Der Einsatz inoffizieller Systeme in den Fachabteilungen bedroht die Unternehmen. Cloud Computing forciert diese Schatten-IT. Sinnvolle Lösungen können IT und Business nur gemeinsam finden.
Foto: Victor Zastolskiy, Fotolia.de
Als der "Consumerization Report 2011" von Trend Micro im vorigen September auf dem Gartner Summit in London veröffentlicht wurde, sorgte er für einiges Aufsehen: Die Frage "Erlaubt Ihr Unternehmen den Mitarbeitern, ihre privaten Endgeräte für arbeitsbezogene Belange zu verwenden?", beantworteten 56 Prozent der rund 600 Befragten aus Unternehmen mit mindestens 500 Mitarbeitern mit "Ja". Und dabei lagen die deutschen Unternehmen mit etwa 59 Prozent sogar noch leicht über dem Durchschnitt.
Abschalten ist keine Lösung
Der IT-Analyst Rüdiger Spies, Independent Vice President von IDC Central Europe, empfiehlt Entscheidern, das Problem nicht defensiv mit Verboten anzugehen, sondern sich offensiv und aktiv um das Management, die Sicherheit und den Support der neuen Gerätevielfalt zu kümmern. Spies sieht vor allem zwei Gründe, warum Arbeitnehmer ihr Privateigentum betrieblich nutzen: "Bei den Tablet-Geräten, die derzeit im Blickpunkt der Öffentlichkeit stehen, ist es sicher in erster Linie die einfache Bedienung, die der Benutzer nicht mehr missen möchte. Hinzu kommt - ähnlich wie zuvor bei Smartphone und Mobiltelefon - der Prestige-Faktor: Die Geschäftsleitung nutzt die Geräte ja auch."
Cloud-Checklisten für den CIO
Cloud Computing Checkliste Wenn Fachbereiche ohne Wissen der IT Cloud-Services beschaffen, entsteht früher oder später eine "Schatten-IT". Hier erfahren Sie, wie Sie die Datensicherheit im Unternehmen erhöhen und dieser Schatten-IT entgegenwirken können. Hierzu sollten die Verantwortung und Aufgaben der Cloud-Strategie, Unternehmensleitung und IT-Abteilung klar geregelt sein.
Die zentrale Cloud-Strategie … legt fest, wie eine Private Cloud im Unternehmen organisiert wird.
Die zentrale Cloud-Strategie … bestimmt, welche SaaS-Anwendungen aus der Public Cloud beziehbar sind.
Die zentrale Cloud-Strategie … regelt, wie virtuelle Server in Public Clouds zu nutzen sind (Stichwort IaaS).
Die zentrale Cloud-Strategie … definiert die Zuständigkeiten der Abteilungen bei der Bestellung von Cloud-Leistungen und Vertragsverhandlungen.
Die zentrale Cloud-Strategie … enthält Vorgaben für Datenschutz und Datensicherheit bei der Cloud-Nutzung.
Die zentrale Cloud-Strategie … untersagt den Mitarbeitern den eigenmächtigen Einsatz von Cloud-Services.
Die Unternehmensleitung muss … IT-Richtlinie im Unternehmen erlassen und für die Umsetzung sorgen.
Die Unternehmensleitung muss … das nötige Know-how zu Cloud-Verträgen im Unternehmen sicherstellen - durch Schulungen, Entwicklung von Standards und Musterregelungen.
Die Unternehmensleitung muss … das Zusammenwirken der Abteilungen bei Vertragsverhandlungen koordinieren.
Die IT-Abteilung schließlich … erarbeitet ein detailliertes Sicherheitskonzept für die Unternehmens-IT und prüft es laufend.
Die IT-Abteilung schließlich … untersucht die Möglichkeiten zur Einbindung von Cloud-Services in Unter-nehmens-IT.
Die IT-Abteilung schließlich … berät die Unternehmensleitung bei der Entwicklung der Cloud-Strategie und deren Umsetzung.
Die IT-Abteilung schließlich … wirkt an Verhandlungen zu SaaS- und Cloud-Verträgen mit, prüft laufend deren Einhaltung, löst auftretende Probleme.
Die IT-Abteilung schließlich … schult Mitarbeiter aller Abteilungen zu Datensicherheit.
Doch oft ist die Motivation ganz einfach zu erklären - so wie in diesem Szenario: Die Redaktion eines Modemagazins wünscht sich eine Collaboration-Lösung, um ihre verteilt arbeitenden Mitarbeiterinnen besser zu vernetzen und den Produktionsprozess zu beschleunigen. "Die Konkurrenz macht das schon längst", heißt es. Die IT jedoch kann aufgrund technischer Probleme und fehlenden Budgets nicht liefern. Die Redakteure wählen kurzentschlossen den Cloud-Service Google Text & Tabellen, um Redaktionspläne, Artikel und Präsentationen übergreifend zu bearbeiten. Die IT erfährt nichts davon oder erst hinterher. Die Wolke macht vieles möglich.
Immenser Schaden droht
Foto: maldesowhat, Fotolia.de
Das Beispiel ist kein Einzelfall. "Unsere Analysen zeigen, dass man in jedem Unternehmen ab einer gewissen Größe Schatten-IT findet", sagt Christopher Rentrop, Leiter des Forschungsprojekts "Schatten-IT" der Hochschule Konstanz. Bei der Untersuchung deutscher Unternehmen entdeckte der Professor konspirative Server-Farmen, geschäftskritische und geheime Applikationen sowie gravierende Compliance-Verstöße. Private Mobiltelefone für berufliche Aufgaben nutzen oder Analyseprogramme in Excel selbst stricken, sind weitere Beispiele.
Durch die zunehmende Verbreitung von Cloud-Lösungen steigt die Gefahr für Unternehmen, Teile ihrer IT aus dem Blick zu verlieren. Heute ist es ein Leichtes, Kundendaten zu Speicherdiensten wie Dropbox und Box.net ins Internet zu laden und dort zu teilen, auch via Smartphone-App oder über Skype. Berechtigungskonzepte gibt es nicht, die Daten werden nur durch gegenseitiges Vertrauen geschützt - ein Ansatz, der in der offiziellen IT nie durchgehen würde. Sind die Daten einmal in der freien Wildbahn angekommen, kann der Schaden immens sein.
Die schlimmsten Cloud-Ausfälle
Die schlimmsten Cloud-Ausfälle Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen
Sidekick Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte.
Googlemail Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails.
Hotmail Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten.
Intuit 2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall.
Microsofts BPOSS Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen.
Salesforce.com Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor.
Terremark Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden.
PayPal Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten.
Rackspace Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.
Zwischen Freiheit und Kontrolle
Folglich müssten Unternehmen "die inoffizielle IT unbedingt im Auge behalten, weil erhebliche Risiken damit verbunden sind", empfiehlt Wissenschaftler Rentrop. Darunter fallen neben der Datensicherheit und dem Datenschutz auch Ineffizienzen in Betrieb und Support sowie Inkonsistenzen in der Datenhaltung durch das Entstehen von Abteilungssilos. "Der Ansatz, alle Rechner abzuschotten und pauschal die Admin-Rechte zu entziehen, greift bei Cloud-Services noch schlechter als sonst", warnt Rentrop. Schließlich müssten Anwendungen aus der Cloud nicht mehr installiert werden, da sie im Browser ablaufen.
Es gelte daher, den schmalen Grat zwischen Freigabe und Kontrolle zu finden. Schließlich bietet die inoffizielle IT für Unternehmen auch Vorteile: So können Innovationen schneller von den Geschäftsbereichen umgesetzt werden. Martin Zentner, Managing Partner der Münchner IT-Beratung v3 Consulting, plädiert daher für einen pragmatischen Ansatz im Umgang mit Schatten-IT. Seiner Überzeugung nach sind beispielsweise unkritische Entwicklungen außerhalb des Kerngeschäfts eines Unternehmens manchmal in der Fachabteilung besser aufgehoben. "Sobald die Anwendungen laufen, sollten jedoch die Hardware- und Softwareprofis die Kontrolle und die Verantwortung übernehmen, um das Programm weiterzuentwickeln und es wartbar sowie betriebsfähig zu machen", rät er.
Das Erfolgsgeheimnis liegt in der Ausrichtung von Business und IT, bestätigt auch Rentrop. Der Wissenschaftler spricht sich neben der Zusammenarbeit für einen "gemeinsamen Wertekanon" und für den gegenseitigen Respekt vor den Sachzwängen der anderen Seite aus: hier das begrenzte Budget, dort der Bedarf an schnellen Innovationen. Auf eine Konstante müsse man sich in der Praxis allerdings in jedem Fall einstellen, berichtet Rentrop aus Erfahrung: "Wenn die Schatten-IT nicht funktioniert, wird gerne die offizielle IT als Schuldige gesehen."