Für Unternehmen gleich welcher Größe wird es immer wichtiger, sich mit dem Thema der Schatten-IT auseinander zu setzen. Denn sie ist eine relevante Größe. Es gibt dabei relativ viele Risiken und Gefahren. Aber man darf auch nicht die Chancen vergessen, die sich durch den Einsatz ergeben. Aus diesem Grund darf man Schatten-IT nicht gleich verteufeln, sondern muss sich mit ihr beschäftigen.
Schatten-IT: Versuch einer Erklärung
Der Begriff „Schatten-IT“ klingt nebulös, obskur und damit auch gefährlich. Aber ist es gefährlich, wenn es zum Einsatz kommt? Wenn man so manche IT-Verantwortliche hört, dann scheint alles Teufelszeug zu sein, was nicht von der IT-Abteilung abgesegnet ist. Und wenn manche Fachabteilung mehr Gehör finden würde, hieße es schnell, dass die IT-Abteilung die Belange nicht berücksichtigen würde.
Natürlich birgt es einiges an Gefahrenpotential, wenn alle mögliche Soft- und Hardware zugelassen wäre. Aber zur Weiterentwicklung einer Anwendung oder eines Geschäftsbereiches geht es oftmals gar nicht anders, als dass eine Fachabteilung über den Tellerrand hinaus schauen muss. Und hier kommt Schatten-IT dann zum Einsatz.
Es handelt sich dabei um IT-Systeme, Prozesse und Anwendungen, die neben der offiziellen Standard-IT-Infrastruktur in Fachabteilungen angesiedelt sind. Teils ohne das Wissen der IT-Abteilung, teils aber auch mit „Augen zudrücken“ geduldet wird. Die Schatten-IT ist nicht in das IT-Service-Management eingebunden und damit vom Patch-Management, Support-Portfolio, IT Asset Management etc. ausgenommen.
Was zählt alles darunter?
Ob es nun der Facebook-Client, der alternative Browser, der alternative Cloud-Provider, Eigenentwicklungen sind oder eigens angeschaffte oder von privat eingebrachte Hardware, die Aspekte sind vielfältig. Daraus wächst auch der Anspruch der Fachabteilungen, den Support der Anwendungen und Geräte in Eigenregie abzuwickeln.
Dabei fällt die Strategie, die eigenen Geräte mit in die Firma zu bringen (Bring Your Own Device) nicht mit darunter. Sondern es handelt sich bei Geräten darum, dass aus den verschiedensten Gründen Geräte und Software angeschafft werden, ohne dass diese im Unternehmen registriert sind. Natürlich schafft das Probleme. Aber es schafft auch Chancen.
Warum wird dies gemacht?
Es muss ja Gründe geben, wieso sich Fachabteilungen selbst um Geräte und Software kümmern. Es geht dabei ja keineswegs darum, die IT-Sicherheit im Unternehmen zu schwächen oder gar zu sabotieren. Vielmehr handelt es sich um konkrete Bedürfnisse, die nicht von der IT-Abteilung abgedeckt werden. Und das kann viele Ursachen haben.
Eine Support-Organisation innerhalb eines IT-Dienstleisters kann durch schlechte Absprachen mit der hauseigenen IT-Abteilung keine aktuelle Software einsetzen und beschafft sie sich letztlich selbst. In Entwicklungsabteilungen besteht der Bedarf an bestimmten Geräten, zu denen der IT-Abteilung der Kontext fehlt. Oder Genehmigungsprozesse dauern viel zu lang. Oder Software orientiert sich nicht am Stand der Technik.
Die Gründe sind vielfältiger Natur. Es besteht auch die Möglichkeit, dass das Unternehmen eine „Macht doch, was ihr wollt“-Strategie verfolgt hat und diese Geister nun nur schwer einfangen kann. Darüber hinaus ist Schatten-IT im Einsatz, wo ein hohes Maß an Diversifikation und dezentrale Organisationsformen vorherrschen. Und letztlich liegt auch ein hohes Maß an Technologie-Affinität unter den Mitarbeitern vor.
Alles gleich verteufeln?
„Auf den Smartphones Ihrer Mitarbeiter haben wir ja einen ganzen Zoo an ActiveSync-Anwendungen“, hieß es in einem Vorgang. Eine Firma hatte ihren Mitarbeitern erlaubt, beliebige Apps zu installieren, um Firmen-Emails vom Server abzurufen. Und genau das machen dann die Mitarbeiter auch. Das kann dann eine IT-Abteilung schlichtweg nicht mehr administrieren.
Aber muss deshalb alles, was kein Standard ist, gleich verteufelt werden? Klar, einen unkontrollierten Wildwuchs will kein Administrator haben. Aber wie oft ist es reine Notwehr, auf Schatten-IT zu setzen? Man kann sie auch als Innovationsmotor begreifen. Die Mitarbeiter wollen dabei in den allerseltensten Fällen ihrem Arbeitgeber Schaden zufügen. Es handelt sich mehr darum, die Entwicklungen und Prozesse schneller voran zu bringen.
Wenn für ein Kundenprojekt die Eigenheiten der Cloudlösung „Amazon Web Services“ in Betracht gezogen werden müssen, reicht kein Freifahrschein für Microsoft Azure. Für die Konkurrenz-Lösung muss dann eben einfach mal Budget vorhanden sein, um dem Kundenwunsch zu entsprechen. Andernfalls wird das Projekt von einem Wettbewerber ausgeführt.
Ein anderes Beispiel wäre, dass nicht jede Kunden-Organisation die Büro-Anwendungen, die Email-Kommunikation, Messaging und Collaboration zu Office 365 auslagern will oder kann. In diesem Zusammenhang wäre es dann praktisch, eine On-Premise-Infrastruktur anbieten zu können. Und hier gilt es dann auch, auf die Eigenheiten zwischen beiden Varianten eingehen zu können.
Es muss nicht gleich alles an Schatten-IT verteufelt werden. Es gibt gute Gründe dafür. Organisationen sind oftmals nicht flexibel genug, um in der schnelllebigen Zeit mithalten zu können. Und um bestehen zu können, muss dann durch Schatten-IT die Infrastruktur flexibel werden.
Beispiele für Schatten-IT
Nehmen wir an, im Unternehmen wird Microsoft Outlook eingesetzt. Es gibt vielleicht die Notwendigkeit, den Mozilla Thunderbird oder GMail parallel einzusetzen.
Zum Datenaustausch stehen zentrale Netzwerkspeicher in Form von File Servern zur Verfügung. Im Home Office sind diese aber vielleicht nicht verfügbar, also werden dienstliche Unterlagen vielleicht auf Dropbox oder dergleichen abgelegt.
Zum Wissenstransfer wird im Unternehmen gewöhnlich SharePoint eingesetzt. Durch die vielleicht fehlende Flexibilität setzt man vielleicht zur Dokumentation einer Entwicklung auf einen intern gehosteten WordPress-Blog.
Derlei Beispiele gibt es häufig. Zum Teil werden diese Entwicklungen geduldet. Zum Teil wissen die IT-Abteilungen gar nichts davon. Und was ist dann, wenn Probleme auftreten? Wie wäre es denn, wenn man den Anwendern hier entgegen kommen würde?
Redet miteinander
Nein, es gibt keine Standardlösung, um Schatten-IT zu „verhindern“. Darum ist es sinnvoll, wenn alle Beteiligten miteinander reden. Wenn eben die aktuellste Version einer speziellen Software benötigt wird, um die von Kunden erwarteten Funktionen bereitzustellen, dann muss man das der IT-Abteilung erzählen. Und die muss nicht erst auf eine Case Study warten.
IT muss in der heutigen Zeit flexibel sein. Sie muss leicht anpassbar sein, ohne dass ein komplett unüberschaubares Chaos entsteht. Wer weiß, vielleicht hilft es wirklich, wenn man miteinander redet. Schatten-IT hat ihre Gründe, warum sie entstanden ist. Wer weiß, vielleicht hätte man miteinander reden und einander zuhören sollen, um nicht so einen großen Zoo zu haben.
Na klar, man kann schnell mit einem Tool für das Software Asset Management loswurzeln und dann mit erhobenem Zeigefinger irgendwas entscheiden. Das schafft aber häufig nur wenig Akzeptanz. Viel besser wäre es, wenn Bedarf und Machbarkeit zu einem für alle Seiten guten Kompromiss geführt werden können. Dann haben am Ende alle gewonnen.
Ob man damit die Schatten-IT in den Griff bekommt, ist nicht belegbar. Und ob das das Ziel ist, steht auch noch auf einem anderen Blatt. Denn alternative Soft- und Hardware kann oftmals auch zu unfassbaren Innovationen und völlig neuen und vielleicht besseren Lösungen führen. Deshalb muss man flexibel genug sein, sich auch etwas zu trauen.
Wir engagieren in der Firma auch ein externes IT-Unternehmen. Wie auch hier beschrieben, stimmt es, dass es viele Risiken und Gefahren gibt, deswegen überlassen wir das den Profis. Natürlich ist es auch ein sehr großes Aufgabenfeld, deswegen kann die eigene IT-Abteilung nicht immer alles abdecken.