Loslassen, aber bitte kontrolliert

Schatten-IT ist Notwehr

04.10.2013 von Bernd Seidel
Viele Fachabteilungen beschaffen sich Anwendungen aus der Cloud, ohne ihre IT-Abteilung zu informieren. So wächst die Schatten-IT - und der Druck auf das IT-Management.

Christopher Rentrop ist ein Jäger. Der Informatikprofessor von der Hochschule Konstanz hilft Unternehmen, dem Phänomen Schatten-IT auf die Schliche zu kommen. Schatten-IT, da ist Rentrop streng, sind "alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT-Service-Management (ITSM) betrieben werden". Also zum Beispiel ohne Service-Level-Agreements (SLAs), Datensicherung, Patch-Management, User-Support und Helpdesk.

Für IT-Service-, Risiko- oder Compliance-Management können durch Schattensysteme gravierende Probleme entstehen. Falsche oder keine Standards, lückenhafte Datensicherheit, fehlende Tests und unzureichende Dokumentationen vergrößern Risiken, die eigentlich durch eine standardisierte IT und ein professionelles Service-Management eingedämmt werden sollen. Auch auf die Kosten wirkt sich der IT-Wildwuchs negativ aus. "Sie sind zwar schwer zu erfassen", sagt Rentrop, aber in seiner Analyse der IT-Landschaften von Unternehmen im Rahmen des Forschungsprojekts "Schatten-IT" sei er schon auf Tools gestoßen, deren "Nebenkosten" sich auf satte 90 000 Euro belaufen - pro Tool und Jahr.

Ohne Kenntnis der IT

In mehr als 30 Unternehmen vom gehobenen Mittelstand mit 2000 Mitarbeitern bis zum Konzern mit 40 000 Angestellten betrieb sein Team aufwendige Interviews und detaillierte Analyseprojekte. "Zwischen zehn und 50 Prozent einer normalen Systemlandschaft sind Schatten-IT", lautet seine Erkenntnis. "Bei unseren Untersuchungen sind wir auf insgesamt rund 300 Instanzen gestoßen, die ohne Kenntnis der IT betrieben werden", zitiert Rentrop den Projektbericht. Instanzen reichen für ihn von einzelnen Excel- oder Word-Dateien bis hin zu ausgewachsenen Anwendungen, auf die mehrere User Zugriff haben.

Cloud in Zahlen
An Marktforschung zum Thema Cloud Computing herrscht kein Mangel. Wir haben interessante Ergebnisse herausgepickt.
Welche Technologien möchten Mittelstandsfirmen in Deutschland in den nächsten 12 Monaten einsetzen?
Angaben in Prozent, Mehrfachnennungen möglich Quelle: TechConsult IT-Cloud-Index Mittelstand in Deutschland, 10/2013
Welche Bereitstellungsoptionen bevorzugen Mittelstandskunden in Deutschland im Bereich Cloud Computing in den nächsten 12 Monaten?
Angaben in Prozent, Quelle: TechConsult IT-Cloud-Index Mittelstand in Deutschland, 10/2013
Magic Quadrant: Wer sind die führenden Unternehmen,wenn es um Infrastructure as a Service (IaaS) geht?
Gartner sieht IBM, Hewlett-Packard und Fujitsu nicht als führende Anbieter von Infrastruktur-Dienstleistungen aus der Cloud.
Wie oft werden Cloud-Services an der ITvorbei genutzt?
Aktuelle und geplante Nutzung von Software aus der Public Cloud (SaaS)
Generelle Einstellung zum Thema Cloud Computing nach Branchen
Warum Public-Cloud-Lösungen attraktiv sind
Warum greifen Fachabteilungen unter Umgehung derIT auf kostenpflichtige Cloud-Services zurück?
Was sind die IT-spezifischen Herausforderungen beider Nutzung von Cloud-Services?
Prognose: So werden sich Public-Cloud-Services von 2010 bis 2016 entwickeln

Allerdings ist es ein heikles Unterfangen, Licht in ein solches Dunkel zu bringen, wie Hendrik Lührs, Senior Business Consultant des Beratungshauses Direkt Gruppe, erfahren hat. "Wer lässt sich schon gerne in die Karten gucken und gesteht ein: Ja, wir haben ein paar schwarze Flecken und damit vielleicht auch ein Problem." Um sich selbst ein Bild vom Ausmaß der Schatten-IT in ihrem Unternehmen zu machen, könnten IT-Verantwortliche auf eine simple Rechnung zurückgreifen: "Vergleichen Sie die Budgets, die ihre IT-Organisation direkt verwaltet, mit den Zahlen für IT-Ausgaben, die im Einkauf auflaufen - iPads, Smartphones, Drucker, Belege für monatliche Miete etwa für Speicher oder Projekt-Management-Tools." Das Delta könne ein Indikator für Schatten-IT sein.

Die schlechte Nachricht: Durch Cloud-Computing, speziell Public-Cloud, wächst die Gefahr weiter. "Fachabteilungen versorgen sich mitunter im Alleingang mit Cloud-Services", beobachtet Mark Alexander Schulte, Consultant beim Marktforschungsunternehmen IDC. Das Analystenhaus hat 260 IT-Fach- und -Führungskräfte aus Unternehmen in Deutschland mit mindestens 100 Mitarbeitern befragt. Momentan nutzten 32 Prozent der Fachabteilungen teilweise und zwölf Prozent sogar sehr umfangreich Public-Cloud-Lösungen - ohne die IT-Abteilung einzubeziehen.

Neue IT-Inseln

"Fast die Hälfte der Befragten (46 Prozent) befürchtet, dass durch den Einsatz von Cloud-Services die IT-Umgebung wesentlich komplexer wird und damit auch das IT-Service-Management", sagt Schulte. Zudem bildeten sich in großem Umfang "IT-Inseln". Die wiederum verhinderten, Geschäftsprozesse zu automatisieren.

Die Vorteile des Cloud Computings
Speziell für kleine und mittelständische Betriebe stellen Anfangsinvestitionen in die IT eine enorme Hürde dar. Cloud-Modelle bieten als Alternative nicht nur die Chance, Kapitalkosten in Betriebskosten umzuwandeln, sondern auch unter dem Strich zu sparen.
Cloud-Services verhindern ...
... den Kapitaleinsatz bei der IT-Ausstattung weitgehend (Capex). Technische oder personelle Ressourcen entfallen.
Es muss kein zusätzliches Know-how ...
... im Unternehmen aufgebaut werden.
Weil sich die Experten des IT-Dienstleisters ...
... um die kontinuierliche Funktionsfähigkeit der IT kümmern, werden Entscheidungsträger entlastet – von Installationsfragen über den Ausbau bis zu Austausch- und Skalierungsfragen.
Das Cloud-Modell vereinfacht ...
... eine Reihe von IT-Aufgaben: Implementierung, Upgrades, Downgrades, neue Releases, Patch-Management, wichtige Updates, laufende Erweiterungen und Fehlerbeseitigung.
Cloud-Lösungen gewährleisten die ...
... Einhaltung von Compliance-Richtlinien.

Besondere Herausforderungen seien an die Integration von Cloud-Services (Private/Public) mit herkömmlicher IT-Umgebung gestellt sowie an das Monitoring der Service-Level-Agreements (SLAs) in gemischten IT-Umgebungen, die aus Private- und Public-Cloud-Systemen bestehen. "Die Anforderungen an heutige ITSM-Werkzeuge im Hinblick auf die Einhaltung der Compliance und die transparente Darstellung von Service-Level-Agreements in gemischten IT-Umgebungen sind stark gestiegen", führt Schulte aus.

Vogel-Strauß-Politik

Ob zehn, 25 oder 50 Prozent der Anwendungen und Infrastruktur Schatten-IT sind, ob Excel-Datei oder Web-Kalender: "Wegschauen nützt nichts. Vogel-Strauß-Mentalität aus Sicht der IT ist nicht angesagt", führt Rentrop aus. Die IT müsse akzeptieren, dass der Bedarf für die inoffiziell beschafften Lösungen da ist. Sie sollte die Systeme kennen und ihre Weiterentwicklung im Blick haben. Am Ende habe nämlich nur eine von 300 untersuchten Schattenanwendungen keinen betrieblichen Mehrwert gebracht. "Aus Spaß machen die Fachbereiche das nicht - es ist schlicht Notwehr, sich Schattensysteme zuzulegen, weil die IT-Organisationen oft zu langsam sind." Sie könnten die Bedürfnisse der Nutzer nach schlanken und passgenauen Lösungen häufig nicht erfüllen.

"Warum zwölf oder mehr Monate warten, bis die IT ein CRM-System zur Verfügung stellt, wenn man selbst die Lösung per Mausklick bestellen und sofort benutzen kann?" Thomas Kaiser, Global Head of IT Strategy, Architecture & Governance, Roche Diagnostics Division, versteht die Verlockungen vieler Fachbereiche, den Alleingang zu wagen. Bei allen Risiken. Das Angebot ist vielfältig: ERP- oder CRM-Software wie "Workday" oder "Salesforce" gibt es ebenso wie Personal-Productivity-Tools ("Prezi","Doodle", "Evernote"). Server können in der Cloud gemietet, Speicher kann nach den jeweiligen Bedürfnissen gebucht werden.

Die Folgen spürt Kaiser, der viele Jahre als Architektur- und Prozessberater tätig war, am eigenen Leib: "Die IT gerät durch die Möglichkeit, Software, Infrastruktur und Plattformen aus der Cloud zu beziehen, zunehmend unter Druck."

Nüchtern analysieren

"Hier liegt der Kern des Problems", findet Heiko Henkes, Senior Advisor Manager der Experton Group. Die Services der internen IT seien im Vergleich zu den Angeboten zahlreicher Cloud-Provider zu langsam und sperrig. "Reset-Knopf drücken" und die "Situation nüchtern analysieren", empfiehlt er den IT-Verantwortlichen.

Dazu könne es erforderlich sein, das IT-Service-Management neu aufzusetzen und zu hinterfragen, welche Vereinbarungen überhaupt noch sinnvoll sind - und welche vielleicht gar nicht bestehen. Das Regelwerk und die Erfahrungen etwa mit der Best-Practices-Sammlung ITIL v3 oder dem Rahmenwerk COBIT seien vorhanden. Henkes plädiert für mehr Offenheit: "ITSM darf kein Closed Shop sein." Anwender heute seien gleichermaßen Konsumenten und Produzenten von IT-Leistungen. Wer hier allzu dogmatisch an Regeln festhalte, werde sich irgendwann auf der Verliererstraße wiederfinden.

Nicht an die Kette

Anwender und ganze Abteilungen sollten nicht in die risikobehaftete Schatten-IT getrieben werden. Man könne die Mitarbeiter im Zeitalter von Consumerization of IT und Social Business nicht rigoros an die Kette legen. Sie bräuchten vielmehr einen ITIL-konformen und somit anforderungsgemäßen Spielraum für produktives und vor allem sicheres Arbeiten mit neuen Medien.

"Systeme aus der Cloud grundsätzlich abzuschalten ist auf jeden Fall kontraindiziert", erklärt Direkt-Gruppe-Manager Lührs. Die IT könne von Cloud-Anbietern vielmehr profitieren, ihr eigenes Image verbessern und sich gegenüber den Anwendern als Berater auf Augenhöhe positionieren. "Dazu muss sie von den Vorzügen lernen, die Cloud-Software heute bietet." Einfache, intuitive Bedienung, schnelle Konfiguration und sofortige Verfügbarkeit, um einige zu nennen.

Thema erledigt

Die IT solle zum Beispiel selbst eine den Anwenderbedürfnissen entsprechende unternehmensweite File-Sharing- und Collaboration-Lösung auf die Beine stellen, regt Lührs an. Dann habe sich das Thema Dropbox oder Projekt-Management-Tool aus der Cloud schnell erledigt. Wichtig sei außerdem, dass insgesamt das IT-Service-Management agil entwickelt und betrieben werde. Dies sei für traditionelle IT-Abteilungen zwar eine Herausforderung, jedoch unumgänglich.

"Redaktionsbro"
Da wird das "Redaktionsbüro" zum "Redaktionsbro": Die „Central Desktop“-Lösung kommt wie viele andere amerikanische Lösungen im Netz nur schlecht bis überhaupt mit Umlauten in Bezeichnung klar.
Assistenten helfen online
Das Hinzufügen neuer Kollegen zum bestehenden Workspace ist bei Central Desktop schnell erledigt und bietet übersichtliche Möglichkeiten, den Anwender entsprechende Rechte zuzuweisen.
Bildbehandlung
Die Lösung Central Desktop bietet in einem Workspace auch die Möglichkeit, mit Bildern umzugehen: Leider zeigt sich auch hier die Schwäche bei der Arbeit mit Dateinamen, die nicht dem einfachen ASCII-Zeichensatz ohne Umlaute entsprechen.
Online-Hilfe
Online-Hilfe, die das Arbeiten erleichtern kann: Durch interaktive Hilfe ermöglicht es die Software von Projectplace relativ einfach, Projekt anzulegen und zu betreuen.
Farbcodes
Farben helfen bei der Visualisierung: Dadurch werden die unterschiedlichen Aktivitäten innerhalb eines Projekts deutlicher hervorgehoben – die Teammitglieder erhalten so unter Projectplace schnellen einen entsprechenden Überblick.
Mobil geht's auch
So werden auch die mobilen Mitarbeiter eingebunden: Für den Zugriff auf die Projectplace-Lösung steht auch einen Android-App bereit, die zwar nicht alle Funktionen des Web-Interfaces bieten kann, aber einen grundsätzlichen Überblick gewährt.
Registrierung
Eine Registrierung ist notwendig: Wie bei vielen anderen Collaboration-Lösungen, die einen Server in der Cloud bereitstellen, ist auch beim Einsatz von „amagno“ zunächst eine Registrierung notwendig.
Gruppenarbeit
Ist die erste Gruppe eingerichtet, so können mit Hilfe der "amagno"-Software entsprechende Dokumente relativ leicht und schnell automatisch gesichert werden.
Dokumentenaustausch
Arbeiten mit den "Magneten" und vor allen Dingen mit den Dokumenten: Hier zeigte es sich, dass die "amagno"-Lösung sehr gut mit den unterschiedlichen Dokumententypen umgehen kann.
Teamdrive
Aufgeräumte Oberfläche: Mit der Version 3.1 stellt die Lösung "Teamdrive" eine ganze Reihe von Informationen zur Verfügung, die sich natürlich erst nach und nach füllen – hier ist der Client direkt nach der Installation zu sehen.
Einladung
Einladung für die Verwendung eines Team-Spaces: Direkt aus der Anwendung heraus kann ein Nutzer andere Teammitglieder zur Nutzung seines Teamdrive-Bereiches einladen.
Auch für Android
Zugriff auch vom Android-Tablet (hier unter Android 4.22): Die Teamdrive-App bietet dabei allerdings nicht alle Möglichkeiten, die dem Anwender mit dem Windows-Client zur Verfügung stehen.
SharePoint machts selbst
Das Vorbereitungstool für SharePoint Foundation 2013: Microsoft hilft hier dem Anwender sehr gut dadurch, dass die benötigten Softwareprodukte automatisch nachinstalliert werden – trotzdem stoppt die Installation nur allzu häufig mit kryptischen Fehlermeldungen.
Der fertige SharePoint
Es ist vollbracht: Der SharePoint Foundation Server 2013 wurde auf einem Windows Server 2008 R2 installiert und präsentiert eine Web-Oberfläche für die weitere Konfiguration.

Auch IT-Manager Kaiser von Roche machte gute Erfahrungen damit, Anwendern zuzuhören und auf ihre Bedürfnisse einzugehen. "Wir haben gelernt, dass sich die Rolle der Zentral-IT verändert. Wir sind nicht der alleinige Anbieter von IT-Lösungen, sondern müssen den Fachbereichen helfen, die für sie richtigen Lösungen - ob aus der Cloud oder nicht - schnell und sicher in das Unternehmensnetzwerk zu integrieren. Das kommt nicht nur den Anwendern zugute, sondern es stärkt auch die Rolle der IT als Business-Partner."

Kein Wenn und Aber

Die IT müsse sich daran gewöhnen, nicht mehr alles in eigener Regie zu managen. Den Fachbereichen gelte es zu vermitteln, dass ihnen nichts weggenommen werden solle, lautet der Rat von Wissenschaftler Rentrop. Das werde die Zusammenarbeit deutlich erleichtern. In einem Punkt lässt er allerdings nicht locker: "Selbst wenn die Fachabteilung eigene Systeme betreibt, die Inventur in der Konfigurationsdatenbank und im Serviceportfolio muss vollständig und aktuell sein." Loslassen, aber bitte kontrolliert, lautet also die Devise - damit aus den Schatten kein Tal der Finsternis wird. (mhr)