Schatten-IT: “Verbieten bringt nichts”

Welche Konsequenzen hat es, wenn Mitarbeiter ohne Wissen der EDV-Abteilung Hard- und Software in Unternehmen “einschleusen”? Ein Forschungsprojekt an der HTWG Konstanz untersucht die Risiken und die Chancen der sogenannten Schatten-IT.

Was ist überhaupt Schatten-IT? Alles, was ohne das Wissen, die Zustimmung und die Unterstützung der IT-Abteilung im Unternehmen in Sachen IT geschieht. So zum Beispiel Hardware und Software, die inoffiziell installiert wird oder Fachbereichsmitarbeiter, die Kollegen ohne Autorisierung bei IT-Problemen unterstützen.

Diese autonom entwickelten Systeme, Prozesse und Organisationseinheiten bergen sowohl Chancen als auch Risiken. Dabei ist die Schatten-IT kein neues Phänomen – es gewinnt aber durch Themen wie Compliance, Risikomanagement und IT-Industrialisierung, die gestiegene IT-Affinität der Mitarbeiter und die Verbreitung von webbasierten Lösungen an Bedeutung.

Prof. Rentrop, Bild: HTWG Konstanz
Prof. Rentrop, Bild: HTWG Konstanz

In den Unternehmen ist es gang und gäbe, dass Mitarbeiter die EDV-Abteilung umgehen. “Aber reden möchte man darüber lieber nicht”, sagt Prof. Christopher Rentrop von der HTWG Konstanz. Rentrop und sein Kollege Prof. Marco Mevius führen derzeit eine Studie zum Thema Schatten-IT durch, die vom baden-württembergischen Wissenschaftsministerium unterstützt wird. Auf der Suche nach Unternehmen, die sich für eine Untersuchung zur Verfügung stellen, stießen die Forscher häufig auf Abwehr. “Das kann ein Riesenfass sein, das will keiner aufmachen”, so Rentrop.

Doch das Thema gewinnt trotzdem an Bedeutung. Jüngere Mitarbeiter, die eine hohe Affinität zur IT haben, umgehen schnell Hierarchien und Abläufe, um sich die für ihren Arbeitsablauf günstigste Ausstattung einzurichten. Die Ansprüche an die IT steigen mit dem Angebot und der wachsenden Kenntnis darüber. Zudem sind die Hemmschwellen niedrig, denn webbasierte Technologien erlauben einen einfachen Zugriff auf externe Ressourcen und Dienstleistungen. “Die Fachabteilung hat bestimmte Wünsche, die die IT-Abteilung des Unternehmens nicht oder nicht schnell genug erfüllen kann. In der Folge wird die Fachabteilung selbst aktiv”, sagt Rentrop.

Manchem EDV-Verantwortlichen treibt der Gedanke an die Schatten-IT den Angstschweiß auf die Stirn. Er stellt sich Fragen:

  • Wie können mit eingeschleusten Programmen überhaupt noch Datenschutz und Risikomanagement gewährleistet werden?

  • Wie ist Sicherheit zu ermöglichen, wenn Kollegen ihre Termine öffentlich zugänglich bei Doodle abstimmen, Kundendaten zu einem Cloud-Anbieter verlagern oder Google Docs zur gemeinsamen Bearbeitung von Dokumenten verwenden?

  • Wie kann die Regelmäßigkeit von Updates gesichert, wie die Abstimmung der Schatten-IT auf vorhandene Soft- und Hardware optimiert werden?

  • Wie kann ausgeschlossen werden, dass die durchdachte, interne IT-Architektur durch “fremde” Soft- und Hardware behindert oder blockiert wird?

  • Wie sind überhaupt noch Prozess- und Kostenoptimierungen möglich, wenn der IT-Abteilung die Schatten-IT nicht bekannt ist?

  • Wie kann überhaupt noch Transparenz zu den IT-Gesamtkosten im Unternehmen geschaffen werden?

“Auf viele Fragen schweigt die IT-Abteilung, weil sie keine Lösung hat und gegenüber den Kollegen nicht als Kontrolleur erscheinen möchte”, sagt Rentrop. Dennoch gewinnt der Forscher der Schatten-IT durchaus positive Aspekte ab. Viele solcher “nutzergetriebenen” Lösungen seien besonders innovativ und praxisnah. Durch die Nähe zum operativen Geschäft sei die Schatten-IT gezielt an der Verbesserung interner Prozesse orientiert und damit oft besser an den Anwenderbedürfnissen ausgerichtet als die vom IT-Bereich zur Verfügung gestellten Services. Dadurch wird Kritik an mancher IT-Abteilung deutlich: Gelegentlich sind die IT-Prozesse zu unflexibel gestaltet und schränken das Business in seiner Entwicklung ein.

Bild: HTWG Konstanz
Bild: HTWG Konstanz

Risiken und Wirtschaftlichkeitseinbußen belegen zwar, dass Schatten-IT ein großes Problem für Unternehmen darstellen kann. “Verbieten bringt aber nichts”, sagt Rentrop. Stattdessen gehe es darum, die eingeschleuste IT aus dem Schatten herauszuholen, um die Kontrolle zu gewährleisten. Ziel des Forschungsprojektes ist es deshalb, Verfahren zur Erfassung und Bewertung der Schatten-Systeme zu entwickeln, die es Unternehmen ermöglichen, diesen bisher unbekannten Bereich zu steuern und eine bessere Verzahnung von operativem Geschäft und IT zu erreichen.

Im Rahmen des Forschungsprojekts wurde das Kooperationsnetzwerk Schatten-IT gegründet, das aus der HTWG Konstanz, der Cassini Consulting GmbH und der Schutzwerk GmbH besteht. Schutzwerk bringt darin Methoden und Werkzeuge zur Bearbeitung des Themas auf technischer Ebene und aus Sicht der IT-Sicherheit ein. Cassini Consulting stellt Methoden und Werkzeuge auf der Ebene von IT-Architektur, Prozessen und Organisation zur Verfügung. Das Kooperationsnetzwerk veranstaltet unter anderem Symposien und Tagungen – das nächste Symposien findet am 24. Mai in Konstanz statt.