Fragt man IT-Führungskräfte nach ihren Herausforderungen im Bereich Schatten-IT, werden die meisten die Security-, Prozess- und Integrationsrisiken nennen, die für deren schlechten Ruf gesorgt haben. Für einige wenige stehen die tieferen Probleme, die sich zeigen, wenn Technologien in den Geschäftsbereichen ohne Einbeziehung der IT finanziert, beschafft und gemanagt werden, jedoch stellvertretend für verpasste Möglichkeiten der IT, die Bedürfnisse der Anwender zu erfüllen.
Damit sollen die mit Schatten-IT verbundenen Risiken keinesfalls heruntergespielt werden. Es gibt ausreichend Gründe, warum diese für 77 Prozent der im Rahmen einer Entrust-Studie befragten IT-Experten Anlass zur Sorge darstellt. Immerhin erwarben, veränderten oder erstellten 41 Prozent der Mitarbeiter in Unternehmen laut Gartner Technologien außerhalb der Sichtweite der IT-Abteilung. Dabei entsteht Schatten-IT in der Regel nicht auf Grundlage böser Absichten, wie Dinesh Varadharajan, CPO beim Softwareanbieter Kissflow, weiß: "Schatten-IT entsteht aus einem Mangel an Wissen darüber, wie die IT einzubeziehen ist - oder aus einem Mangel an IT-Support und -Spektrum heraus, der verhindert, dass spezifische Herausforderungen der Geschäftsanwender gelöst werden können."
Hier kann eine IT-Strategie helfen, die die Schatten-IT als Chance für eine verbesserte Zusammenarbeit begreift. Das ist keine einfach und schnelle Umstellung, sondern erfordert, dass IT-Entscheider an zwei Fronten gleichzeitig tätig werden, denn:
auf der Nachfrageseite geht es um die Art und Weise, wie die IT-Abteilung Technologieanforderungen managt;
auf der Angebotsseite um die Art und Weise, wie Technologieanforderungen geprüft und geeignete Lösungen evaluiert werden;
Nachfolgend haben wir für Sie in sieben Schritten zusammengestellt, wie Sie Schatten-IT zu einem Wettbewerbsvorteil machen.
1. Geschäftsbeziehungen ausbauen
Laut Brian Platz, CEO und Mitbegründer des Datenspezialisten Fluree, versuchen viele Unternehmen, Schatten-IT zu bekämpfen - allerdings nicht, in dem sie sie abschaffen: "Sie finden Wege, nicht genehmigte IT-Lösungen über offizielle Kanäle zu integrieren, um Sicherheit, Compliance und ein effektives Management zu gewährleisten. Gleichzeitig ermöglichen sie die Innovation und Flexibilität, die die Mitarbeiter dazu veranlasst hat, auf Schatten-IT zu setzen."
Damit diese Strategie aufgehe, müssten die IT-Führungskräfte zunächst "Licht" in die Schatten-IT bringen, so der CEO, nämlich, "indem sie den Kreis der Führungskräfte, mit denen sie in Kontakt treten, erweitern, öfter mit ihnen sprechen und sich tiefgehender mit den Workflows der Mitarbeiter auseinandersetzen."
Im Rahmen dieser Bemühungen stellen größere Unternehmen häufig Business Relationship Manager ein. Sie nehmen eine Schlüsselrolle ein, wenn es darum geht, die technologischen Bedürfnisse der einzelnen Abteilungen zu verstehen und diese in Anforderungen und Use Cases zu übersetzen. Kleinere und mittlere Unternehmen können diese Lücken schließen, indem sie:
ein Kommunikationsprogramm entwickeln, um Unternehmen und Stakeholder einzubinden,
einen Ideenfindungsprozess einrichten, um neue Geschäftsanforderungen zu erfassen, und
Design-Thinking-Methoden nutzen.
2. Parameter setzen
CIOs und IT-Entscheider müssen zudem ein Governance- und Bereitstellungsmodell einführen, um technologische Lösungen zu evaluieren, beschaffen und implementieren - und damit eine der Hauptursachen für die Entstehung von Schatten-IT zu beseitigen. Das beinhaltet auch die Kommunikation darüber, wie Technologieanfragen aufgenommen, priorisiert und dokumentiert werden.
Fehlen ein solides Bereitstellungsmodell und ein Kommunikationsplan, ist es wahrscheinlich, dass frustrierte Business-Nutzer die IT zu umgehen versuchen. Weil es Zeit kostet, Technologie zu kaufen und zu implementieren, besteht die simpelste Waffe der IT-Entscheider im Kampf gegen Schatten-IT darin, mit den Stakeholdern in Kontakt zu treten und ihnen sowohl Vertrauen zu vermitteln. Gleichzeitig zeigen sie ihnen damit, dass eine Zusammenarbeit in ihrem Interesse liegt.
"Das menschliche Element ist am wichtigsten", findet auch Brian Suk, stellvertretender CTO beim Cloud-Lösungsanbieter SADA. Er fügt hinzu: "Die Mitarbeiter wollen sich im Allgemeinen an die Richtlinien halten. Wenn diese aber zu streng sind und Reibungsverluste verursachen, führt das zu Schatten-IT. Kommunizieren Sie deshalb klar und in hoher Frequenz über die Richtlinien, ihre Gründe und Vorteile, schaffen Sie eine Collaboration- und Feedback-Kultur und bleiben Sie dabei flexibel um, Ihre Richtlinien an die sich verändernden Benutzeranforderungen anzupassen."
3. Risiken katalogisieren und mehr
Schatten-IT gibt CIOs die Möglichkeit, ihre Strategien für die Technologielösungen der einzelnen Abteilungen neu zu bewerten. Folgende Punkte sollte dabei eine Rolle spielen, nämlich:
der Umgang mit bestehenden Schatten-IT-Implementierungen;
die Zusammenarbeit mit den Business-Teams, wenn es um neue Lösungen geht;
die Erweiterung und der Support bestehender Applikationen und Technologien;
die Steigerung der Nutzungsraten und die Optimierung der Employee Experience;
die Erfassung von Metriken und der Nachweis über erzielten Geschäftswert.
Ein formalisierter und transparenter Priorisierungsprozess ist dabei ebenfalls essenziell: IT-Entscheider brauchen dazu eine Möglichkeit, um schnell umsetzbare Business Cases zu erfassen oder Vorhersagen über die Business Value zu treffen. Parallel müssen CIO, CISO und Compliance-Beauftragte auch ein Risk Management Framework einrichten, um quantifizieren zu können, wann Schatten-IT zu Geschäftsproblemen oder signifikanten Risiken führt.
Bei diesem Vorhaben sollten IT-Entscheider außerdem die Kooperation mit dem CFO suchen, schließlich entstehen durch Schatten-IT regelmäßig auch höhere Beschaffungskosten und Implementierungsrisiken. Auch Enterprise-Architecture-Spezialisten hinzuziehen, kann an dieser Stelle sinnvoll sein, um wiederverwendbare Plattformen und gemeinsam nutzbare Services zu identifizieren und so Kostenvorteile oder Synergien zu erschließen.
Anant Adya, EVP beim IT-Serviceanbieter Infosys Cobalt, weist auf eine weitere Schattenseite der Schatten-IT hin: "Oft werden dabei Ressourcen verschwendet, weil keine Dokumentation für Software erstellt wird. Eine aufschlussreiche und weitreichende Governance in Verbindung mit detaillierten Anwendungsprivilegien schreckt davon ab, Schatten-IT zu nutzen und hilft dabei, kooperative Betriebsmodelle aufzubauen."
4. Low-Code-Governance-Modelle einführen
Die ersten drei Schritte tragen zwar dazu bei, die Schatten-IT in den Griff zu bekommen. Sie gehen dabei aber nicht auf die Tatsache ein, dass IT-Abteilungen in den seltensten Fällen über ausreichend Personal, Fachwissen oder Budget verfügen, um alle priorisierten Programme erfüllen zu können. Diese Lücke können IT-Entscheider auffüllen, indem sie:
Governance-Modelle für Low-Code- und No-Code-Lösungen einführen.
Weil Low-Code und No-Code-Lösungen die Implementierungs- und Support-Arbeiten in die Zuständigkeit des Unternehmens verlagern, bieten sie erhebliche Vorteile im Kampf gegen Schatten-IT. Darüber hinaus können diese Plattformen Business-Nutzer dazu befähigen, Tabellenkalkulationen in Workflows umzuwandeln, Wissensdatenbanken zu entwickeln oder SaaS-Integrationen zu erstellen.
Für den Erfolg ist ein Governance-Modell und ein Plan für die Lösungsarchitektur erforderlich. Ersteres sollte Prozesse umfassen, um Anforderungen zu überprüfen, damit sichere und zuverlässige Geschäftsprozesse gewährleistet sind. Varadharajan empfiehlt: "Ein strategischer Rahmen sollte Anwendungsfälle anhand von drei Kriterien kategorisieren: geschäftliche Komplexität, technische Komplexität sowie Sicherheits- und Compliance-Anforderungen. Jeder Use Case, bei dem eines dieser Kriterien einen hohen Stellenwert hat, sollte von der IT-Abteilung gemanagt werden. Der Rest kann an die Geschäftsbereiche delegiert werden."
5. Self-Service-Funktionen entwickeln
Viele CIOs setzen inzwischen auf Citizen Data Science, weil Datenvisualisierungs-Tools und Self-Service-BI-Plattformen für die Geschäftsanwender einfach zu nutzen sind - und die Last für die IT-Abteilung reduzieren. Dabei gehen die erfolgreicheren Programme darüber hinaus, Tools auszurollen, indem sie Governance etablieren und gleichzeitig Maßnahmen treffen, um die Datenschulden zu reduzieren.
Wenn IT-Entscheider eine proaktive Daten-Governance fördern und Praktiken für die Datenintegration, -katalogisierung und -qualität einführen, kann Citizen Data Science dazu beitragen, die Schatten-IT zurückzudrängen. Es mag in einigen Fällen angebracht sein, abteilungsspezifische Datenanforderungen und Tools einzusetzen. Starke Datenkapazitäten und standardisierte Datenplattformen, die Mitarbeitern aus verschiedenen Bereichen offenstehen, tragen jedoch dazu bei, die Verbreitung von Schatten-Tools und -Apps zu reduzieren.
6. GenAI-Strategie kommunizieren
Die nächste Frontlinie der Schatten-IT: die Schatten-KI. Diverse Abteilungen in vielen Unternehmen experimentieren längst mit generativen KI-Tools - und gehen dabei das Risiko ein, sensible oder vertrauliche Informationen preiszugeben. Der Risikokapitalgeber Sequoia Capital zeigt in seiner Anbieter-Map auf, wie viele Generative-AI-Angebote derzeit verfügbar sind.
Dabei ist GenAI ein Bereich, der besonders affin für Schattenaktivitäten ist. Vor allem, weil auch Führungskräfte darauf erpicht sind, mit generativer KI Innovationen oder Effizienzsteigerungen zu erzielen. Das schafft günstige Bedingungen dafür, dass Abteilungsleiter oder Mitarbeiter "mal schnell" und ohne IT neue Tools austesten. Dabei sollten IT-Entscheider es jedoch vermeiden, Generative-AI-Experimente abzulehnen (wenn sie auch aus regulatorischer Sicht sinnvoll sind). Das zu verwehren, würde auf lange Sicht sehr wahrscheinlich ebenfalls zu Schatten-KI führen.
Was hilft, ist eine GenAI-Strategie. Diese liegt in der Verantwortung des CIO und muss auch kommuniziert und iterativ aktualisiert werden, um sowohl kurz- als auch langfristige Perspektiven aufzuzeigen. Erstere sollte festlegen:
welche Abteilungen mit welchen Geschäftsergebnissen und -möglichkeiten experimentieren;
welche Tools verwendet werden;
welche Daten einbezogen werden können und
an welcher Stelle Erkenntnisse aus dem Experiment reported werden.
Darüber hinaus sollten IT-Entscheider auch ihre Strategien für die digitale Transformation aktualisieren, um zu berücksichtigen, wie sich Large Language Models (LLMs) auf ihre Branchen auswirken werden und wo Kundenerfahrungen KI-gesteuert überarbeitet werden müssen.
7. Co-Creation-Kultur fördern
Der letzte Schritt, um Schatten-IT in einen Wettbewerbsvorteil zu transformieren, ist wahrscheinlich der wichtigste. Er sollte parallel zu den anderen sechs Schritten durchgeführt werden.
Schatten-IT ist mehr als Risiko und verpasste Chance: Sie steht sinnbildlich für eine operative und kulturelle Kluft zwischen Business und IT. Diesen Gap zu beseitigen, sollte im Interesse jedes CIOs liegen. Damit das gelingt, muss der Geschäftssinn innerhalb der Technologieorganisation gestärkt werden durch:
den Beziehungsaufbau zu den Business Stakeholdern,
die Entwicklung von Empathie für die Bedürfnisse von Kunden und Mitarbeitern, sowie
eine optimierte Kommunikation.
Darüber hinaus sollten IT-Entscheider die technischen Skills verlagern: Digital versierte Mitarbeiter in Vertrieb, Marketing, HR oder anderen Abteilungen sollten über genehmigte Tools und einen geregelten Prozess verfügen, um ihre technologischen Anforderungen selbst zu erfüllen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CIO.com.