Strategien


Der Schatten hat viele Formen

Governance-Dilemma durch die Schatten-IT

Jürgen Mauerer ist Journalist und betreibt ein Redaktionsbüro in München.

Die IT-Strategie kritisch prüfen

Doch bevor die IT-Abteilung überhaupt passende StrategienStrategien gegen die Schatten-IT finden kann, muss sie die Ursachen dafür kennen. Warum werden die Fachabteilungen eigentlich hinter dem Rücken der IT aktiv? Ist das vielleicht die Folge einer fehlgeleiteten IT-Strategie? André Wieprecht, CIO bei der Nora Systems GmbH in Weinheim, hat dazu eine dezidierte Ansicht: "Schatten-IT entsteht dort, wo eine IT sich zu stark um sich selbst kümmert, nicht die Trends der Zeit beachtet und/oder einen schlechten Ruf hat." Die Fachabteilungen würden von sich aus nur tätig, wenn die IT-Abteilung ihnen für ihre Anwendungen keine oder aber schlecht kommunizierte und mangelhafte geschulte IT-Lösungen bereitstelle. Alles zu Strategien auf CIO.de

"Fühlt man sich von der eigenen IT im Stich gelassen oder zu wenig verstanden, werden andere Möglichkeiten ausgelotet", präzisiert Wieprecht seine Sichtweise. Aber er macht kein Hehl daraus, dass dies nicht der richtige Weg ist: "Das eigentliche Problem wird damit nicht professionell gelöst und nicht als Bedarf an die IT gemeldet. Es bleibt bei einer Behelfslösung."

Bringschuld des IT-Bereichs

Viele IT-Abteilungen liefern demnach also nicht die Services, die der Fachbereich benötigt oder will. Oder sie bieten sie nicht in ausreichender Qualität oder der gewünschten Zeit an. Diese Ansicht vetritt auch Marcel Ryser, Leiter Informatik bei Energie Wasser Luzern (EWL). Er sieht das IT-Team in einer Bringschuld: "Die IT muss ihren Dienstleistungsauftrag erfüllen, mit den Trends der Zeit gehen und die erforderlichen Lösungen zur Verbesserung von Prozessen in den Fachabteilungen schnell und unbürokratisch bereitstellen." Häufig wüssten die Anwender im Haus ja gar nicht, welche Services die IT-Abteilung anzubieten habe.

Schatten-IT als Entlastung

Und manchmal ist die IT-Abteilung schlicht und einfach überlastet, weil sie mit wenigen Mitarbeitern hohe IT-Anforderungen erfüllen muss, weswegen sie einfach nicht schnell genug auf die Anforderungen der Fachabteilungen reagieren kann. So ergeht es beispielsweise Sören Schaaf, dem CIO des Call-Center-Betreibers TAS AG in Leipzig. Mit seinen vier IT-Experten ist er vollauf damit beschäftigt, den Betrieb am Laufen zu halten. Schließlich erfordern die Dienstleistungen der 300 Mitarbeiter starken TAS AG allerhöchste Verfügbarkeit.

Schaaf empfindet das "erzwungene, geduldete IT-Outsourcing", so sein Begriff für die Schatten-IT, im Grunde sogar als positiv. Etwa dann, wenn Fachabteilungen durch VB-Skripts für Excel ihre eigenen Abläufe verbesserten. "Die IT-Abteilung wird dadurch entlastet", so sein Fazit. Allerdings setze er klare Grenzen: "Die Anwendung darf nur lokal ablaufen, nicht geschäftskritisch sein und muss den Datenschutz- und Compliance-Richtlinien der ISO 27001 entsprechen, für die wir zertifiziert sind."

Über Risiken aufklären

Neben den Gefahren für die Datensicherheit und etwaigen Compliance-Verstößen können IT-Alleingänge der Fachabteilungen aber weitere negative Folgen mit sich bringen. Unter Umständen führen sie zu einer heterogenen IT-Landschaft mit Dateninseln, die alle Standardisierungsbemühungen unterläuft und schwer zu kontrollieren ist. Zudem entstehen verdeckte IT-Kosten, welche die IT-Abteilung nicht kennt und damit auch nicht managen kann. Darüber hinaus ist ja keineswegs garantiert, dass die Lösungen der Fachabteilung und deren Prozesse auch zuverlässig funktionieren.

Strategien gegen die Schatten-IT

• Oberstes Ziel eines CIO ist es, mit Hilfe einer effizienten und kontrollierten IT die Geschäftsprozesse zu verbessern und jeglichen Schaden vom Unternehmen abzuwenden. Daher wird er versuchen, Schatten-IT möglichst zu verhindern.

• Auffällig ist, dass die meisten CIOs in ihren Unternehmen heute die Mitnahme privater Geräte (Bring your own Device) verbieten.

• Großen Wert legen die IT-Verantwortlichen vor allem auf die Einhaltung von Sicherheitsrichtlinien.

• Die Grenze ist für IT-Manager erreicht, wenn Compliance-Regeln verletzt werden und geschäftskritische Prozesse von der Schatten-IT abhängen.

• CIOs setzen in der Regel nicht nur auf Verbote, sondern vor allem auf die Kommunikation mit den Fachabteilungen, um deren Anforderungen herauszufinden und die Anwender über Gefahren und Risiken eines unkontrollierten IT-Einsatzes auf Abteilungsebene aufzuklären.

• Teilweise erlauben CIOs sogar den zielgerichteten Einsatz von in den Fachabteilungen entwickelten Anwendungen, sofern diese die täglichen Workflows verbessern.

Zur Startseite