Im Einklang mit dem Risikomanagement

Wie CIOs die Schatten-IT nutzen können

08.06.2016 von Florian Maier und Stephanie Overby
Viele IT-Entscheider verteufeln die Schatten-IT, sind sich dabei aber der Vorteile nicht bewusst. Zum Beispiel verpassen sie die Gelegenheit, eine ganzheitliche IT-Strategie in ihren Unternehmen zu etablieren.

Der Begriff Schatten-IT ist in den meisten Fällen mit negativen Konnotationen behaftet. Dabei nimmt die Verbreitung von "eigenen" IT-Systemen immer mehr zu - insbesondere in Abteilungen, die hochdynamische Services bereitstellen und solchen, die für die Kommunikation mit Kunden zuständig sind. "Unternehmen realisieren langsam die Vorteile der nicht-traditionellen IT-Kanäle, während die Schatten-IT ein immer aggressiveres Wachstum an den Tag legt, um Unternehmen bei der Implementierung und Orchestrierung von Services zu unterstützen", ist Craig Wright, Managing Director beim Beratungsunternehmen Pace Harmon, überzeugt.

Die Schatten-IT muss nicht notwendigerweise eine Bedrohung für die IT-Abteilung darstellen: Stattdessen kann sie neue, effiziente Wege aufzeigen, wie Unternehmen geschäftliche Notwendigkeiten auffangen und eine tiefergehende Verständigung zwischen IT-Abteilung und Geschäftsführung schaffen können. Die erste Voraussetzung hierfür ist allerdings, dass IT-Entscheider die einstigen Schatten-Systeme besser identifizieren, einschätzen und managen können - nur so ist es möglich, die Vorzüge der Schatten-IT mit dem Risikomanagement in Einklang zu bringen.

Craig Wright hat den Kollegen unseres Schwesterportals cio.com im Interview verraten, warum IT-Verantwortliche ihr Verhältnis zur Schatten-IT grundlegend überdenken sollten.

Zum Video: Wie CIOs die Schatten-IT nutzen können

Die Vorteile der Schatten-IT für Unternehmen

CIO.com: Bisher war der Begriff ‚Schatten-IT‘ vor allem negativ besetzt. Worin liegen die Gründe für die Vorbehalte?

Craig Wright: Der Begriff ist traditionell negativ besetzt, weil die Schatten-IT oft als ernsthafte Bedrohung für die Existenzberechtigung der IT-Abteilung als funktionale Einheit wahrgenommen wird.

Viele IT-Abteilungen haben sich im Laufe der Zeit weiterentwickelt. Sie begleiten inzwischen so tiefgreifende Projekte wie die Implementierung eines ERP-Systems oder die Umstellung von althergebrachten Legacy-Technologien auf moderne Lösungen. Durch die Unzahl der miteinander verwobenen IT-Technologien und -Lösungen, die sich in einem steten Wandel befinden, sind traditionelle IT-Abteilungen inzwischen oft ein ziemlich verwirrendes und komplexes Gebilde, wenn es um ihre Größe, Organisation und Zusammensetzung geht.

Im Gegensatz dazu bietet die Schatten-IT häufig ein auf Geschäftsmodelle und -prozesse genau abgestimmtes, einfach zugängliches und verständliches Angebot unter Einbeziehung der neuesten Technologien - etwa SaaS, PaaS, IaaS und andere nutzungsbasierte Modelle. Vor allem aber sind diese Services schon aufgrund ihres Designs agil und müssen nicht erst kostenintensiv umgestellt oder angepasst werden.

Die Schatten-IT scheint gegenüber der traditionellen IT-Abteilung oft im Vorteil - das ist allerdings nicht der Fall in technologischen Bereichen, in denen Unternehmen von berechtigten Sorgen umgetrieben werden. Zum Beispiel wenn es darum geht,

CIO.com: Worin liegen also die Vorteile der Schatten-IT - nicht nur für das Business, sondern die IT-Abteilung selbst?

Craig Wright: Die Schatten-IT demystifiziert die IT: Sie ist ein bewährtes, relativ kostengünstiges Modell, das auf operativen Prinzipien beruht, die in der Consumer-Welt angekommen sind. Business-Nutzer haben oftmals Schwierigkeiten, die Definitionen und die Terminologie von IT-Spezialisten zu verstehen. Ganz zu schweigen von der komplizierten Kostenstruktur und dem zeitlichen Aufwand der benötigt wird, um bestimmte Ergebnisse zu erzielen. IT-Entscheider, die das Wertschöpfungspotential der Schatten-IT erkennen und versuchen, diese in die traditionelle IT zu integrieren, werden generell nicht nur als weniger einschüchternd, sondern auch als tiefer ins Kerngeschäft integriert wahrgenommen.

CIO.com: Wie können IT-Entscheider die Schatten-IT identifizieren?

Craig Wright: Eine geringe Sichtbarkeit liegt in der Natur der Schatten-IT. Es braucht Zeit und Mühe sie von den Business-Funktionen, mit denen sie verwoben ist, zu trennen. In vielen Fällen kann es vorkommen, dass der CIO solche Systeme erst erkennt, wenn ein Sicherheits-Vorfall auftritt oder ein Audit neue Daten oder Schwachstellen zu Tage fördert. Der Schlüssel zur Identifizierung und gewinnbringenden Nutzung der Schatten-IT liegt daher in der Zusammenarbeit mit den Business-Akteuren.

Neben der Etablierung von Service-Level-Agreements, können IT-Verantwortliche folgendermaßen Nutzen aus der Schatten-IT ziehen:

So minimieren Entscheider die Risiken der Schatten-IT

CIO.com: Wie können CIOs die Risiken der Schatten-IT besser managen ohne dabei die Vorteile zu mindern?

Craig Wright: In jeder von Wandel geprägten Umgebung bestehen Risiken und in der IT ist Wandel eine sichere Konstante. Bleibt die Schatten-IT unerkannt, ist das damit verbundene Risiko nicht quantifiziert und damit unkontrollierbar. Indem Schatten-IT-Anwendungen legitimiert werden, werden sie sichtbar - und mit ihnen ihr Risikopotenzial.

Es ist wichtig, bei der Entwicklung von Risikomanagement-Strategien die Verhältnismäßigkeit zu wahren. Eine One-Size-Fits-All-Ansatz ist im Fall der Schatten-IT meist nicht geeignet: Um die Vorteile der Schatten-IT zu nutzen, sollten Entscheider über den Tellerrand hinausschauen, Kreativität walten lassen und auch bestehende Richtlinien in Frage stellen.

CIO.com: Wie passt das Thema Outsourcing zur Schatten-IT?

Craig Wright: Die Schatten-IT wird nicht vom Outsourcing getrieben und kann - interessanterweise - auch selbst outgesourct werden. Outsourcing ist eine hervorragende Gelegenheit um IT-Services zu rationalisieren, neu zu definieren und sie mit Geschäftsergebnissen verknüpfen.

CIO.com: Wenn man die Schatten-IT ihres Schattendaseins beraubt, bräuchte sie dann nicht auch einen neuen Namen?

Craig Wright: Die Anerkennung der Schatten-IT als 'Business Technology' wäre ein Schritt in die richtige Richtung.

Dieser Beitrag basiert auf einem Artikel unseres Schwesterportals cio.com.

Gartner: 10 Technologie-Trends für 2016
10 Technologie-Trends für 2016
Welche Trends prägen IT und Technik im kommenden Jahr – diese Frage beantwortet jetzt der US-Marktforscher Gartner in dem Papier „Gartner identifies the top 10 strategic technology trends for 2016“.
1. Endgeräte-Mischmasch
Gartner fasst unter diesem Punkt die wachsende Menge mobiler Geräte zusammen. Es geht dabei nicht nur um Smartphone und iPad, sondern auch um Wearables (etwa zum persönlichen Gesundheits-Management), klassische Consumer-Geräte und Devices für das vernetzte Zuhause sowie Geräte im Zusammenhang mit dem Internet der Dinge. Aufgabe von Anbietern jeglicher Services und Gadgets ist es, die Interoperabilität dieses Mischmasch zu ermöglichen.
2. Erfassung der unmittelbaren Umgebung
Die Welt ist immer weniger, was sie scheint – beziehungsweise die IT verändert die Wahrnehmung dieser Welt in Richtung Augmented Reality und virtuelle Welten. Noch aber stehen der genussvollen Nutzererfahrung Medienbrüche im Wege. Unter den unabhängigen Software-Vendoren werden sich bis 2018 die durchsetzen, die diese Medienbrüche am besten kitten können.
3. 3D-Druck
Längst geht es bei 3D-Druck nicht mehr nur um Dinge wie Ersatzteile für Maschinen. Tüftler sprechen bereits von biologischem Material wie etwa menschlicher Haut, die per 3D-Druck hergestellt werden kann. Gartner erwartet im allerdings schwammig formulierten Segment „3D-druckfähige Materialien“ bis 2019 ein jährliches Wachstum von 64 Prozent.
4. Ordnung in der allumfassenden Information
Inhaltliche Daten etwa aus Dokumenten, Audiodaten, Videodaten, Daten von Sensoren – die ganze Welt wird datentechnisch erfasst, aber noch fehlen Menschen, die diese Daten in nützliche Zusammenhänge setzen. Diese Menschen brauchen semantische Tools. Gartner schreibt „Information of Everything“ bereits als eine Art neuer Strategie aus, die dieses Thema angehen wird.
5. Lernende Maschinen
In seinen „Robotermärchen“ schreibt der polnische Autor Stanislav Lem über die Urweltmaschinen, die die denkenden Maschinen erzeugten, die wiederum die gescheiten Maschinen erzeugten bis zu den vollkommenen Maschinen. Gartner scheint einer ähnlichen Logik zu folgen. Smarte Maschinen werden das klassische Computing hinter sich lassen und mittels Deep Neural Nets (DNN) selbstständig lernen können.
7. Lernfähige Sicherheitsarchitekturen
Während CIOs zunehmend Cloud nutzen und offene Schnittstellen schaffen, um Partner, Lieferanten und Kunden besser zu integrieren, schläft auch die Hacker-Branche nicht. In Sachen Security müssen sich Unternehmen lernfähiger zeigen.
8. Lernfähige System-Architekturen
Was für die Sicherheits-Architekturen gilt, betrifft auch die System-Architekturen. Gartner schreibt von neuro-morphologischen Architekturen, die das Zusammenspiel all der Hardware (stationär und mobile) und den Daten von Sensoren und aus anderen Quellen ermöglichen soll. CIOs werden verstärkt mit Field-programmable Gate Arrays (FPGAs) operieren. Salopp formuliert: Die IT-Systeme gleichen sich immer stärker der Funktionsweise eines menschlichen Gehirns an.
9. App und Services-Architekturen
Die Zeit monolithischen Anwendungs-Designs ist vorbei. Die Architektur der Zukunft orientiert sich an Apps und Services. Sie funktioniert Software-definiert und soll dadurch mehr Agilität und Flexibilität ermöglichen. Stichworte sind hier Microservices und Container.
10. Plattformen für das Internet der Dinge
Die genannten neuen Architekturen erfordern neue Plattformen, das Internet der Dinge steuert weitere Anforderungen bei. CIOs müssen ihre aktuellen Plattformen überprüfen, was keine leichte Aufgabe sein wird, so Gartner. Denn: Der Anbietermarkt für geeignete Plattformen ist schwer zu durchschauen, von Standardisierung kann bei diesem ganzen Thema noch keine Rede sein. Vor 2018 wird das auch nicht besser, schätzt Gartner.