Der Schatten hat viele Formen

Governance-Dilemma durch die Schatten-IT

Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
Was Anwendern recht ist, kann CIOs noch lange nicht billig sein: Wie gehen sie sinnvoll mit User-eigenem Equipment und heruntergeladenen Apps um?
Foto: phloxii, Fotolia.com

Selbst gestrickte Anwendungen, Cloud-basierende Dienste oder mobile Apps - viele Fachabteilungen betreiben IT-Services hinter dem Rücken der IT-Abteilung. Für CIOs stellt diese "Schatten-IT" ein großes Problem dar. Sie verstößt gegen die IT-Governance und birgt Sicherheitsrisiken. Andererseits bietet diese digitale Parallelwelt auch Chancen, legt sie doch offen, wo die IT-Unterstützung lückenhaft ist.

CIOs versuchen mit verschiedenen Mitteln, die Schatten-IT einzudämmen. Die Palette reicht von verstärkter Kommunikation über kontrollierte Toleranz bis zu strengen Richtlinien und Verboten. Doch es scheint ein Kampf gegen Windmühlen zu sein. "Schatten-IT ist immer da und wird immer da sein", bestätigt Manfred Klunk, IT-Leiter der Kassenärztlichen Vereinigung Bayerns (KVB): "Man kann sie nicht komplett verhindern. Die Parallel-IT taucht immer dann aus dem Schatten ins Licht, wenn es Probleme gibt. Die Frage ist: Wie gehe ich damit um?"

Ähnlich sieht das Karsten Esser, Leiter Organisation/DV bei Tacke + Lindemann in Dortmund: "Schatten-IT lässt sich wegen der vielen technischen Möglichkeiten nicht exakt messen. Wir bekommen davon in der Regel erst etwas mit, wenn es zu spät ist, wenn es knallt. Das ist der Fall, wenn Anwendungen nicht mehr funktionieren oder Daten verloren gehen."

Der Schatten hat viele Formen

Schatten-IT bedeutet grundsätzlich, dass Fachabteilungen Anwendungen (meist Software, weniger Hardware) hinter dem Rücken der IT-Abteilung betreiben. Für diese Anwendungen gelten keine Service-Level-Agreements (SLAs), die IT-Abteilung leistet weder Support noch Helpdesk oder Daten-Backup, da sie ja nichts davon weiß.

Lückenhafte Datensicherheit, unzureichende Dokumentationen und fehlende Tests vergrößern die Risiken in der Informationstechnik und für das Business. Insellösungen und IT-Wildwuchs unterlaufen die IT-Governance, sprich: die zentrale und effektive Steuerung der IT im Unternehmen, wie sie etwa über einheitliche Richtlinien und Standards geregelt wird.

Die Schatten-IT hat viele Formen: Cloud-basierende Services, Apps für Mobiltelefone oder Tablets, Social-Software-Lösungen oder auch selbst programmierte Anwendungen werden ohne Wissen der IT-Abteilung genutzt. Bei der KVB, deren rund 1600 Mitarbeiter sich unter anderem um die Abrechnungen von 24.000 Mitgliedern kümmern, fallen hierunter hauptsächlich Anwendungen zur Office Automation. "Mitarbeiter aus den Fachabteilungen programmieren häufig Makros und VB-Skripts für Microsoft Access oder Excel, um ihre alltäglichen Abläufe zu verbessern und die Produktivität zu steigern", berichtet Klunk.

Beispiele für die Schatten-IT

In vielen Unternehmen existieren neben der offiziellen IT-Infrastruktur noch diverse Systeme und Anwendungen, die die Fachabteilungen ohne Wissen, Zustimmung oder Unterstützung der IT-Abteilung betreiben. Diese Schatten-IT hat viele Gesichter:

• Fachabteilungen beziehen Cloud-Services von externen Dienstleistern mit den damit verbundenen Datenschutzrisiken.

• Unter dem Stichwort Bring your own Device werden private Geräte wie Smartphones und Tablets inklusive Apps in das Unternehmensnetz integriert. Zudem wird Hardware eingesetzt, die nicht in den offiziellen IT-Katalogen zu finden ist.

• Mitarbeiter nutzen Social Software wie Facebook, Twitter oder Skype zur internen und externen Kommunikation über arbeitsrelevante Themen. Über diese Kanäle können auch vertrauliche Informationen nach außen gelangen.

• Fachabteilungen entwickeln und betreiben Anwendungen in eigener Regie. Dazu gehören vor allem selbst entwickelte Excel- oder Access-basierende Applikationen oder Business-Intelligence-(BI-)Anwendungen.

• Kollegen unterstützen sich gegenseitig bei Hardware- oder Softwareproblemen und bauen so eigene Support-Strukturen in den Fachabteilungen auf.

Dabei sind die Fälle durchaus unterschiedlich zu bewerten. Bei Excel gehe es meist um kleinere Optimierungen, führt der CIO aus. Doch bei Access sei die Sache etwas anders gelagert. Hier handle es sich eigentlich um Anwendungsentwicklung mit Frontend und Datenbankanbindung, die teilweise kritische Geschäftsprozesse betreffe - und abseits der IT-Governance entstehe.

Das wirft auch ein operatives Problem auf: Da die KVB in Kürze von Office 2003 auf eine neue Office-Version migrieren wird, dürften viele dieser Tools im Zweifel nicht mehr oder nur noch fehlerhaft funktionieren. "In einigen Fachabteilungen ist deswegen gerade einige Unruhe, zumal sie sich häufig nicht um Fragen wie Aufbewahrungsfristen oder Backup gekümmert haben", so Klunk.

Keine Probleme hingegen hat die KVB mit Cloud-Anwendungen. Wegen der sensiblen medizinischen Daten (Sozialdatenschutz) dürfen die Fachabteilungen gar keine Cloud-Services für geschäftskritische Anwendungen an der IT vorbei nutzen.

Einfache Online-Tools wie Dropbox für den Datenaustausch empfand Klunk wegen der freien Verfügbarkeit im Web zunächst überhaupt nicht als Schatten-IT. "Nach einiger Zeit haben wir diese Anwendungen dann doch aus Datenschutzgründen abgeklemmt und zugleich unsere Richtlinien verschärft."

Die Cloud setzt die IT unter Druck

Im Allgemeinen stellen Cloud-Services einen starken Treiber für die Schatten-IT dar. "Anwendungen aus der Public Cloud sind einfach und schnell verfügbar, kostenlose Testversionen senken zudem die Hemmschwelle", beobachtet Lynn-Kristin Thorenz, Director Research & Consulting bei IDC.

Das Analystenhaus hat eine Marktbefragung zum Thema Cloud unter 260 IT- und Fachabteilungsleitern aus Deutschland mit mindestens 100 Mitarbeitern vorgenommen. Dabei zeigte sich, dass 44 Prozent der Fachbereiche kostenlose oder kostenpflichtige Dienste aus der Cloud nutzen, ohne die IT-Abteilung einzubeziehen. Drei Viertel davon verwenden die Cloud-Services zumindest teilweise, ein Viertel sogar sehr intensiv. Thorenz vermutet, dass die Zahl in der Realität noch höher liege. Ihre Begründung: Die IT-Abteilungen seien ja nicht involviert und könnten daher auch nicht von der Nutzung wissen: "Zudem spricht keiner gern über Schatten-IT."

Zu den Anwendungen, die Fachabteilungen im Alleingang aus der Cloud beziehen, gehören laut IDC relationale Datenbanken - etwa für Entwicklungsaufgaben (Windows Azure SQL Database) sowie Projekt-Management-Lösungen, Online-Speicher (Dropbox etc.), Collaboration-Software, CRM-Lösungen und Tools für die Social-Media-Analyse.

Bei Tacke + Lindemann setzt insbesondere der Vertrieb Cloud-Lösungen zum Austausch von Dokumenten wie Fotos beziehungsweise Bilddaten oder Präsentationen ein. Das Verschicken von großen Datenmengen per E-Mail war den Mitarbeitern zu mühsam oder auch schlicht unmöglich. "Dass sie dabei aber auch sensible Geschäftsdaten nach außen geben, Datenverluste riskieren und gegen Compliance-Regeln verstoßen, war ihnen nicht bewusst", nimmt CIO Esser seine internen Kunden in Schutz. Wie reagierte er darauf? - Zum einen mit schärferen Richtlinien, zum anderen mit Workshops, um den Mitarbeitern die Risiken der Schatten-IT bewusst zu machen.