Heimliche Privat-Tools der User

Schatten-IT ist verbreitet und riskant

Daniela Hoffmann ist freie IT-Fachjournalistin in Berlin.
Server unter dem Schreibtisch, Datenaustausch ohne Virenschutz, abteilungsweite Web-Anwendungen: Die "Schatten-IT" untergräbt die IT-Security und Governance.
Bild: Fotolia, T. Trojanowski
Bild: Fotolia, T. Trojanowski
Foto: Fotolia, T. Trojanowski

Es gibt Bereiche, in denen IT aus der Fachabteilung kommen muss, weil sie das Fachwissen hat. Wenn es um Kernanwendungen und eine integrierte Unternehmensplattform geht, ist das jedoch fatal", warnt Rainer Janßen, CIO der Münchener Rückversicherungs-Gesellschaft AG. Sicher gebe es Grauzonen, in denen sich die zentrale IT den Wünschen der Anwender beugen müsse. "Excel ist beispielsweise als Produktivitäts-Tool für die Anwender gewollt. Doch oft ist für den Anwender der Übergang zwischen individuellem Tool und einem Stück auditierfähiger IT, das den Anforderungen an Revisionssicherheit entspricht, nicht transparent", erklärt Janßen.

Das heimliche IT-Budget

"Es gibt nur wenige Unternehmen ohne Schatten-IT. Dennoch wird über das Thema nur ungern gesprochen", beobachtet Andreas Resch, Managing Partner bei dem Beratungshaus Modalis. Offiziell stehen nur in Ausnahmefällen IT-Budgets für IT-Anschaffungen in den Fachbreichen bereit, doch mit ein bisschen Kreativität schafften es Mitarbeiter immer wieder, eigene Lösungen an der IT vorbei einzuführen. Wer bei einem Spaziergang durch die Abteilungen mal unter die Tische schaut, wird meist fündig. Gerade in größeren Unternehmen gebe es teilweise Tausende von Servern außerhalb der IT-Regie, so Resch.

"Das Thema ist kritisch, weil unter anderem die Kostentransparenz leidet und Compliance-Vorgaben des Unternehmens unterhöhlt werden", kommentiert Erwin Schuster, Leiter Informationsmanagement der Wittenstein AG, Hersteller von mechatronischer Antriebstechnik. Mit der verborgenen IT entständen undurchschaubare "Schatten"-Prozesse. Daher sei es wichtig, herauszufinden, welche übergreifenden Ineffizienzen und Sicherheitsprobleme drohen.

Neue Entwicklungen wie Mietsoftware, Web-Applikationen oder mobile Endgeräte mit Apps verschärfen das Problem. "Das hermetische Abriegeln des Unternehmens nach außen wird immer schwieriger", schildert Resch seine Erfahrung. Nach jahrelangen Mühen, die IT zu standardisieren und homogenisieren, machen nun die eingeschleusten Geräte und Applikationen diesem Vorhaben den Garaus. "Die IT muss in der Lage sein, multiple Provider-Landschaften zu managen", lautet die Konsequenz von Holger Wolff, Geschäftsführer des Beratungsunternehmens MaibornWolff et al GmbH. Dazu seien Regeln nötig, welche Anwendungen auf interne Daten zugreifen dürfen und wie viel Bandbreite sie benötigen. Der Aufbau intelligenter Plattformen und Netze dürfte eine der großen Herausforderungen der nächsten Jahre werden, erwartet Wolff.