Selbst gestrickte Anwendungen, Cloud-basierende Dienste oder mobile Apps - viele Fachabteilungen betreiben IT-Services hinter dem Rücken der IT-Abteilung. Für CIOs stellt diese "Schatten-IT" ein großes Problem dar. Sie verstößt gegen die IT-Governance und birgt Sicherheitsrisiken. Andererseits bietet diese digitale Parallelwelt auch Chancen, legt sie doch offen, wo die IT-Unterstützung lückenhaft ist.
CIOs versuchen mit verschiedenen Mitteln, die Schatten-IT einzudämmen. Die Palette reicht von verstärkter Kommunikation über kontrollierte Toleranz bis zu strengen Richtlinien und Verboten. Doch es scheint ein Kampf gegen Windmühlen zu sein. "Schatten-IT ist immer da und wird immer da sein", bestätigt Manfred Klunk, IT-Leiter der Kassenärztlichen Vereinigung Bayerns (KVB): "Man kann sie nicht komplett verhindern. Die Parallel-IT taucht immer dann aus dem Schatten ins Licht, wenn es Probleme gibt. Die Frage ist: Wie gehe ich damit um?"
Ähnlich sieht das Karsten Esser, Leiter Organisation/DV bei Tacke + Lindemann in Dortmund: "Schatten-IT lässt sich wegen der vielen technischen Möglichkeiten nicht exakt messen. Wir bekommen davon in der Regel erst etwas mit, wenn es zu spät ist, wenn es knallt. Das ist der Fall, wenn Anwendungen nicht mehr funktionieren oder Daten verloren gehen."
Der Schatten hat viele Formen
Schatten-IT bedeutet grundsätzlich, dass Fachabteilungen Anwendungen (meist Software, weniger Hardware) hinter dem Rücken der IT-Abteilung betreiben. Für diese Anwendungen gelten keine Service-Level-Agreements (SLAs), die IT-Abteilung leistet weder Support noch Helpdesk oder Daten-Backup, da sie ja nichts davon weiß.
Lückenhafte Datensicherheit, unzureichende Dokumentationen und fehlende Tests vergrößern die Risiken in der Informationstechnik und für das Business. Insellösungen und IT-Wildwuchs unterlaufen die IT-Governance, sprich: die zentrale und effektive Steuerung der IT im Unternehmen, wie sie etwa über einheitliche Richtlinien und Standards geregelt wird.
Die Schatten-IT hat viele Formen: Cloud-basierende Services, Apps für Mobiltelefone oder Tablets, Social-Software-Lösungen oder auch selbst programmierte Anwendungen werden ohne Wissen der IT-Abteilung genutzt. Bei der KVB, deren rund 1600 Mitarbeiter sich unter anderem um die Abrechnungen von 24.000 Mitgliedern kümmern, fallen hierunter hauptsächlich Anwendungen zur Office Automation. "Mitarbeiter aus den Fachabteilungen programmieren häufig Makros und VB-Skripts für Microsoft Access oder Excel, um ihre alltäglichen Abläufe zu verbessern und die Produktivität zu steigern", berichtet Klunk.
Beispiele für die Schatten-IT
In vielen Unternehmen existieren neben der offiziellen IT-Infrastruktur noch diverse Systeme und Anwendungen, die die Fachabteilungen ohne Wissen, Zustimmung oder Unterstützung der IT-Abteilung betreiben. Diese Schatten-IT hat viele Gesichter:
• Fachabteilungen beziehen Cloud-Services von externen Dienstleistern mit den damit verbundenen Datenschutzrisiken.
• Unter dem Stichwort Bring your own Device werden private Geräte wie Smartphones und Tablets inklusive Apps in das Unternehmensnetz integriert. Zudem wird Hardware eingesetzt, die nicht in den offiziellen IT-Katalogen zu finden ist.
• Mitarbeiter nutzen Social Software wie Facebook, Twitter oder Skype zur internen und externen Kommunikation über arbeitsrelevante Themen. Über diese Kanäle können auch vertrauliche Informationen nach außen gelangen.
• Fachabteilungen entwickeln und betreiben Anwendungen in eigener Regie. Dazu gehören vor allem selbst entwickelte Excel- oder Access-basierende Applikationen oder Business-Intelligence-(BI-)Anwendungen.
• Kollegen unterstützen sich gegenseitig bei Hardware- oder Softwareproblemen und bauen so eigene Support-Strukturen in den Fachabteilungen auf.
Dabei sind die Fälle durchaus unterschiedlich zu bewerten. Bei Excel gehe es meist um kleinere Optimierungen, führt der CIO aus. Doch bei Access sei die Sache etwas anders gelagert. Hier handle es sich eigentlich um Anwendungsentwicklung mit Frontend und Datenbankanbindung, die teilweise kritische Geschäftsprozesse betreffe - und abseits der IT-Governance entstehe.
Das wirft auch ein operatives Problem auf: Da die KVB in Kürze von Office 2003 auf eine neue Office-Version migrieren wird, dürften viele dieser Tools im Zweifel nicht mehr oder nur noch fehlerhaft funktionieren. "In einigen Fachabteilungen ist deswegen gerade einige Unruhe, zumal sie sich häufig nicht um Fragen wie Aufbewahrungsfristen oder Backup gekümmert haben", so Klunk.
Keine Probleme hingegen hat die KVB mit Cloud-Anwendungen. Wegen der sensiblen medizinischen Daten (Sozialdatenschutz) dürfen die Fachabteilungen gar keine Cloud-Services für geschäftskritische Anwendungen an der IT vorbei nutzen.
Einfache Online-Tools wie Dropbox für den Datenaustausch empfand Klunk wegen der freien Verfügbarkeit im Web zunächst überhaupt nicht als Schatten-IT. "Nach einiger Zeit haben wir diese Anwendungen dann doch aus Datenschutzgründen abgeklemmt und zugleich unsere Richtlinien verschärft."
Die Cloud setzt die IT unter Druck
Im Allgemeinen stellen Cloud-Services einen starken Treiber für die Schatten-IT dar. "Anwendungen aus der Public Cloud sind einfach und schnell verfügbar, kostenlose Testversionen senken zudem die Hemmschwelle", beobachtet Lynn-Kristin Thorenz, Director Research & Consulting bei IDC.
Das Analystenhaus hat eine Marktbefragung zum Thema Cloud unter 260 IT- und Fachabteilungsleitern aus Deutschland mit mindestens 100 Mitarbeitern vorgenommen. Dabei zeigte sich, dass 44 Prozent der Fachbereiche kostenlose oder kostenpflichtige Dienste aus der Cloud nutzen, ohne die IT-Abteilung einzubeziehen. Drei Viertel davon verwenden die Cloud-Services zumindest teilweise, ein Viertel sogar sehr intensiv. Thorenz vermutet, dass die Zahl in der Realität noch höher liege. Ihre Begründung: Die IT-Abteilungen seien ja nicht involviert und könnten daher auch nicht von der Nutzung wissen: "Zudem spricht keiner gern über Schatten-IT."
Zu den Anwendungen, die Fachabteilungen im Alleingang aus der Cloud beziehen, gehören laut IDC relationale Datenbanken - etwa für Entwicklungsaufgaben (Windows Azure SQL Database) sowie Projekt-Management-Lösungen, Online-Speicher (Dropbox etc.), Collaboration-Software, CRM-Lösungen und Tools für die Social-Media-Analyse.
Bei Tacke + Lindemann setzt insbesondere der Vertrieb Cloud-Lösungen zum Austausch von Dokumenten wie Fotos beziehungsweise Bilddaten oder Präsentationen ein. Das Verschicken von großen Datenmengen per E-Mail war den Mitarbeitern zu mühsam oder auch schlicht unmöglich. "Dass sie dabei aber auch sensible Geschäftsdaten nach außen geben, Datenverluste riskieren und gegen Compliance-Regeln verstoßen, war ihnen nicht bewusst", nimmt CIO Esser seine internen Kunden in Schutz. Wie reagierte er darauf? - Zum einen mit schärferen Richtlinien, zum anderen mit Workshops, um den Mitarbeitern die Risiken der Schatten-IT bewusst zu machen.
Die IT-Strategie kritisch prüfen
Doch bevor die IT-Abteilung überhaupt passende Strategien gegen die Schatten-IT finden kann, muss sie die Ursachen dafür kennen. Warum werden die Fachabteilungen eigentlich hinter dem Rücken der IT aktiv? Ist das vielleicht die Folge einer fehlgeleiteten IT-Strategie? André Wieprecht, CIO bei der Nora Systems GmbH in Weinheim, hat dazu eine dezidierte Ansicht: "Schatten-IT entsteht dort, wo eine IT sich zu stark um sich selbst kümmert, nicht die Trends der Zeit beachtet und/oder einen schlechten Ruf hat." Die Fachabteilungen würden von sich aus nur tätig, wenn die IT-Abteilung ihnen für ihre Anwendungen keine oder aber schlecht kommunizierte und mangelhafte geschulte IT-Lösungen bereitstelle.
"Fühlt man sich von der eigenen IT im Stich gelassen oder zu wenig verstanden, werden andere Möglichkeiten ausgelotet", präzisiert Wieprecht seine Sichtweise. Aber er macht kein Hehl daraus, dass dies nicht der richtige Weg ist: "Das eigentliche Problem wird damit nicht professionell gelöst und nicht als Bedarf an die IT gemeldet. Es bleibt bei einer Behelfslösung."
Bringschuld des IT-Bereichs
Viele IT-Abteilungen liefern demnach also nicht die Services, die der Fachbereich benötigt oder will. Oder sie bieten sie nicht in ausreichender Qualität oder der gewünschten Zeit an. Diese Ansicht vetritt auch Marcel Ryser, Leiter Informatik bei Energie Wasser Luzern (EWL). Er sieht das IT-Team in einer Bringschuld: "Die IT muss ihren Dienstleistungsauftrag erfüllen, mit den Trends der Zeit gehen und die erforderlichen Lösungen zur Verbesserung von Prozessen in den Fachabteilungen schnell und unbürokratisch bereitstellen." Häufig wüssten die Anwender im Haus ja gar nicht, welche Services die IT-Abteilung anzubieten habe.
Schatten-IT als Entlastung
Und manchmal ist die IT-Abteilung schlicht und einfach überlastet, weil sie mit wenigen Mitarbeitern hohe IT-Anforderungen erfüllen muss, weswegen sie einfach nicht schnell genug auf die Anforderungen der Fachabteilungen reagieren kann. So ergeht es beispielsweise Sören Schaaf, dem CIO des Call-Center-Betreibers TAS AG in Leipzig. Mit seinen vier IT-Experten ist er vollauf damit beschäftigt, den Betrieb am Laufen zu halten. Schließlich erfordern die Dienstleistungen der 300 Mitarbeiter starken TAS AG allerhöchste Verfügbarkeit.
Schaaf empfindet das "erzwungene, geduldete IT-Outsourcing", so sein Begriff für die Schatten-IT, im Grunde sogar als positiv. Etwa dann, wenn Fachabteilungen durch VB-Skripts für Excel ihre eigenen Abläufe verbesserten. "Die IT-Abteilung wird dadurch entlastet", so sein Fazit. Allerdings setze er klare Grenzen: "Die Anwendung darf nur lokal ablaufen, nicht geschäftskritisch sein und muss den Datenschutz- und Compliance-Richtlinien der ISO 27001 entsprechen, für die wir zertifiziert sind."
Über Risiken aufklären
Neben den Gefahren für die Datensicherheit und etwaigen Compliance-Verstößen können IT-Alleingänge der Fachabteilungen aber weitere negative Folgen mit sich bringen. Unter Umständen führen sie zu einer heterogenen IT-Landschaft mit Dateninseln, die alle Standardisierungsbemühungen unterläuft und schwer zu kontrollieren ist. Zudem entstehen verdeckte IT-Kosten, welche die IT-Abteilung nicht kennt und damit auch nicht managen kann. Darüber hinaus ist ja keineswegs garantiert, dass die Lösungen der Fachabteilung und deren Prozesse auch zuverlässig funktionieren.
Strategien gegen die Schatten-IT
• Oberstes Ziel eines CIO ist es, mit Hilfe einer effizienten und kontrollierten IT die Geschäftsprozesse zu verbessern und jeglichen Schaden vom Unternehmen abzuwenden. Daher wird er versuchen, Schatten-IT möglichst zu verhindern.
• Auffällig ist, dass die meisten CIOs in ihren Unternehmen heute die Mitnahme privater Geräte (Bring your own Device) verbieten.
• Großen Wert legen die IT-Verantwortlichen vor allem auf die Einhaltung von Sicherheitsrichtlinien.
• Die Grenze ist für IT-Manager erreicht, wenn Compliance-Regeln verletzt werden und geschäftskritische Prozesse von der Schatten-IT abhängen.
• CIOs setzen in der Regel nicht nur auf Verbote, sondern vor allem auf die Kommunikation mit den Fachabteilungen, um deren Anforderungen herauszufinden und die Anwender über Gefahren und Risiken eines unkontrollierten IT-Einsatzes auf Abteilungsebene aufzuklären.
• Teilweise erlauben CIOs sogar den zielgerichteten Einsatz von in den Fachabteilungen entwickelten Anwendungen, sofern diese die täglichen Workflows verbessern.
"Die IT-Abteilung kann die Ideen der Fachabteilungen als Denkanstoß nehmen, muss aber grundsätzlich dafür sorgen, dass keine Schatten-IT entsteht", empfiehlt IT-Verantwortlicher Ryser von Energie Wasser Luzern. Aber wie soll das gehen? Als Basis dafür sieht Ryser - gemäß den Best Practices aus der IT Infrastructure Library (ITIL) - einen klar definierten Servicekatalog vor, der die Dienstleistungen der IT-Abteilungen prägnant und für alle verständlich zusammenfasst.
"Die Anwender in den Fachabteilungen müssen genau wissen, welche Dienste die IT anbietet und wo sie helfen kann", stellt Ryser klar. Zudem wichtig sei eine offene Kommunikation, damit die IT ein Verständnis für die Bedürfnisse der Fachabteilungen gewinnen und diese in ihre Strategie aufnehmen kann: "Die IT darf nicht unantastbar sein. Sie muss sich offen für die Wünsche der Anwender präsentieren und bei Bedarf Lösungen schnell umsetzen."
Kommunikation über alles
Hinsichtlich der Bedeutung einer permanenten Kommunikation als Mittel gegen die Schatten-IT sind sich alle befragten CIOs einig. Aber wie wird sie umgesetzt? Dazu gibt es in den meisten Unternehmen regelmäßige Treffen zwischen IT-Abteilung, Führungskräften der Fachabteilungen und auch Mitgliedern der Geschäftsleitung. "Hier stellen wir manchmal fest, dass sich Bedürfnisse der Fachabteilungen überschneiden, etwa beim Wunsch nach einer mobilen Lösung, um Geschäftsprozesse zu verbessern", geht Ryser ins Detail: "Das erhält dann eine höhere Priorität."
Auch Nora-Systems-CIO Wieprecht möchte, dass die Fachabteilungen von sich aus Anregungen geben - nach dem Motto: "Könnte man nicht auch die Dokumente mit dem Werkzeug xyz zum Kunden senden?" Oder: "Ich habe gehört es gibt jetzt auch eine Software, die kann...". Mit einer offenen Kommunikation sei die IT in der Lage, vorhandenen Bedarf aufzugreifen: "Warum wird etwas benötigt? Was ist der tiefere Grund? Was der Vorteil für den Anwender?"
Richtlinien versus Vertrauen
Um den Bedürfnissen der Anwender zu entsprechen, hat IT-Leiter Klunk von der KVB Bayern beispielsweise sein Team im Bereich Office Automation verstärkt. Denn hier kam Schatten-IT in Form selbst gebastelter VB-Scripts am häufigsten vor. Zudem hat er den Entwicklungsprozess auf die agile Methode Scrum umgestellt. Das macht die Entwickler flexibler und hilft ihnen, Anwendungen schneller umzusetzen. "Die IT muss auch liefern, darf nicht nur verbieten", so Klunks Credo.
Auf der anderen Seite hat der CIO im IT Security Board der KVB darauf hingewirkt, dass die Sicherheitsrichtlinien erweitert und die Nutzung von Cloud-Angeboten eingeschränkt wird. In diesem Gremium sitzen neben dem Security-Verantwortlichen der IT auch der Datenschutzbeauftragte, die Revision, die Geschäftsführung und gegebenenfalls Vertreter der betroffenen Fachabteilungen. Parallel forciert Klunk Schulungen der Mitarbeiter, um Bewusstsein für Gefahren von Cloud-Services zu wecken.
Eitelkeit oder Zukunftsvision?
Da ist sie sie wieder, die wichtigste Waffe der IT im Kampf gegen die Schatten-IT: die Kommunikation zwischen IT und Fachabteilungen. Auch IDC-Analystin Thorenz sieht darin den Schlüssel zum Erfolg. Entscheidend sei die Persönlichkeit des CIO: "Die Frage ist, ob er aus Eitelkeit Machtverlust befürchtet oder ob er das Unternehmen für die Zukunft fit machen will."
Die Nutzer sind verwöhnt und wollen schnelle, einfach zu bedienende Anwendungen, so Thorenz. Ein CIO, der offen für ihre Bedürfnisse sei und sogar selbst Cloud-Tools einführe, werde an Ansehen gewinnen und könne sich als Berater und Partner auf Augenhöhe positionieren.