Bringt Licht in die Schatten-IT

Ein Plädoyer für mehr IT-Service

Matthew Neigh verfügt über mehr als 10 Jahre Erfahrung im Bereich IT Service Management. Er war als Cherwell Technology Evangelist und Senior Solutions Consultant für die Planung und Umsetzung internationaler ITSM-Projekte zuständig. Als Vice President Sales ist er nun für Vertrieb und Partnermanagement in der EMEA-Region verantwortlich.
In Zeiten der Digitalisierung gelten eine unkontrolliert über Jahre wuchernde Schatten-IT und Software-Wildwuchs nicht nur als ineffizient, sondern auch als gefährlich. Doch entstehen sie nicht ohne Grund.

Mitarbeiter sind unzufrieden mit bestehenden Business-Anwendungen. Sie wollen eine neue Herausforderung möglichst schnell lösen oder verfügen nicht über ausreichend Austauschmöglichkeiten mit Kollegen, Kunden und Lieferanten. Mangelnde Ressourcen, eine unflexible oder unzugängliche Zentral-IT und die Umverteilung von Budgets zwingen ganze Fachabteilungen zum technischen Alleingang - und damit aus dem Blickfeld der zentralen IT.

Es ist an der Zeit für einen Paradigmenwechsel: Der CIO und die IT-Abteilung sollten den Schatten als Brücke zu den Fachabteilungen sehen, die gewachsene Schatten-IT behutsam in ihren Service-Katalog integrieren - und wieder mehr strategische Beratung leisten.

Schatten-IT ist allgegenwärtig

Abteilungsleiter ordern Smartphones und Tablets, die nicht korrekt in das Unternehmensnetzwerk eingebunden werden, sicher sind und sich zentral verwalten lassen. Auch die gute alte Excel-Tabelle voller Formeln und Makros hat in Zeiten von Cloud und Big Data noch lange nicht ausgedient - und ist dabei oft sogar aktueller als die Datensätze in der vorhandenen Unternehmenssoftware.

Testen Sie Ihr IoT-Grundwissen

Probleme wie Datensilos, Sicherheitslecks und mangelnde Kosten-Transparenz sind jedoch oft hausgemacht. Im Rahmen einer aktuellen Studie von Capgemini geben bei der Frage nach den Gründen für ihre Technologieausgaben fast 16 Prozent der Befragten an, dass die IT die benötigte Technologie nicht zeitnah liefern kann. Rund 62 Prozent geben an, dass die Verantwortung dafür an die eigene Fachabteilung übertragen wurde. Der Vorteil liegt erwartungsgemäß in einer besseren Abbildung der fachbereichsspezifischen Prozesse (29 Prozent). Doch auch die negativen Auswirkungen einer solchen Dezentralisierung zeigen sich: Sie führen zu erschwerter Standardisierung und Automatisierung der IT und IT-Prozesse (55 Prozent), dem Aufbau einer Schatten-IT (49 Prozent) sowie dem Aufbau neuer Daten-Silos (38 Prozent). Kurzum: Die Schatten-IT, die Umverteilung von Budgets sowie eine Deregulierung von IT-Verantwortlichkeiten schaffen in Summe eine Reihe von Problemen, die moderne, digitalisierte Geschäftsprozesse und Innovationen erschweren beziehungsweise hemmen und die Wettbewerbsfähigkeit senken können.

Insbesondere eine unkontrollierte Schatten-IT stellt ein unternehmerisches Risiko dar, sie lässt sich jedoch mit dem Argument der notwendigen Digitalisierung nicht einfach über Nacht abschaffen. Was also tun - die weiße Fahne hissen? Ganz im Gegenteil. Denn hier liegt eine Chance für verantwortungsbewusste CIOs, neben dem Nutzen für Ihr Unternehmen auch Ihr eigenes Ansehen zu steigern: Die IT sollte versuchen, die einzelnen Services der Schatten-IT gezielt in ihren Service-Katalog zu integrieren und damit "Under Management" zu bringen.

Aller Anfang ist schwer: Vertrauen schaffen und Nutzen erklären

Dass sich Fach- und IT-Abteilungen alles andere als einig sind, zeigt die seit Jahren existierende Kluft zwischen Business und IT. Für ein erfolgreiches Management von Schatten-IT sollten IT-Manager und -Experten deshalb die Dezentralisierung von IT-Verantwortlichkeiten zwar grundsätzlich akzeptieren, aber den Fachabteilungen nicht nur leitend, sondern auch beratend zur Seite stehen. Dies gilt sowohl für die Auswahl und Beschaffung der passenden Hard- und Software, als auch für die Beauftragung externer Dienstleister. Um dem Anliegen innerhalb der Organisation entsprechend Gewicht zu verleihen, muss Schatten-IT durch den CIO zum zentralen Projekt erklärt und deren Nutzen gemeinsam mit den Fachabteilungen genau hinterfragt werden. Das erfordert jedoch Durchsetzungsvermögen gegenüber dem Management - und eine gehörige Portion Fingerspitzengefühl bei der Umsetzung. Insbesondere die IT-technisch unerfahrenen Mitarbeiter müssen für die Notwendigkeit eines zentralen IT- und Asset-Managements sensibilisiert werden.

Geeignetes Team aufstellen

Damit auch Schatten-IT die Gesamtstrategie der Organisation unterstützt, sollte sie professionell gesteuert werden. Für entsprechende IT-Projekte haben sich nach unserer Erfahrung gemischte Teams als sinnvoll erwiesen. Erfahrene Experten aus den Bereichen Service Management, IT Operations und Sicherheit sollten dem Team ebenso angehören wie Fachabteilungen, Geschäftsbetrieb und Revision. Offenheit, Fairness und die Bereitschaft zum Umdenken sind entscheidende Faktoren, da die erwähnte, vielerorts noch vorhandene Kluft zwischen Business und IT sonst nur schwer überwunden werden kann und Projekte ausbremst. Die Zusammenstellung der Teams sollte daher sehr sorgsam erfolgen.

Projektumfang festlegen

Um den Umfang abschätzen zu können, sollten zunächst Ausmaß und Verbreitung der Schatten-IT ermittelt werden. Das kann mithilfe einer einfachen Tabelle geschehen: Eine Spalte für die einzelnen Fachbereiche und Themen, in denen Schatten-Services zum Einsatz kommen, eine für die nähere Beschreibung und eine für Kommentare. Je nach Umfang des zu planenden Projektes ist anschließend zu prüfen, wie mit der aktuellen offiziellen und inoffiziellen Schatten-IT umzugehen ist.

Vorhandene Technologien analysieren

Anschließend sollte systematisch ermittelt werden, welche Technologien für welche Schatten-Services eingesetzt werden. Die Erkenntnisse sind mit bestehenden Asset- und CMDB-Datenbanken abzugleichen. Sind diese nicht vorhanden, sind sie zu ergänzen und beispielsweise als "schatten-compliant" zu kennzeichnen.

Status des Service Management prüfen

Durch Schatten-IT werden alle grundlegenden Bereiche des IT-Service-Managements beeinflusst. Insbesondere Aufgaben wie Change, Release, Problem, Deployment und Incident müssen deshalb genau dokumentiert werden. Nur wenn diese Informationen lückenlos vorhanden sind, haben Anwender von Schatten-IT wirklich die Kontrolle über ihre täglichen ITSM-Aktivitäten. Darüber hinaus sollten sie in der Lage sein, Aufgaben auszuführen - wie beispielsweise Changes anzufordern und nachzuverfolgen, sowie ihre Incidents zu protokollieren und zu verwalten. In der Praxis sieht dies leider vielfach anders aus - und die Projektteams müssen erst gemeinsam die notwendigen Voraussetzungen schaffen.

Best-Practice-Frameworks einsetzen

In der Praxis hat es sich bewährt, Standards wie ITIL und COBIT auf die Schatten-IT-Services anzuwenden. Ein ITIL-Framework lässt sich beispielsweise nutzen, um entweder auf ein vorhandenes Service-Portfolio zurückzugreifen oder dem Anwender ein eigenes Set an Schatten-Services anzulegen. Nutzer ohne tiefgreifende IT-Kenntnisse können sekundenschnell herausfinden, ob ein gewünschter Service bereits existiert und im Katalog für Schatten-Services vorhanden ist. Trifft dies zu, können sie diesen mit wenig Aufwand übernehmen - und profitieren so von den Erfahrungen der zentralen IT.

Einkauf konsolidieren

Die Annahme, dass viele kleine und lokale Einkäufe nicht teurer sind, erweist sich in der Regel als Trugschluss. Für alle Produkte sollten deshalb firmenspezifische Anforderungen definiert und Konditionen mit entsprechenden Anbietern verhandelt und hinterlegt werden. Dies erleichtert unternehmensweite Bestellvorgänge enorm und schont unternehmensweit die Budgets. Im Bereich IT sollte man mit den am meisten bestellten Produkten beginnen - in der Regel sind dies Notebooks, PCs oder Software. Braucht ein Business Manager nun Tablets für sein Team, kann er recherchieren, ob es bereits einen Eintrag zu Tablets im Portfolio gibt. Ist dies der Fall, könnte er auf die passenden Katalog-Optionen zugreifen, bestehende Vereinbarungen mit einem Lieferanten auswählen - und Compliance-konform bestellen.

Beratung und Weiterbildung anbieten

IT sollte entweder Beratungs-Services als Teil der Schatten-IT anbieten oder die betroffenen Geschäftsabteilungen dabei unterstützen, die bestehende Schatten-IT guten Gewissens zu nutzen. Denkbar wäre auch, stellvertretend für das Business sicherzustellen, dass die Fachabteilungen Support und Service wieder traditionell von Seiten der IT bekommen. Darüber hinaus sollten Werkzeuge bereitgestellt werden, die Business Managern und Mitarbeitern in Fachabteilungen eine sinnvolle Weiterbildung zur Nutzung von Service-Katalogen und abteilungsspezifischen Auswertungen ermöglicht.

Ein Team für Cybersicherheit aufstellen

Existiert Schatten-IT in einer Organisation, sollte ein Sicherheitsteam sie auf mögliche Schwachstellen analysieren - und falls notwendig - auch hier steuernd eingreifen. Sind beispielsweise im Rahmen von ByoD private Smartphones und Tablets erlaubt, sollten sich alle Beteiligten der Gefahr durch Cyberkriminelle und Hacker bewusst sein: Unsichere Endgeräte im Unternehmensnetzwerk sind eine mögliche Schwachstelle und können erhebliche Schäden verursachen. Da sowohl technische als auch rechtliche Aspekte eine wichtige Rolle spielen, ist eine umfassende Risikoanalyse durch erfahrene Mitarbeiter aus den Bereichen IT, Revision und Recht ratsam. Diese sollte gemeinsam mit dem Management und den Abteilungen bewertet werden, um passende Sicherheitsmaßnahmen festzulegen. Auch diese sollten im Rahmen eines professionellen IT-Service-Managements überwacht und dokumentiert werden.

Fazit: Der CIO als Prozessbeschleuniger

Aus unternehmerischer Sicht ist es mehr als sinnvoll, bestehende Schatten-IT auf ein vertretbares Minimum zu reduzieren und alle Services professionell zu managen. Ein starker CIO und die Beratung durch die zentrale IT sind dafür die wichtigsten Voraussetzungen. Nur wenn Business Unit Manager und Mitarbeiter in den Fachabteilungen die Vorteile des Service Managements erkennen, werden die dafür notwendigen Change-Projekte erfolgreich sein.

Dazu muss jedoch zunächst in manchen Unternehmen ein Umdenken auf Seiten des Managements stattfinden: Weg von der reinen Sparpolitik hin zu sinnvollen Investments in IT-Experten, die den Blick für das Ganze haben - und nicht in chronischer Unterbesetzung tagtäglich die IT am Laufen halten. Ein CIO mit klarem Blick für das Ganze kann entsprechende Change-Projekte gegenüber den Management-Kollegen vertreten und bei Erfolg erheblich an Bedeutung gewinnen und vom lästigen Kostenfaktor zum wichtigen Prozess-Beschleuniger werden. Neben den unternehmerischen Vorteilen wird sich auch die jahrelang gepflegte Kluft zwischen Business und IT deutlich verringern - eine Win-Win-Situation für alle Seiten. (fm)