräche reingegangen zu sein, damit man eben, also diese Nacharbeit von Schatten-IT, da kannst du mir glauben, dass es so viel Arbeit, die kann man besser im Voraus reinstecken, dann haben wir es von Anfang an sauber und geht da nicht Gefahr, dass da irgendwas passiert.
Michael
00:54:25
Aber wenn wir sagen, wir machen was ja sinnvoll ist, Parallelmonitoring vom Unternehmen, kann man ja durchaus sagen, ich habe einen Scanner, ich nenne es mal pauschal, ich habe einen Scanner, der durchs Netz läuft und der mir monatlich einen Bericht draus spuckt und wenn der im Monat etwas Neues findet, leuchtet irgendeine rote Lampe, sodass ich erkenne, was da neu ist und was sich verändert hat im Zustand und das gleiche ich einfach ab mit meinem IT-Inventar und mit dem, was ich erwarte und wenn ich keine neuen Geräte im Monat angeschafft habe, keine neuen Geräte rausgegeben, es ist alles working, es hat sich nichts getan und der Scanner auf einmal 10 neue rote Dinger aufpoppt, dann sollte ich dieser Sache mal nachgehen.
René
00:55:06
Ja, wobei da, Hardware hatten wir ja vorhin schon besprochen, da wäre ich wirklich auch so strikt zu sagen, okay, hier darf nichts ohne MAC-Adress, also passender MAC-Adresse ins Netzwerk, dann habe ich da schon mal kein gucken mehr nach. Also da wäre ich schon strikt, ist aber auch immer Geschmackssache herangehensweise, wie auch immer. So, wenn wir jetzt, wolltest du dazu noch?
Michael
00:55:29
Ja, ich wollte noch ganz kurz Luft holen zu dem Thema, weil du gesagt hast, ist auch so ein Ding, nein ist es nicht, also auch sorry, nein ist es nicht. Also wann passiert, IT-Systeme oder Computer vorbei mal den Weg ins Netzwerk finden, gelebte Praxis? Genau, und gelebte Praxis ist, wie ich das kenne, wie ich es auch manchmal bei Kundenangeboten kriege, brauchen sie Netzwerk, da ist die Dose, steck dich mal an. Oder ja, WLAN, hier pass auf, Firmennetzwerk, ich habe kurz, hier ist das Passwort, oder soll ich es teilen? Das sind so die Dinge. Also auch da, wo ich hin will, ist, wenn Technik nicht funktioniert, wenn es technisch nicht sauber gelöst ist, ich habe keine ausreichende WLAN-Abdeckung für ein Gastnetz im Meetingraum, ich habe den Passwortschlüssel für das Gastnetz nicht im Meetingraum liegen, also für diese, wenn ich nicht einfach den richtigen Weg finde, dann findet wieder das statt, was du gesagt hast, dann wird mal eben schnell ein Kabel gesteckt, dann wird mal eben eine Alternative gesucht, und wenn ich dann nicht sauber reguliert habe, welche IP, welche MAC-Adressen ins Netz können, habe ich genau den Salat. Habe ich das sauber und habe die Option A durchgespielt, ich habe eine saubere Abbrennung, ich habe vielleicht die Netzwerkdosen im Meetingraum gar nicht mehr da, zu weg, liege im Kabelkanal drin, weil ich es gar nicht will, dass das dann ist das ausgeschlossen, dass es funktioniert. Und dann muss ich mir auch nicht Gedanken machen über, vielleicht brauche ich es doch mal.
René
00:57:02
Ja, das ist auf jeden Fall so, ja. Aber, gut, habe ich gerade falsch ausgedrückt. Ja, wir haben ja die gleiche Meinung. Das triggerte mich nur gerade an, nachdem du darauf... Wir wissen aber beide, wie es leider in der Praxis dann oftmals aussieht. Hast du ja gerade dargestellt. Aber ja, ich bin natürlich auch der Meinung, dass man es strikt unterbinden sollte, dass man seine Hausaufgaben da einfach gemacht haben sollte, damit man da auf der sicheren Seite ist. Punkt. Die nicht schwer sind.
Michael
00:57:31
Nein, immer beide mit dem Finger in die bunte Hand.
René
00:57:33
Das ist sehr einfach.
Michael
00:57:35
Wir reden ja jetzt hier nicht über Raketen, also wenn man bei dem konkret... Wir reden ja auch bei Möglichkeiten Schattenhaltigen, sondern das ist ja keine Raketentechnik, die ich im Unternehmen einführen muss für Invest von 1,x Millionen, damit ich das los bin. Sondern wir reden über technische Maßnahmen und organisatorische Maßnahmen, die je nach Unternehmensgröße in einem überschaubaren Umfang sind. Mach es einfach. Also tun.
René
00:58:00
Genau. Tja, Michael, was soll ich sagen? Ich glaube, das war schon das Wort zum Sonntag. Schön. Auch wenn wir Freitag haben. Also ich habe nicht viel mehr dazu zu sagen. Es ist so, also wirklich da nicht schleifen lassen oder denken, das läuft schon alles. Wir haben ja keine Probleme. Ja, das Problem muss nur einmal auftauchen. Dann ist ein Problem zu viel. Also wirklich von vornherein gut planen, gut unterbinden, was da nicht hingehört. Und dann wirklich mit Augenmaß nur also mit Augenmaß nur das zulassen, was wirklich Augenmaß erfordert. Alles andere wird unterbunden. Punkt. Genau.
Michael
00:58:53
Also wie immer und überall nicht den Ansatz, wir machen mal alles auf und schließen dann, was wir nicht brauchen, sondern wir machen alles dicht und öffnen das, wo sich die Leute beschweren, was wirklich gebraucht wird. Genau so rum. Wie so oft in der IT. Genau. Sehr schön. Dann würde ich sagen, haben wir es? Ich glaube, wir haben es auch in der Stunde gepackt. Fühlt sich mir noch ein bisschen aus. Gar nicht schlecht. Genau.
René
00:59:18
Ja, Michael, dann würde ich sagen, vielen Dank.
Michael
00:59:22
Sehr gerne.
René
00:59:23
Wir hören uns wie immer in 14 Tagen wieder und bis dahin alles Gute und bitte alle Kanäle abonnieren.
Michael
00:59:32
Ein Gruß aus Wetzlar. Macht's gut. Bis zum nächsten Mal. Tschüss.
René
00:59:36
Ciao

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts