Nach den Ergebnissen von Wire setzen europäische Organisationen intern wie extern auf einen breiten Mix an Werkzeugen. Dazu zählen Messaging- und Kollaborationsplattformen für Unternehmen, E-Mail, Online-Speicher- und Dateifreigabedienste wie OneDrive und Dropbox sowie Messenger-Apps für Endverbraucher wie WhatsApp und Signal. Laut Wire werden diese Werkzeuge häufig parallel genutzt, ohne sie nach Sensibilität der Informationen oder nach Arbeitsabläufen zu trennen.
Besonders deutlich wird das laut Wire bei der Zusammenarbeit mit externen Partnern. Drei Viertel der Organisationen verwenden beim Teilen von Informationen mit externen Partnern dieselbe E-Mail-Plattform wie intern. 45 Prozent nutzen Dateifreigabelinks, 42 Prozent Messaging-Apps. Weniger als ein Drittel, nämlich 28 Prozent, setzt für die externe Zusammenarbeit ein sicheres Werkzeug ein. Wire verweist darauf, dass externe Beteiligte möglicherweise nicht denselben Richtlinien folgen, nicht dieselben Systeme nutzen und Informationen nicht auf dieselbe Weise aufbewahren. Entsprechend äußerten 33 Prozent Zweifel daran, die Kontrolle über extern geteilte Dateien aufrechterhalten zu können.
Ein weiterer Schwerpunkt der Umfrage ist der verbreitete Einsatz von Schatten-IT. Beschäftigte greifen laut Wire häufig auf Messenger-Apps für Endverbraucher, persönliche Cloud-Speicher und Dateifreigabedienste für offizielle Zwecke zurück. Am häufigsten geschieht das demnach dann, wenn Schnelligkeit und Dringlichkeit im Vordergrund stehen. Wire nennt aber noch weitere Auslöser: wenn ein externer Partner nicht dieselben offiziellen Werkzeuge nutzt wie die Organisation, wenn das freigegebene Werkzeug als zu komplex wahrgenommen wird oder wenn Mitarbeitende mobil oder aus der Ferne arbeiten.
Benjamin Schilz, CEO von Wire, beschreibt, wie IT- und Sicherheitsverantwortliche die Sicherheitslage ihrer Kollaborationsumgebungen typischerweise bewerten. Zunächst gehe es darum, ob offiziell freigegebene Kollaborationswerkzeuge vorhanden sind, ob diese durch IT-Prozesse gesteuert werden und ob sie unter die üblichen Sicherheitsmaßnahmen des Unternehmens fallen. In vielen Fällen werde dies bejaht. „Aus Systemsicht führt das zu der Einschätzung, dass die offiziellen Werkzeuge angemessen abgesichert sind. Das ist keine falsche Antwort, aber sie ist unvollständig“, sagt Schilz.
Die eigentliche Lücke sieht Schilz darin, dass Beschäftigte auf nicht freigegebene und nicht kontrollierte Consumer-Apps ausweichen. Genau dadurch entstünden Sicherheits- und Compliance-Risiken. Wire selbst ordnet die meisten befragten Organisationen trotz des hohen Selbstvertrauens nur im Mittelfeld der Reifegradskala für die Sicherheit von Kollaborationsdaten ein. Diese Organisationen setzen zwar Unternehmenswerkzeuge für die interne Zusammenarbeit ein, gehen aber uneinheitlich mit E-Mail und Consumer-Apps in der externen Zusammenarbeit um.
Organisationen mit etwas reiferen Praktiken verfügen laut Wire über ein klares Verständnis ihrer Compliance-Anforderungen, haben Kontrollen zum Risikomanagement etabliert, nutzen getrennte Werkzeuge für unterschiedliche Datentypen und besitzen zumindest eine gewisse Aufsicht über die externe Zusammenarbeit. „Organisationen in diesem Bereich haben die Grundlage aus Richtlinien und Werkzeugen geschaffen. Was ihnen noch fehlt, ist der geschlossene Kreislauf zwischen Richtlinie, Arbeitsablauf und nachweisbarer Kontrolle“, so Wire.
Für 2026 fordert Wire einen Ansatz nach dem Prinzip „sicher von Anfang an“. Dazu gehörten durchgängige Governance über interne und externe Arbeitsabläufe hinweg sowie prüfbare, souveräne und regelkonforme Kontrollen. Schilz hält gängige Kollaborationsplattformen in Unternehmen in ihrer heutigen Umsetzung für ungeeignet, um interne und externe Zusammenarbeit einheitlich abzubilden. Solche Plattformen seien meist über die Zeit gewachsene Sammlungen aus E-Mail, Online-Laufwerken, Dateilinks, Chat- und Konferenzwerkzeugen, die primär für die interne Nutzung gebaut wurden. Diese Fragmentierung mache die Verwaltung aus Sicht der Zugriffskontrolle komplex, weshalb Zugriffssteuerung häufig nur nach dem Prinzip „alles oder nichts“ funktioniere.
