Christopher Rentrop ist ein Jäger. Der Informatikprofessor von der Hochschule Konstanz hilft Unternehmen, dem Phänomen Schatten-IT auf die Schliche zu kommen. Schatten-IT, da ist Rentrop streng, sind "alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT-Service-Management (ITSM) betrieben werden". Also zum Beispiel ohne Service-Level-Agreements (SLAs), Datensicherung, Patch-Management, User-Support und Helpdesk.
Für IT-Service-, Risiko- oder Compliance-Management können durch Schattensysteme gravierende Probleme entstehen. Falsche oder keine Standards, lückenhafte Datensicherheit, fehlende Tests und unzureichende Dokumentationen vergrößern Risikeotwehr, die eigentlich durch eine standardisierte IT und ein professionelles Service-Management eingedämmt werden sollen. Auch auf die Kosten wirkt sich der IT-Wildwuchs negativ aus. "Sie sind zwar schwer zu erfassen", sagt Rentrop, aber in seiner Analyse der IT-Landschaften von Unternehmen im Rahmen des Forschungsprojekts "Schatten-IT" sei er schon auf Tools gestoßen, deren "Nebenkosten" sich auf satte 90.000 Euro belaufen – pro Tool und Jahr.
Ohne Kenntnis der IT
In mehr als 30 Unternehmen vom gehobenen Mittelstand mit 2.000 Mitarbeitern bis zum Konzern mit 40.000 Angestellten betrieb sein Team aufwendige Interviews und detaillierte Analyseprojekte. "Zwischen 10 und 50 Prozent einer normalen Systemlandschaft sind Schatten-IT", lautet seine Erkenntnis. "Bei unseren Untersuchungen sind wir auf insgesamt rund 300 Instanzen gestoßen, die ohne Kenntnis der IT betrieben werden", zitiert Rentrop den Projektbericht. Instanzen reichen für ihn von einzelnen Excel- oder Word-Dateien bis hin zu ausgewachsenen Anwendungen, auf die mehrere User Zugriff haben.
Allerdings ist es ein heikles Unterfangen, Licht in ein solches Dunkel zu bringen, wie Hendrik Lührs, Senior Business Consultant des Beratungshauses Direkt Gruppe, erfahren hat. "Wer lässt sich schon gerne in die Karten gucken und gesteht ein: Ja, wir haben ein paar schwarze Flecken und damit vielleicht auch ein Problem." Um sich selbst ein Bild vom Ausmaß der Schatten-IT in ihrem Unternehmen zu machen, könnten IT-Verantwortliche auf eine simple Rechnung zurückgreifen: "Vergleichen Sie die Budgets, die ihre IT-Organisation direkt verwaltet, mit den Zahlen für IT-Ausgaben, die im Einkauf auflaufen – iPads, Smartphones, Drucker, Belege für monatliche Miete etwa für Speicher oder Projekt-Management-Tools." Das Delta könne ein Indikator für Schatten-IT sein.
Die schlechte Nachricht: Durch Cloud Computing, speziell Public Cloud, wächst die Gefahr weiter. "Fachabteilungen versorgen sich mitunter im Alleingang mit Cloud-Services", beobachtet Mark Alexander Schulte, Consultant beim Marktforschungsunternehmen IDC. Das Analystenhaus hat 260 IT-Fach- und -Führungskräfte aus Unternehmen in Deutschland mit mindestens 100 Mitarbeitern befragt. Momentan nutzten 32 Prozent der Fachabteilungen teilweise und zwölf Prozent sogar sehr umfangreich Public-Cloud-Lösungen – ohne die IT-Abteilung einzubeziehen.
Neue IT-Inseln
"Fast die Hälfte der Befragten (46 Prozent) befürchtet, dass durch den Einsatz von Cloud- Services die IT-Umgebung wesentlich komplexer wird und damit auch das IT-Service-Management", sagt Schulte. Zudem bildeten sich in großem Umfang "IT-Inseln". Die wiederum verhinderten, Geschäftsprozesse zu automatisieren.
Besondere Herausforderungen seien an die Integration von Cloud-Services (Private/Public) mit herkömmlicher IT-Umgebung gestellt sowie an das Monitoring der Service-Level-Agreements (SLAs) in gemischten IT-Umgebungen, die aus Private- und Public-Cloud-Systemen bestehen. "Die Anforderungen an heutige ITSM-Werkzeuge im Hinblick auf die Einhaltung der Compliance und die transparente Darstellung von Service-Level-Agreements in gemischten IT-Umgebungen sind stark gestiegen", führt Schulte aus.
Vogel-Strauß-Politik
Ob zehn, 25 oder 50 Prozent der Anwendungen und Infrastruktur Schatten-IT sind, ob Excel-Datei oder Web-Kalender: "Wegschauen nützt nichts. Vogel-Strauß-Mentalität aus Sicht der IT ist nicht angesagt", führt Rentrop aus. Die IT müsse akzeptieren, dass der Bedarf für die inoffiziell beschafften Lösungen da ist. Sie sollte die Systeme kennen und ihre Weiterentwicklung im Blick haben. Am Ende habe nämlich nur eine von 300 untersuchten Schattenanwendungen keinen betrieblichen Mehrwert gebracht. "Aus Spaß machen die Fachbereiche das nicht – es ist schlicht Notwehr, sich Schattensysteme zuzulegen, weil die IT-Organisationen oft zu langsam sind." Sie könnten die Bedürfnisse der Nutzer nach schlanken und passgenauen Lösungen häufig nicht erfüllen.
"Warum zwölf oder mehr Monate warten, bis die IT ein CRM-System zur Verfügung stellt, wenn man selbst die Lösung per Mausklick bestellen und sofort benutzen kann?" Thomas Kaiser, Global Head of IT Strategy, Architecture & Governance, Roche Diagnostics Division, versteht die Verlockungen vieler Fachbereiche, den Alleingang zu wagen. Bei allen Risiken. Das Angebot ist vielfältig: ERP- oder CRM-Software wie "Workday" oder "Salesforce" gibt es ebenso wie Personal-Productivity-Tools ("Prezi","Doodle", "Evernote"). Server können in der Cloud gemietet, Speicher kann nach den jeweiligen Bedürfnissen gebucht werden.
Die Folgen spürt Kaiser, der viele Jahre als Architektur- und Prozessberater tätig war, am eigenen Leib: "Die IT gerät durch die Möglichkeit, Software, Infrastruktur und Plattformen aus der Cloud zu beziehen, zunehmend unter Druck."
Nüchtern analysieren
"Hier liegt der Kern des Problems", findet Heiko Henkes, Senior Advisor Manager der Experton Group. Die Services der internen IT seien im Vergleich zu den Angeboten zahlreicher Cloud-Provider zu langsam und sperrig. "Reset-Knopf drücken" und die "Situation nüchtern analysieren", empfiehlt er den IT-Verantwortlichen.
Dazu könne es erforderlich sein, das IT-Service-Management neu aufzusetzen und zu hinterfragen, welche Vereinbarungen überhaupt noch sinnvoll sind - und welche vielleicht gar nicht bestehen. Das Regelwerk und die Erfahrungen etwa mit der Best-Practices-Sammlung ITIL v3 oder dem Rahmenwerk COBIT seien vorhanden. Henkes plädiert für mehr Offenheit: "ITSM darf kein Closed Shop sein." Anwender heute seien gleichermaßen Konsumenten und Produzenten von IT-Leistungen. Wer hier allzu dogmatisch an Regeln festhalte, werde sich irgendwann auf der Verliererstraße wiederfinden.
Nicht an die Kette
Anwender und ganze Abteilungen sollten nicht in die risikobehaftete Schatten-IT getrieben werden. Man könne die Mitarbeiter im Zeitalter von Consumerization of IT und Social Business nicht rigoros an die Kette legen. Sie bräuchten vielmehr einen ITIL-konformen und somit anforderungsgemäßen Spielraum für produktives und vor allem sicheres Arbeiten mit neuen Medien.
"Systeme aus der Cloud grundsätzlich abzuschalten ist auf jeden Fall kontraindiziert", erklärt Direkt-Gruppe-Manager Lührs. Die IT könne von Cloud-Anbietern vielmehr profitieren, ihr eigenes Image verbessern und sich gegenüber den Anwendern als Berater auf Augenhöhe positionieren. "Dazu muss sie von den Vorzügen lernen, die Cloud-Software heute bietet." Einfache, intuitive Bedienung, schnelle Konfiguration und sofortige Verfügbarkeit, um einige zu nennen.
Thema erledigt
Die IT solle zum Beispiel selbst eine den Anwenderbedürfnissen entsprechende unternehmensweite File-Sharing- und Collaboration-Lösung auf die Beine stellen, regt Lührs an. Dann habe sich das Thema Dropbox oder Projekt-Management-Tool aus der Cloud schnell erledigt. Wichtig sei außerdem, dass insgesamt das IT-Service-Management agil entwickelt und betrieben werde. Dies sei für traditionelle IT-Abteilungen zwar eine Herausforderung, jedoch unumgänglich.
Auch IT-Manager Kaiser von Roche machte gute Erfahrungen damit, Anwendern zuzuhören und auf ihre Bedürfnisse einzugehen. "Wir haben gelernt, dass sich die Rolle der Zentral-IT verändert. Wir sind nicht der alleinige Anbieter von IT-Lösungen, sondern müssen den Fachbereichen helfen, die für sie richtigen Lösungen – ob aus der Cloud oder nicht – schnell und sicher in das Unternehmensnetzwerk zu integrieren. Das kommt nicht nur den Anwendern zugute, sondern es stärkt auch die Rolle der IT als Business-Partner."
Kein Wenn und Aber
Die IT müsse sich daran gewöhnen, nicht mehr alles in eigener Regie zu managen. Den Fachbereichen gelte es zu vermitteln, dass ihnen nichts weggenommen werden solle, lautet der Rat von Wissenschaftler Rentrop. Das werde die Zusammenarbeit deutlich erleichtern. In einem Punkt lässt er allerdings nicht locker: "Selbst wenn die Fachabteilung eigene Systeme betreibt, die Inventur in der Konfigurationsdatenbank und im Serviceportfolio muss vollständig und aktuell sein." Loslassen, aber bitte kontrolliert, lautet also die Devise – damit aus den Schatten kein Tal der Finsternis wird. (tö)
Autor: Bernd Seidel