Immenser Schaden droht
Das Beispiel ist kein Einzelfall. "Unsere Analysen zeigen, dass man in jedem Unternehmen ab einer gewissen Größe Schatten-IT findet", sagt Christopher Rentrop, Leiter des Forschungsprojekts "Schatten-IT" der Hochschule Konstanz. Bei der Untersuchung deutscher Unternehmen entdeckte der Professor konspirative Server-Farmen, geschäftskritische und geheime Applikationen sowie gravierende Compliance-Verstöße. Private Mobiltelefone für berufliche Aufgaben nutzen oder Analyseprogramme in Excel selbst stricken, sind weitere Beispiele.
Durch die zunehmende Verbreitung von Cloud-Lösungen steigt die Gefahr für Unternehmen, Teile ihrer IT aus dem Blick zu verlieren. Heute ist es ein Leichtes, Kundendaten zu Speicherdiensten wie Dropbox und Box.net ins Internet zu laden und dort zu teilen, auch via Smartphone-App oder über Skype. Berechtigungskonzepte gibt es nicht, die Daten werden nur durch gegenseitiges Vertrauen geschützt - ein Ansatz, der in der offiziellen IT nie durchgehen würde. Sind die Daten einmal in der freien Wildbahn angekommen, kann der Schaden immens sein.
- Die schlimmsten Cloud-Ausfälle
Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen - Sidekick
Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte. - Googlemail
Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails. - Hotmail
Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten. - Intuit
2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall. - Microsofts BPOSS
Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen. - Salesforce.com
Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor. - Terremark
Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden. - PayPal
Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten. - Rackspace
Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.
Zwischen Freiheit und Kontrolle
Folglich müssten Unternehmen "die inoffizielle IT unbedingt im Auge behalten, weil erhebliche Risiken damit verbunden sind", empfiehlt Wissenschaftler Rentrop. Darunter fallen neben der Datensicherheit und dem Datenschutz auch Ineffizienzen in Betrieb und Support sowie Inkonsistenzen in der Datenhaltung durch das Entstehen von Abteilungssilos. "Der Ansatz, alle Rechner abzuschotten und pauschal die Admin-Rechte zu entziehen, greift bei Cloud-Services noch schlechter als sonst", warnt Rentrop. Schließlich müssten Anwendungen aus der Cloud nicht mehr installiert werden, da sie im Browser ablaufen.
Es gelte daher, den schmalen Grat zwischen Freigabe und Kontrolle zu finden. Schließlich bietet die inoffizielle IT für Unternehmen auch Vorteile: So können Innovationen schneller von den Geschäftsbereichen umgesetzt werden. Martin Zentner, Managing Partner der Münchner IT-Beratung v3 Consulting, plädiert daher für einen pragmatischen Ansatz im Umgang mit Schatten-IT. Seiner Überzeugung nach sind beispielsweise unkritische Entwicklungen außerhalb des Kerngeschäfts eines Unternehmens manchmal in der Fachabteilung besser aufgehoben. "Sobald die Anwendungen laufen, sollten jedoch die Hardware- und Softwareprofis die Kontrolle und die Verantwortung übernehmen, um das Programm weiterzuentwickeln und es wartbar sowie betriebsfähig zu machen", rät er.
Das Erfolgsgeheimnis liegt in der Ausrichtung von Business und IT, bestätigt auch Rentrop. Der Wissenschaftler spricht sich neben der Zusammenarbeit für einen "gemeinsamen Wertekanon" und für den gegenseitigen Respekt vor den Sachzwängen der anderen Seite aus: hier das begrenzte Budget, dort der Bedarf an schnellen Innovationen. Auf eine Konstante müsse man sich in der Praxis allerdings in jedem Fall einstellen, berichtet Rentrop aus Erfahrung: "Wenn die Schatten-IT nicht funktioniert, wird gerne die offizielle IT als Schuldige gesehen."