Schatten-IT: Einbinden, nicht bekämpfen

Im Rahmen der betrieblichen Informationsverarbeitung ist ist der Umgang mit der sogenannten Schatten-IT oftmals problematisch. Unter Schatten-IT wird die außerhalb der „offiziellen“ IT stattfindenden Beschaffung und Nutzung von Hardware, Software und Diensten bezeichnet. Dies erfolgt in aller Regel außerhalb der Kenntnisnahme, der Zustimmung oder der Unterstützung des IT-Bereichs.

Zahlreiche Erscheinungsformen der Schatten-IT

Die Erscheinungsformen der Schatten-IT in Unternehmen sind mannigfaltig. Häufig anzustreffen sind beispielsweise:

  • Übernahme von originären IT-Aufgaben außerhalb der üblichen Key-User-Aufgaben wie z.B. Administration von Hard- und Software, „Troubleshooting“, Beschaffung von IT-Dienstleistungen,
  • Nutzung von cloudbasierten Software-Diensten („Software-as-a-Service“, wie z.B. Salesforce.com, Google Docs, Dropbox, GMX),
  • Verwendung privater Hardware für geschäftliche Belange (Smartphones, Notebooks, Tablet-Computer),
  • Selbstinstallierte Software (z.B. Skype, Chat- und Messenger-Programme),
  • Selbstbetriebene Standardsoftware für fachliche Aufgaben (z.B. Business Intelligence-Anwendungen) oder direkte Nutzung von Cloud-Anwendungen (z.B. zur Außendienststeuerung),
  • Selbstentwickelte Software und Skripte (z.B. Auswertungsprogramme für Kundendaten, Workflow-Systeme, Access-Anwendungen, Excel-Makros, Visual Basic-Skripte).

Die Bedeutung von Schatten-IT ist keinesfalls zu vernachlässigen: Das IT-Marktforschungsunternehmen Gartner rechnet damit, dass

bis 2015 bereits 35% der gesamten IT-Ausgaben eines Unternehmens außerhalb des eigentlichen IT Budgets anfallen werden . Es wird davon ausgegangen, dass gegenwärtig zwischen 10% und 50% einer normalen Systemlandschaft in der Grauzone betrieben werden . Bereits heute nutzen laut dem Marktforschungsunternehmen IDC 32% der Fachabteilungen teilweise und 12% sogar sehr umfangreich Cloud-Computing – ohne die IT‐Abteilung einzubeziehen .

Cloud-Computing und die Konsumerisierung der IT als Treiber

Schatten-IT gibt es schon seit längerer Zeit in Unternehmen (z.B. Erstellung von Excel-Makros durch Nicht-IT-Mitarbeiter, Programmierung von Access-Datenbanken, Nutzung von Online-Angeboten für Datenspeicherung und geschäftlichen E-Mailverkehr). In letzter Zeit wird dieser Trend aber massiv befeuert, und zwar durch die Konsumerisierung der IT , die zunehmende Verfügbarkeit von Cloud-Diensten sowie durch Mobile Computing. Dadurch dass Fachbereiche nunmehr auch umfangreiche und strategische Anwendungen, wie z.B. für CRM, Außendienststeuerung und Massendatenauswertungen quasi „an der IT vorbei“ einsetzten zu können, bekommt das Thema eine neue Dimension .
Aber nicht nur die Weiterentwicklung der Informationstechnik fördert die Verbreitung der Schatten-IT. Ein wesentlicher Faktor ist häufig auch die Unzufriedenheit der IT-Kunden mit der Reaktionsfähigkeit bzw. Flexibilität der Unternehmens-IT. Dieses Phänomen ist besonders häufig in Unternehmen mit kriselnder IT anzutreffen. Anstatt der Auseinandersetzung mit der als unzuverlässig, langsam und limitierend empfundenen „offiziellen“ IT wird zur Selbsthilfe gegriffen und originäre IT-Aufgaben wie Beschaffung und Betrieb von IT-Lösungen in Eigenregie übernommen.
Zudem führt die Konsumerisierung der IT dazu, dass IT-Anwender in Fragen der IT mündiger werden, „mitreden“ können und explizit ihre Anforderungen vorbringen. Insbesondere die ab 1980 geborenen sogenannten „Digital Natives“ haben meistens keinerlei Berührungsängste der IT gegenüber. Im Gegenteil, die Nutzung von IT ist selbstverständlich geworden wobei gleichzeitig hohe Anforderungen an Benutzerfreundlichkeit, Funktionalität und Verfügbarkeit der IT bestehen. Dabei werden auch entsprechende Erwartungen und Ansprüche an die Unternehmens-IT formuliert, die ihren Ursprung unter anderem in der problemlosen und schnellen IT-Bereitstellung im App-Zeitalter haben: „Think of your iPhone and the fact that you can download an application and be up and running with it in seconds. That kind of speed now seems normal, and you now expect it. Well, that same expectation carries over into the business world.“

Schatten-IT – ein zweischneidiges Schwert

Die Schatten-IT stellt einen Verlust an Kontrolle und Transparenz der IT-Abteilung über im Unternehmen eingesetzte IT-Systeme dar . Sollte der professionelle Einsatz von privater IT bzw. selbsterstellten Lösungen nicht am besten verboten werden? Dazu empfiehlt sich zunächst ein Blick auf die Chancen und Risiken, die häufig mit der Schatten-IT einhergehen.

Zu den Chancen der Schatten-IT gehören beispielsweise:

  • Innovationstreiber: Lösungen der Schatten-IT entstehen häufig aus dem Ausprobieren und Experimentieren der Endbenutzer mit neuen IT-Lösungen. Sie leiten sich direkt aus den Bedürfnissen der Anwender ab und weisen meist einen ausgeprägten Geschäftsprozessbezug auf. Technische Neuerungen und Verbesserungen können dadurch rasch und unkompliziert ihren Eingang in das Unternehmen finden.
  • Dezentralisierungsvorteile: Indem Mitarbeiter ihre Arbeitsumgebung eigenverantwortlich mit IT-Lösungen gestalten, wird die Motivation gefördert, die Identifikation mit der Aufgabe verbessert und dadurch die Produktivität erhöht. Zur Produktivitätserhöhung tragen auch die Vorteile des Mobile Computing bei, also die Möglichkeit, ortsunabhängig erreichbar zu sein und arbeiten zu können.
  • Flexibilität und schnelle Realisierung: Lösungen der Schatten-IT, insbesondere Cloud-Lösungen, erfordern meist nur geringen Bereitstellungsaufwand (siehe Kapitel 6.4.3). Dies fördert eine flexible Reaktion auf Geschäftsanforderungen (time to market) bei hoher technischer Anpassungsfähigkeit (Skalierbarkeit).
  • Entlastung der internen IT: Sofern kontrolliert und transparent durchgeführt, können Lösungen der Schatten-IT zu einer Entlastung der internen IT beitragen.

Dem gegenüber stehen die Risiken der Schatten-IT, beispielsweise:

  • Sicherheitsrisiken: Die Weiterleitung von Unternehmens-E-Mails mit Freemail-Angeboten oder die Verwendung von Dateispeicherungs-Diensten für Unternehmens-Dokumente stellt ein signifikantes Risiko hinsichtlich Datensicherheit und Datenschutz dar. Es ist häufig nicht transparent, wo die Daten gespeichert sind und wer darauf Zugriff hat. Zudem können die privaten Schutzvorkehrungen nicht ausreichend sein (z.B. unzureichende Passwortvergabe, Schutz von Geschäftsdokumenten beim Verlust von privater Hardware, Fremdsoftware als Einfallstor für Schadprogramme). Ähnliches gilt für die unreflektierte Nutzung von Cloud-Anwendungen: Wo werden die Unternehmensdaten gespeichert? Wer hat darauf Zugriff? Was sind die Konsequenzen bei Datenverlust?
  • Unklare Verfügbarkeit: Wenn Lösungen der Schatten-IT geschäftskritisch sind, d.h. für das Funktionieren eines Prozesses oder für die Bereitstellung von Führungsinformationen unentbehrlich geworden sind, kann ein Ausfall ein erhebliches Risiko für das Unternehmen bedeuten. Das Ausfallrisiko ist oftmals mangels Leistungsbeschreibungen (SLA) bei einem Betrieb außerhalb der Unternehmens-IT in der Regel nicht hinreichend abzusichern.
  • Aber auch der interne Betrieb kann problematisch sein. Wenn beispielsweise eine selbstprogrammierte, geschäftskritische Anwendung auf einem Rechner läuft, der ungeschützt unter dem Schreibtisch eines Mitarbeiters des Fachbereichs steht und über einen „selbstadministrierten“ WLAN-Router den Zugriff im Fachbereich bereitstellt, kann kaum von einem professionellen IT-Betrieb gesprochen werden.
  • Abkopplung und Inselbildung: Als „inoffizielle“ IT werden die Anwendungen in der IT-Grauzone in der Regel nicht bei der Weiterentwicklung der zentralen IT betrachtet. Eine „selbstgebastelte“ Datenschnittstelle beispielsweise, die heute noch funktioniert, kann morgen bereits „tot“ sein, da die zugehörige Anwendung der zentralen IT abgelöst wurde oder ein Update erhalten hat. Es besteht das Risiko, dass sich die zentrale-IT und die dezentralen IT-Inseln voneinander abkoppeln und mehrere nicht-integrierte „IT-Welten“ im Unternehmen entstehen. Schatten-IT-Lösungen sind zudem häufig nicht mit den Systemen der Unternehmens-IT integriert, z.B. mangels Kompatibilität mit Standards oder aufgrund unzureichender technischer Integrationsfähigkeit. Als Folge bilden sich Daten- und Funktions-Inseln, wodurch die Komplexität der IT im Unternehmen steigt und die durchgängige Unterstützung von Geschäftsprozessen erschwert wird.
  • Abhängigkeit: Insbesondere wenn eigenentwickelte Skripte oder Programme für geschäftskritische Aufgaben eingesetzt werden, besteht häufig eine erhebliche Abhängigkeitssituation von dem Ersteller der Lösung. Oft unterbleibt eine hinreichende Dokumentation des Programms, so dass Support und Weiterentwicklung nach dem Ausscheiden oder dem Erlahmen des Interesses des Erstellers erschwert oder sogar unmöglich sind. Zudem sind die Methoden der Software-Erstellung, des Testens und der Inbetriebnahme nur selten mit professionellen Standards im Einklang und somit regelmäßig aus Compliance-Gesichtspunkten zu beanstanden, insbesondere dann, wenn sie für das Geschäft kritisch werden. Ähnliches gilt z.B. bei der Nutzung von Cloud-Newcomern, deren technischer Strategie und Zuverlässigkeit unreflektiert vertraut wird.
  • Ausufernde Kosten: Das unkontrollierte Einbringen von dezentralen IT-Lösungen kann zu einem Ausufern von IT-Kosten führen. Insbesondere wenn an zahlreichen Stellen im Unternehmen redundante Lösungen zum Einsatz kommen. Investitionen in Schatten-IT-Lösungen erfordern auch in der Regel keinen Business Case, wenn sie verborgen in den Fachbereichen beschafft und betrieben werden. Eine unqualifizierte Auswahl von Produkten und Dienstleistungen kann zu Fehlinvestitionen, technologischen Sackgassen oder hohen Folgekosten führen.

Die exemplarische Aufstellung von möglichen Chancen und Risiken der Schatten-IT macht deutlich, dass die Nutzung von nicht-offizieller IT im Unternehmen ein zweischneidiges Schwert ist. Fachbereiche streben nach Flexibilität und Freiheit, während die zentrale IT ein planvolles Vorgehen und die Einhaltung von Standards durchsetzen wollen. Die IT-Grauzone kann durchaus sowohl für die interne IT als auch für die Anwender vorteilhaft sein. Ohne entsprechende Regelungen der IT-Governance besteht allerdings eine erhebliche Gefahr, dass die Risiken der Nutzung die entsprechenden Chancen überwiegen.

 

Wie die Schatten-IT im Rahmen der IT-Governance effektiv eingebunden werden kann, erfahren Sie hier.


0

Schreibe einen Kommentar