Die IT-Strategie kritisch prüfen
Doch bevor die IT-Abteilung überhaupt passende Strategien gegen die Schatten-IT finden kann, muss sie die Ursachen dafür kennen. Warum werden die Fachabteilungen eigentlich hinter dem Rücken der IT aktiv? Ist das vielleicht die Folge einer fehlgeleiteten IT-Strategie? André Wieprecht, CIO bei der Nora Systems GmbH in Weinheim, hat dazu eine dezidierte Ansicht: "Schatten-IT entsteht dort, wo eine IT sich zu stark um sich selbst kümmert, nicht die Trends der Zeit beachtet und/oder einen schlechten Ruf hat." Die Fachabteilungen würden von sich aus nur tätig, wenn die IT-Abteilung ihnen für ihre Anwendungen keine oder aber schlecht kommunizierte und mangelhafte geschulte IT-Lösungen bereitstelle.
"Fühlt man sich von der eigenen IT im Stich gelassen oder zu wenig verstanden, werden andere Möglichkeiten ausgelotet", präzisiert Wieprecht seine Sichtweise. Aber er macht kein Hehl daraus, dass dies nicht der richtige Weg ist: "Das eigentliche Problem wird damit nicht professionell gelöst und nicht als Bedarf an die IT gemeldet. Es bleibt bei einer Behelfslösung."
Bringschuld des IT-Bereichs
Viele IT-Abteilungen liefern demnach also nicht die Services, die der Fachbereich benötigt oder will. Oder sie bieten sie nicht in ausreichender Qualität oder der gewünschten Zeit an. Diese Ansicht vetritt auch Marcel Ryser, Leiter Informatik bei Energie Wasser Luzern (EWL). Er sieht das IT-Team in einer Bringschuld: "Die IT muss ihren Dienstleistungsauftrag erfüllen, mit den Trends der Zeit gehen und die erforderlichen Lösungen zur Verbesserung von Prozessen in den Fachabteilungen schnell und unbürokratisch bereitstellen." Häufig wüssten die Anwender im Haus ja gar nicht, welche Services die IT-Abteilung anzubieten habe.
Schatten-IT als Entlastung
Und manchmal ist die IT-Abteilung schlicht und einfach überlastet, weil sie mit wenigen Mitarbeitern hohe IT-Anforderungen erfüllen muss, weswegen sie einfach nicht schnell genug auf die Anforderungen der Fachabteilungen reagieren kann. So ergeht es beispielsweise Sören Schaaf, dem CIO des Call-Center-Betreibers TAS AG in Leipzig. Mit seinen vier IT-Experten ist er vollauf damit beschäftigt, den Betrieb am Laufen zu halten. Schließlich erfordern die Dienstleistungen der 300 Mitarbeiter starken TAS AG allerhöchste Verfügbarkeit.
Schaaf empfindet das "erzwungene, geduldete IT-Outsourcing", so sein Begriff für die Schatten-IT, im Grunde sogar als positiv. Etwa dann, wenn Fachabteilungen durch VB-Skripts für Excel ihre eigenen Abläufe verbesserten. "Die IT-Abteilung wird dadurch entlastet", so sein Fazit. Allerdings setze er klare Grenzen: "Die Anwendung darf nur lokal ablaufen, nicht geschäftskritisch sein und muss den Datenschutz- und Compliance-Richtlinien der ISO 27001 entsprechen, für die wir zertifiziert sind."
Über Risiken aufklären
Neben den Gefahren für die Datensicherheit und etwaigen Compliance-Verstößen können IT-Alleingänge der Fachabteilungen aber weitere negative Folgen mit sich bringen. Unter Umständen führen sie zu einer heterogenen IT-Landschaft mit Dateninseln, die alle Standardisierungsbemühungen unterläuft und schwer zu kontrollieren ist. Zudem entstehen verdeckte IT-Kosten, welche die IT-Abteilung nicht kennt und damit auch nicht managen kann. Darüber hinaus ist ja keineswegs garantiert, dass die Lösungen der Fachabteilung und deren Prozesse auch zuverlässig funktionieren.
Strategien gegen die Schatten-IT
• Oberstes Ziel eines CIO ist es, mit Hilfe einer effizienten und kontrollierten IT die Geschäftsprozesse zu verbessern und jeglichen Schaden vom Unternehmen abzuwenden. Daher wird er versuchen, Schatten-IT möglichst zu verhindern.
• Auffällig ist, dass die meisten CIOs in ihren Unternehmen heute die Mitnahme privater Geräte (Bring your own Device) verbieten.
• Großen Wert legen die IT-Verantwortlichen vor allem auf die Einhaltung von Sicherheitsrichtlinien.
• Die Grenze ist für IT-Manager erreicht, wenn Compliance-Regeln verletzt werden und geschäftskritische Prozesse von der Schatten-IT abhängen.
• CIOs setzen in der Regel nicht nur auf Verbote, sondern vor allem auf die Kommunikation mit den Fachabteilungen, um deren Anforderungen herauszufinden und die Anwender über Gefahren und Risiken eines unkontrollierten IT-Einsatzes auf Abteilungsebene aufzuklären.
• Teilweise erlauben CIOs sogar den zielgerichteten Einsatz von in den Fachabteilungen entwickelten Anwendungen, sofern diese die täglichen Workflows verbessern.
"Die IT-Abteilung kann die Ideen der Fachabteilungen als Denkanstoß nehmen, muss aber grundsätzlich dafür sorgen, dass keine Schatten-IT entsteht", empfiehlt IT-Verantwortlicher Ryser von Energie Wasser Luzern. Aber wie soll das gehen? Als Basis dafür sieht Ryser - gemäß den Best Practices aus der IT Infrastructure Library (ITIL) - einen klar definierten Servicekatalog vor, der die Dienstleistungen der IT-Abteilungen prägnant und für alle verständlich zusammenfasst.
"Die Anwender in den Fachabteilungen müssen genau wissen, welche Dienste die IT anbietet und wo sie helfen kann", stellt Ryser klar. Zudem wichtig sei eine offene Kommunikation, damit die IT ein Verständnis für die Bedürfnisse der Fachabteilungen gewinnen und diese in ihre Strategie aufnehmen kann: "Die IT darf nicht unantastbar sein. Sie muss sich offen für die Wünsche der Anwender präsentieren und bei Bedarf Lösungen schnell umsetzen."
Kommunikation über alles
Hinsichtlich der Bedeutung einer permanenten Kommunikation als Mittel gegen die Schatten-IT sind sich alle befragten CIOs einig. Aber wie wird sie umgesetzt? Dazu gibt es in den meisten Unternehmen regelmäßige Treffen zwischen IT-Abteilung, Führungskräften der Fachabteilungen und auch Mitgliedern der Geschäftsleitung. "Hier stellen wir manchmal fest, dass sich Bedürfnisse der Fachabteilungen überschneiden, etwa beim Wunsch nach einer mobilen Lösung, um Geschäftsprozesse zu verbessern", geht Ryser ins Detail: "Das erhält dann eine höhere Priorität."
Auch Nora-Systems-CIO Wieprecht möchte, dass die Fachabteilungen von sich aus Anregungen geben - nach dem Motto: "Könnte man nicht auch die Dokumente mit dem Werkzeug xyz zum Kunden senden?" Oder: "Ich habe gehört es gibt jetzt auch eine Software, die kann...". Mit einer offenen Kommunikation sei die IT in der Lage, vorhandenen Bedarf aufzugreifen: "Warum wird etwas benötigt? Was ist der tiefere Grund? Was der Vorteil für den Anwender?"
Richtlinien versus Vertrauen
Um den Bedürfnissen der Anwender zu entsprechen, hat IT-Leiter Klunk von der KVB Bayern beispielsweise sein Team im Bereich Office Automation verstärkt. Denn hier kam Schatten-IT in Form selbst gebastelter VB-Scripts am häufigsten vor. Zudem hat er den Entwicklungsprozess auf die agile Methode Scrum umgestellt. Das macht die Entwickler flexibler und hilft ihnen, Anwendungen schneller umzusetzen. "Die IT muss auch liefern, darf nicht nur verbieten", so Klunks Credo.
Auf der anderen Seite hat der CIO im IT Security Board der KVB darauf hingewirkt, dass die Sicherheitsrichtlinien erweitert und die Nutzung von Cloud-Angeboten eingeschränkt wird. In diesem Gremium sitzen neben dem Security-Verantwortlichen der IT auch der Datenschutzbeauftragte, die Revision, die Geschäftsführung und gegebenenfalls Vertreter der betroffenen Fachabteilungen. Parallel forciert Klunk Schulungen der Mitarbeiter, um Bewusstsein für Gefahren von Cloud-Services zu wecken.
Eitelkeit oder Zukunftsvision?
Da ist sie sie wieder, die wichtigste Waffe der IT im Kampf gegen die Schatten-IT: die Kommunikation zwischen IT und Fachabteilungen. Auch IDC-Analystin Thorenz sieht darin den Schlüssel zum Erfolg. Entscheidend sei die Persönlichkeit des CIO: "Die Frage ist, ob er aus Eitelkeit Machtverlust befürchtet oder ob er das Unternehmen für die Zukunft fit machen will."
Die Nutzer sind verwöhnt und wollen schnelle, einfach zu bedienende Anwendungen, so Thorenz. Ein CIO, der offen für ihre Bedürfnisse sei und sogar selbst Cloud-Tools einführe, werde an Ansehen gewinnen und könne sich als Berater und Partner auf Augenhöhe positionieren. (qua)