Viele große Unternehmen nutzen bereits Cloud Services gezielt intern für die IT als "Infrastructure as a Service", für bestimmte Anwendungen bereiten den gezielten Einsatz für ausgesuchte Fachbereiche vor. Ein wichtiges Ziel dabei: Die IT-Services den Fachbereichen schneller zur Verfügung stellen zu können. Die Anforderungen steigen schnell. Mit Cloud Services hat die IT ein Instrumentarium in der Hand, um diese Bedarfe noch besser zu erfüllen.
Gleichzeitig wächst das Problem, das sich aus der beruflichen Nutzung von privaten Geräten wie Smartphones oder Tablet PCs ergibt: Diese Geräte durchbrechen die Sicherheitskette, wenn sie der IT nicht bekannt sind. Und diese Variante der Schatten-IT wächst schneller als je zuvor. Waren es früher beispielsweise NAS-Server, die in Abteilungen ohne Backup zum Datenaustausch genutzt wurden, sind heute nur noch wenige Klicks erforderlich und schon ist ein Speicherplatz in der Cloud eingerichtet.
Cloud-Services einfach zu nutzen
Weil diese Cloud-Services so einfach zu nutzen sind, wächst zusätzlich die Zahl der Schatten-IT-Nutzer. Denn es sind nicht mehr nur die Technik-Freaks, die in den Facharteilungen vor der Versuchung stehen, Dienste wie Dropbox, Cloudme, Teamdrive oder auch Collaboration Software wie Netviewer oder joinme auf ihren privaten iPads und Smartphones im beruflichen Umfeld zu nutzen.
Dass Cloud Services und deren Nutzung im Unternehmen kein reines IT-Thema sind, liegt auf der Hand. Die aktuelle Lünendonk-Trendstudie "Veränderte Wertschöpfung in der Cloud: Anbietertypologien, Services und Lösungen im Ausblick", die in Zusammenarbeit mit Computacenter, Infosys, MT AG, Seven Principles, TDS und Tieto durchgeführt wurde, bestätigt die Relevanz für das Unternehmen insgesamt.
So wurden von den befragten großen Unternehmen sowie Unternehmen des gehobenen Mittelstandes die Themen "Datenschutz", "IT-Security", Rechtsfragen sowie die "Integration von Cloud Services in die Kern-Systeme" als größte Herausforderungen genannt. Die Themen reichen weit über die Grenzen der IT hinaus.
Regel-Überwachung nicht immer IT-Aufgabe
Die Befragung zeigt jedoch auch deutlich, dass beispielsweise die Überwachung von Regeln für die Beauftragen von Cloud Services nicht automatisch als Aufgabe der IT gesehen wird. Und das, obwohl CIOs und IT-Leiter befragt wurden. So sehen zwar 74 Prozent der Befragten die IT als den Bereich, der Regeln für das Beauftragen von Cloud Services überwachen sollte. Immerhin 13 Prozent der Teilnehmer stimmten für die Aussage "das hängt vom Thema ab". Weitere 9 Prozent sehen den "jeweiligen Fachbereich" verantwortlich (sonstige Nennungen 4 Prozent).
Aus der Marktperspektive betrachtet riskiert eine IT, die sich nicht insgesamt als verantwortlicher Bereich für das Thema Cloud Services und deren Nutzung aufstellt, einen strategischen Bedeutungsverlust. Und das Zeitfenster, in dem die IT die Deutungshoheit über die Nutzung von Cloud Services innehat, verkleinert sich. Denn die Anforderungen der Fachbereiche nehmen zu und enthalten immer häufiger Cloud-Service-Elemente als Teil der Lösung. Ein Beispiel: Business-Apps, mit denen Reporting-Aufgaben leichter abgebildet werden oder Aufgaben in Geschäftsprozessen mobilisiert werden können, stehen ganz oben auf der Agenda der Fachbereiche.
Zu klärende Fragen
Für die IT kommt es daher darauf an, Cloud Services als Innovationspotenzial für das Unternehmen zu nutzen, jedoch gleichzeitig zu verdeutlichen, dass Cloud Services kein reines IT-Thema sind und die Fachbereiche in einen moderierten Dialog einzubinden.
Es müssen Fragen geklärt werden wie:
-
Dürfen Mitarbeiter auf einem Dienst-Notebook Services wie iCloud oder Dropbox einrichten? (Es werden Nutzungsverträge geschlossen.)
-
Dürfen Mitarbeiter private Geräte wie Smartphone oder Tablet PC beruflich nutzen und umgekehrt?
-
Welche anderen Regeln im Umgang mit Geräten und Services müssen überarbeitet werden?
-
Wie sollen Verstöße geahndet werden?
Die identifizierten Problemfelder, Rollenverteilungen und Fragen sollten idealerweise geklärt sein, bevor die umfangreiche Nutzung beginnt. Im Nachhinein wird es schwer, die Bereitschaft für diese Fleißarbeit und Verhandlungen zu generieren.
Auch Revision und Controlling sollten sich drum kümmern
Aufgrund ihrer technischen Expertise ist die IT sehr gut in der Lage, die Überwachung von Compliance-Regeln durchzuführen, für die Einhaltung zu sorgen und Verstöße zu melden. Zusätzlich erscheint es für eine breite Akzeptanz von neuen Regeln im Umgang mit Cloud Services sowie der beruflichen und privaten Nutzung von Services und Geräten jedoch von Vorteil, wenn auch andere Funktionen im Unternehmen wie Revision oder Controlling sich mit um diese Grundsatzfragen kümmern.
Darüber hinaus sollte sich jedes Unternehmen die Frage stellen, welche Balance zwischen Vorschriften und deren Überwachung (Compliance) sowie verantwortlichen und verantwortungsvollen Mitarbeitern (Integrity) die Unternehmenskultur prägen soll. Neben neuen Datenschutz- und Sicherheitsrichtlinien und technischen Lösungen zur Absicherung von Services sind es die Mitarbeiter, die mit ihrem Verhalten darüber entscheiden, wie der Wettlauf mit der Schatten-IT ausgeht. Damit die Mitarbeiter mehr Verantwortung für ihr Handeln übernehmen können, müssen sie die Zusammenhänge verstehen und sensibilisiert werden.
Hartmut Lüerßen ist Partner bei Lünendonk in Kaufbeuren.