Schatten-IT ist verbreitet und riskant

Es gibt Bereiche, in denen IT aus der Fachabteilung kommen muss, weil sie das Fachwissen hat. Wenn es um Kernanwendungen und eine integrierte Unternehmensplattform geht, ist das jedoch fatal", warnt Rainer Janßen, CIO der Münchener Rückversicherungs-Gesellschaft AG. Sicher gebe es Grauzonen, in denen sich die zentrale IT den Wünschen der Anwender beugen müsse. "Excel ist beispielsweise als Produktivitäts-Tool für die Anwender gewollt. Doch oft ist für den Anwender der Übergang zwischen individuellem Tool und einem Stück auditierfähiger IT, das den Anforderungen an Revisionssicherheit entspricht, nicht transparent", erklärt Janßen.

Das heimliche IT-Budget

"Es gibt nur wenige Unternehmen ohne Schatten-IT. Dennoch wird über das Thema nur ungern gesprochen", beobachtet Andreas Resch, Managing Partner bei dem Beratungshaus Modalis. Offiziell stehen nur in Ausnahmefällen IT-Budgets für IT-Anschaffungen in den Fachbreichen bereit, doch mit ein bisschen Kreativität schafften es Mitarbeiter immer wieder, eigene Lösungen an der IT vorbei einzuführen. Wer bei einem Spaziergang durch die Abteilungen mal unter die Tische schaut, wird meist fündig. Gerade in größeren Unternehmen gebe es teilweise Tausende von Servern außerhalb der IT-Regie, so Resch.

CW-Umfrage Anwenderzufriedenheit
Kompetent und freundlich, so wünschen sich die Fachbereiche die IT. Nicht immer wird ihnen dieser Wunsch erfüllt - auch wenn sie im Großen und Ganzen mit der Leistung der IT zufrieden sind. Das ist das Ergebnis einer Umfrage unter insgesamt etwa 300 Führungskräften aus Fachbereichen und IT, die die COMPUTERWOCHE im September 2010 betrieben hat. Die wichtigste Ergebnisse finden Sie auf den folgenden Seiten.

Wie verfahren Sie mit nicht genehmigter Software und Hardware?
Insgesamt zeigt sich die zentrale IT großzügig, wenn sie private Installationen entdeckt. Die Meisten erlauben die Nutzung im Einzelfall. Allerdings gehen auch 27,1 Prozent der Befragten konsequent gegen die Schatten-IT vor. <br/><br/> N= 155 (nur IT-Mitarbeiter); Angaben in Prozent

Wie zufrieden sind sie mit der IT?
Die IT-Nutzer wurden um ihre Einschätzung zur Qualität der internen IT gebeten. Lobeshymnen sehen anders aus. Doch immerhin sind die meisten mit den Leistungen der IT-Abteilung zufrieden. <br/><br/> N= 98 (nur IT-Nutzer); Angaben in Prozent

Was glauben Sie: Wie zufrieden sind die IT-Nutzer mit den Leistungen der IT-Abteilung?
Die IT-Mitarbeiter schätzen ihre Leistung im Vergleich zu den befragten IT-Nutzern schlechter ein. Während mehr als 38 Prozent der IT-Nutzer der IT gute bis sehr gute Noten ausstellen (siehe Grafik zuvor), vergeben nur knapp 25 Prozent der IT-Kollegen derart gute Noten. <br/><br/> N= 164 (nur IT-Mitarbeiter); Angaben in Prozent

Was ist Ihnen zur Beurteilung der IT besonders wichtig?
Die Anwender wünschen sich vor allem kompetente und freundliche Mitarbeiter in der IT. Dass die Unternehmens-IT ihnen sämtliche Tools zur Verfügung stellt, die sie privat auch nutzen, ist nur wenigen (14,4 Prozent) wichtig. <br/><br/> N= 90 (nur IT-Nutzer); Angaben in Prozent

Wie gut erfüllt die IT Ihre Anforderungen?
Kompetenz und Freundlichkeit sind die wichtigsten Kriterien zur Beurteilung der zentralen IT, doch in diesem Punkt gaben die Anwender den Kollegen nur eine durchschnittliche Note (2,6). Die beste Bewertung erreicht die IT bei den Kosten. Offenbar sind viele Abteilungen sehr effizient aufgestellt. <br/><br/> N= 88 (nur IT-Nutzer); Angaben: Mittelwert auf einer Skala von eins (vollkommen zufrieden) bis fünf (unzufrieden)

Nutzen sie private IT-Geräte und –Tools am Arbeitsplatz?
Viele IT-Anwender haben private Geräte oder Web-Services am Arbeitsplatz in Gebrauch. Gut ein Drittel der Nutzer hält sich an das Verbot der zentralen IT für diese Tools. Knapp ein Drittel verwendet das Privatequipment mit Erlaubnis. Während der Arbeitszeit sind Social-Media-Sites besonders beliebte Anlaufpunkte im Web. <br/><br/> N= 90 (nur IT-Nutzer); Angaben in Prozent

Sind in Ihrem Unternehmen nicht erlaubte IT-Tools im Einsatz?
Das Gros der IT-Mitarbeiter weiß von nicht genehmigten Installationen auf den Firmen-PCs und von privater Hardware in den Büros der Anwender. Dass es keine Schatten-IT im Unternehmen gibt, können nur 16 Prozent der IT-Mitarbeiter mit Bestimmtheit sagen. <br/><br/> N= 156 (nur IT-Mitarbeiter); Angaben in Prozen

Wie würden Sie den Stellenwert der IT beschreiben?
Gut ein Viertel der Befragten sehen die IT in der Rolle eines Erfüllungsgehilfen. Doch glaubt auch mehr als die Hälfte der Teilnehmer, dass sich die Abläufe mit IT-Einsatz verbessern. Eine Gestaltungsfunktion räumt der IT nur jeder fünfte Befragte ein. <br/><br/> N= 269; Angaben in Prozent

Wie lassen sich Defizite in der IT beheben?
Den IT-Mitarbeiter macht vor allem die dünne Personaldecke zu schaffen. Mehr Leute könnten mehr Qualität liefern, finden 44,23 Prozent. Ein Viertel mahnt mehr IT-Investitionen an. Knapp neun Prozent können keine Mängel erkennen. <br/><br/> N= 156 (nur IT-Mitarbeiter); Angaben in Prozent

Wie lassen sich Defizite in der IT beheben?
Eine völlig andere Meinung vertreten die befragten Geschäftsführer und Vorstände. Nur ein Viertel von ihnen findet, dass die IT-Abteilung personell unterbesetzt ist. Über 40 Prozent der Manager können keine Mängel in der IT erkennen. <br/><br/> N= 29 (nur Geschäftsführer und Vorstände); Angaben in Prozent

"Das Thema ist kritisch, weil unter anderem die Kostentransparenz leidet und Compliance-Vorgaben des Unternehmens unterhöhlt werden", kommentiert Erwin Schuster, Leiter Informationsmanagement der Wittenstein AG, Hersteller von mechatronischer Antriebstechnik. Mit der verborgenen IT entständen undurchschaubare "Schatten"-Prozesse. Daher sei es wichtig, herauszufinden, welche übergreifenden Ineffizienzen und Sicherheitsprobleme drohen.

Neue Entwicklungen wie Mietsoftware, Web-Applikationen oder mobile Endgeräte mit Apps verschärfen das Problem. "Das hermetische Abriegeln des Unternehmens nach außen wird immer schwieriger", schildert Resch seine Erfahrung. Nach jahrelangen Mühen, die IT zu standardisieren und homogenisieren, machen nun die eingeschleusten Geräte und Applikationen diesem Vorhaben den Garaus. "Die IT muss in der Lage sein, multiple Provider-Landschaften zu managen", lautet die Konsequenz von Holger Wolff, Geschäftsführer des Beratungsunternehmens MaibornWolff et al GmbH. Dazu seien Regeln nötig, welche Anwendungen auf interne Daten zugreifen dürfen und wie viel Bandbreite sie benötigen. Der Aufbau intelligenter Plattformen und Netze dürfte eine der großen Herausforderungen der nächsten Jahre werden, erwartet Wolff.

Zentral oder dezentral

Jede Diskussion um Schatten-IT gelangt irgendwann zum Punkt, an dem Zentralisierung der einzig gangbare Weg scheint. "Die Kunst besteht darin, die richtige Stellgröße zu finden: Bis wohin gibt Zentralisierung Sinn, und wo sollen Entscheidungen selbständig getroffen werden?", fragt Janßen. Sinnvoll erscheint es dem CIO, Themen, die einen übergeordneten Zweck haben und eine übergreifende Infrastruktur erfordern, zentral zu verwalten. "In wirtschaftlicher Hinsicht ist die Dezentralisierung auch problematisch, weil Einkaufsmacht verloren geht. Es ist zudem nicht sicher, ob die einzelnen Abteilungen fachliche Begriffe einheitlich interpretieren und ob sie die Sicherheitsstrategie verstehen und umsetzen", zweifelt Janßen.

Freiräume mit Grenzen

IT-Berater Wolff empfiehlt deshalb, den Anwendern in einem abgesteckten Rahmen mehr Freiheiten zu gewähren. "Teilweise sind dezentrale Konzepte in definierten Nischen sinnvoll, wenn man IT-Nutzern zum Beispiel Freiraum bei Anwendungen auf vordefinierten Plattformen einräumt", schildert er eine Alternative. Allerdings sei Transparenz auf keinen Fall verhandelbar und ein zentrales Applikations-Inventory notwendig. "Schatten-IT in dem Sinne, dass hinter dem Rücken der IT-Abteilung agiert wird, ist nicht tolerierbar", betont Wolff.

Strategien gegen die heimliche IT

Wittenstein-CIO Schuster hat sich für den zentralen Weg entschieden: "Wir schaffen Schatten-IT konsequent ab. Dabei ziehen wir uns bei Innovationsthemen nicht zurück, sondern stellen Plattformen zur Verfügung, auf denen dann Lösungen angesiedelt werden können." Wichtig sei, dass die IT die Fachabteilungen mit ihrem Leistungsangebot überzeugen könne, und das sei ein aufwendiger Prozess. Auch Miodrag Nussbaumer, IT-Leiter bei der 400 Mitarbeiter zählenden Demmel AG, baut auf Zentralisierung: "Gerade für Mittelständler, die nur begrenzte Manpower in der IT haben, ist es wichtig, einen strikteren Kurs zu wählen um effizienter arbeiten zu können."

Die Anwender auf diese Richtung einzuschwören falle nicht immer leicht. Vor allem Mitarbeiter in der Entwicklung und Konstruktion seien ein kreatives Umfeld gewöhnt. "Hier ist die Überzeugungsarbeit besonders schwierig", sagt Nussbaumer, zumal die IT-Nutzer außer stabiler laufenden Anwendungen von einer erfolgreichen Standardisierung und verlässlichen Sicherheitsrichtlinien wenig hätten. "Entscheidend ist, zu vermitteln, dass die Arbeit in der IT gestrafft wird und damit erst der Raum für wichtige, strategische Inhalte und Innovation entsteht", so der IT-Leiter des Anbieters für industrielle Kennzeichnungen und Kommunikationssysteme.

Häufig helfen auch finanzielle Argumente. "Wenn Fachabteilungen zum Beispiel aus Wettbewerbsgründen eine Ad-hoc-Lösung benötigen, sollte die Abteilung informiert werden, dass durch die Integration Folgekosten entstehen - und das auch unterschreiben", fordert Janßen. Zudem geben die Fachbereiche nützliche Funktionen auf, etwa Analysen für das Cross-Selling.

Ohne Kommunikation geht nichts

Verschärft wird die Situation in international ausgerichteten Unternehmen, weil die zentrale IT dann noch weniger Einfluss auf die verstreuten Anwender hat. Schuster betont daher die Bedeutung der Kommunikation. "Eine vertrauensvolle Zusammenarbeit mit den IT-Verantwortlichen vor Ort ist entscheidend", schildert er aus seinem Erfahrungsschatz. Wittenstein setzt daher auf ein starkes Key-User-Konzept, verbunden mit Gremien und Austauschmöglichkeiten für die Kommunikation zwischen IT und Fachbereichen.

Das bestätigt auch Münchener-Rück-CIO Janßen: "IT funktioniert dann gut, wenn die Beteiligten in der IT und in den Fachabteilungen keine ideologischen Barrieren aufbauen und sich ohne Silodenken offen austauschen können", fasst er zusammen. Oft entstehen Spannungen, weil wesentliche Informationen nicht ausgetauscht werden, wenn etwa Anwender vehement Lösungen einfordern, die die IT bereits seit langem in ihrem Katalog gelistet hat. "Es ist wichtig, den Usern zu zeigen, was bereits mit den vorhandenen Systemen möglich ist. In der Regel lässt sich ein hoher Prozentsatz der Anforderungen und Wünsche damit erfüllen", sagt Nussbaumer. Das sei ein effektives Mittel, Schatten-IT zu verhindern.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Die neue Rolle der IT

Die heimliche IT entsteht dort, wo Anwender schnelle Innovationen und Lösungen wollen, die zentrale IT jedoch zu langsam reagiert. Um Alleingänge in den Fachbereichen zu unterbinden, muss die zentrale IT also schneller werden. Doch dazu fehlt oft der Gestaltungsspielraum: "Viele Unternehmen übergeben der IT das Betriebsmonopol, geizen aber mit Entscheidungskompetenzen.

Das führt langfristig zu Glaubwürdigkeitslücken", stellt Wolff fest. Der IT schreibt er ins Aufgabenbuch, sich einer kritischen Selbstreflexion zu unterziehen und ehrlich die Frage zu beantworten, ob sie tatsächlich alle Bedürfnisse der IT-Nutzer erfüllen könne. IT-Berater Resch fasst das Dilemma folgendermaßen zusammen: "Das ist das bekannte Schisma zwischen Erwartung und Realität. Es wiederholt sich das Jahrzehnte alte Schicksal der IT, gebraucht, aber ungeliebt zu sein." (jha)