IT-Trends wie Cloud Computing und Mobile fördern die unkontrollierte und riskante Nutzung von Services und Geräten durch Mitarbeiter – das gilt auch in mittelständischen Betrieben. Wenn die Unternehmens-IT keine passenden Services bereit stellt oder zu langsam arbeitet, warten Mitarbeiter heute nicht lange, sondern nutzen Dienste, Software und Privatgeräte oft auf eigene Faust. Backups, Filesharing und Datenarchivierung sind beliebte Anwendungen, die gern an der offiziellen IT vorbei verwendet werden.
Auch private Mobilgeräte wie Smartphones, Notebooks und Tablets werden oft ohne offizielles "Ok." im Job eingesetzt. Die Folge ist ein unkontrollierter IT-Wildwuchs, der sich als inoffizielle Schatten-IT zum Schreckgespenst der IT-Verantwortlichen entwickelt hat.
Schatten-IT hat es immer schon gegeben. Wenn Unternehmens-Mails auf die private E-Mail-Adresse weiter geleitet werden oder Dokumente auf das private Tablet herunter geladen werden, um es dort mobiler und ungebundener zu lesen, ist das im Prinzip schon Schatten-IT. Aber mit der zunehmenden Mobilität und der einfachen Nutzung von Cloud-Services hat das Problem ungeahnte Ausmaße angenommen.
Tatsächlich ist die Cloud-Technologe der stärkste Treiber der Schatten-IT, heißt es im IT Cloud Index Mittelstand, den das Analystenhaus techconsult erstellt: Der Grund: "Der Einsatz von Software-as-a-Service- oder Infrastructure-as-a-Service-Produkten (SaaS) ist sehr schnell und einfach zu realisieren."
Kurz mal für unterwegs oder das Homeoffice sensible Kunden- oder Umsatzdaten in die Dropbox zu legen ist heute kein Problem. Schatten-IT kann aber durchaus größere Ausmaße annehmen, wenn sogar abgeschottete IT-Infrastrukturen aufgebaut werden, um unabhängig von der zentralen IT eigene Software-Lösungen einzurichten.
Kein Wunder, dass sich die inoffizielle IT zum Massenphänomen entwickelt: Laut einer IDC-Umfrage verwenden die Fachbereiche in 69 Prozent der befragten Unternehmen kostenlose Cloud-Services für Dinge wie Bürokommunikation, Projektmanagement, Datenbanken oder Collaboration - ohne die IT-Abteilung einzubinden.
Der Mittelstand ist hier keine Ausnahme: Eine techconsult-Studie hat ergeben, dass 56 Prozent der befragten mittelständischen Unternehmen Cloud Services von externen Dienstleistern beziehen, ohne ihre IT-Organisation davon in Kenntnis zu setzen.
Schatten-IT birgt hohe Risiken
Eine unkontrollierte Schatten-IT ist nicht hinnehmbar, denn sie umgeht die oft mühsam erarbeiteten Unternehmens-Richtlinien und birgt hochgradige Risiken, die gerade durch eine standardisierte IT eingedämmt werden sollten.
Sicherheitsrisiken sind das größte Problem. Wenn mit der Plug-and-Play-Mentalität fremde Systeme an die Firmeninfrastruktur einfach so angeschlossen werden, dann liegen die Daten nicht mehr unter der Kontrolle des Unternehmens. Durch die ungetestete und je nach Herkunft unsichere IT öffnet man die Schleusen für externe Angriffe, während man intern mit sehr viel Aufwand und Technik versucht, Schädlinge fernzuhalten.
Wer aber haftet für Schäden, wenn durch ungesicherte private Geräte Viren- und Cyber-Attacken auf Firmendaten und -Systeme auftreten? Und wer, wenn ein Mitarbeiter sein privates Smartphone mit unverschlüsselten Kundendaten verliert?
Fast noch problematischer ist, dass mit der Schatten-IT wieder heterogene IT-Landschaften und IT-Inseln entstehen, die nicht kontrollierbar sind und die zentrale Steuerung der Gesamt-IT eines Unternehmens gefährden. Auch auf die Kosten wirkt sich der IT-Wildwuchs negativ aus. So ist man an der Hochschule Konstanz im Rahmen des Forschungsprojekts "Schatten-IT" auf Tools gestoßen, deren "Nebenkosten" sich auf satte 90.000 Euro belaufen - pro Tool und Jahr.
Die Schatten-IT zieht aber noch viele weitere Probleme nach sich: So können Lizenzrechte verletzt werden, wenn private Software plötzlich im Unternehmensumfeld genutzt werden. Für die eingesetzten Anwendungen liegen in der Regel keine Service Level Agreements vor. Und die "geheimen" Lösungen werden auch nicht vom IT-Support betreut.
Kontrollieren Sie die IT-Nutzung
Wenn man etwas verhindern will bieten sich als erstes Kontrolle und Verbote an. Tastsächlich lässt sich auf rein technischer Ebene in Grenzen kontrollieren, ob Mitarbeiter nicht genehmigte IT-Services in Anspruch nehmen. Dies kann beispielsweise durch die Auswertung entsprechender Firewall Logfiles oder Reports zur Analyse der genutzten Anwendungen erfolgen.
Auch über Kreditkartenabrechnungen und Rechnungen an Fachabteilungen lässt sich in Grenzen kontrollieren, welche IT-Dienste bezogen wurden. Vergleichen Sie beispielsweise die Budgets, die ihre IT-Organisation direkt verwaltet, mit den Zahlen für IT-Ausgaben, die im Einkauf auflaufen - iPads, Smartphones, Drucker, Belege für monatliche Miete etwa für Speicher oder Projekt-Management-Tools. Das Delta könne ein Indikator für Schatten-IT sein. Allerdings fallen hier die vielfach genutzten kostenlosen Cloud-Dienste aus dem Raster.
Will man insbesondere Cloud-Services kontrollieren kommen dedizierte Software-Lösungen in Frage. Die Active Platform des US-Software-Herstellers Netskope erlaubt es beispielsweise, Regeln zu definieren, nach denen Mitarbeiter nur Cloud-Anwendungen einsetzen können, die die IT zuvor freigegeben hat.
Das Werkzeug identifiziert zudem alle Cloud-Services, die auf Geräten im Netzwerk eines Unternehmens genutzt werden und macht transparent, wie und wofür Mitarbeiter die Anwendungen verwenden. IT-Verantwortliche können über die Lösung auch herausfinden, wo der tatsächliche Bedarf der Anwender liegt.
Sensibilisieren und schulen Sie
Eine strikte Haltung gegen die Schatten-IT mit Kontrollen und Verboten ist allerdings meist nicht zielführend. Zumindest, wenn man sich nur darauf stützt. Ein unbegründetes Verbot der inoffiziellen Systeme führt nur zur Unzufriedenheit der Mitarbeiter, weil sich ja so gut damit arbeiten lässt. Besser ist es, an die Vernunft und Einsicht der Mitarbeiter zu appellieren.
Machen Sie Ihren Mitarbeitern klar, welchen Gefahren sie das Unternehmen durch die Schatten-IT aussetzen. Weisen Sie auf die nicht vorhandene Datensicherung oder den nicht konformen Umgang mit Kunden- oder Abrechnungsdaten hin.
Erklären Sie ihnen, welche Vorteile das "offizielle" System hat und dass ihre Anforderungen darin eingeflossen sind. Häufig fehlt auch nur das Know-how in den Kernsystemen. Schulen Sie Ihre Mitarbeiter: Wer weiß, wie die Applikation zu bedienen ist, kümmert sich nicht um "Ersatzlösungen".
Nicht selten stellt die IT-Abteilung am Schluss solch appellierender Maßnahmen allerdings fest, dass die eingesetzten Schatten-Systeme den offiziellen überlegen sind. Das sollte nun den IT-Verantwortlichen zu Denken geben. Überlegen Sie, ob Sie diese Systeme in Ihr offizielles IT Service Angebot überführen können. Diese "Legalisierung" würde sich als sehr motivierend für die Mitarbeiter herausstellen, die das System bisher unter der Hand betrieben haben.
Finden Sie die Gründe für Schatten-IT
Im Zentrum der Bekämpfung der Schatten-IT steht die Motivsuche. Was bewegt Ihre Mitarbeiter, sich abseits der offiziellen IT zu bedienen? Müssen oft sehr große E-Mail-Anhänge verschickt werden und ist die Beschränkung eventuell anzupassen? Warum nutzen Mitarbeiter etwa Skype statt das zur Verfügung gestellte Lync? Fehlt es an Anwenderwissen oder mangelt es an wichtigen Funktionen?
Einer der wichtigsten Gründe - das zeigen mehrere Studien - ist, dass der IT-Beschaffungsprozess heutzutage in den meisten Unternehmen krankt. Die IT-Abteilung liefert die Services aus Sicht der abhängigen Fachabteilungen oft nicht in der Qualität und in der Zeit, die für die unternehmerischen Ziele notwendig wären.
Die Fachbereiche reagieren darauf verständlich und versuchen durch eigene Beschaffungen lediglich, ein Defizit auszugleichen, das durch die mangelnde IT-Unterstützung entsteht. "Aus Spaß machen die Fachbereiche das nicht - es ist schlicht Notwehr, sich Schattensysteme zuzulegen, weil die IT-Organisationen oft zu langsam sind." sagt Professor Rentrop von der Hochschule Konstantz, der die Schatten-IT in deutschen Unternehmen untersucht hat.
Diese Tatsache sollten sich IT-Verantwortliche zu Nutze machen und die eigenen IT-Angebote einer kritischen Bewertung unterziehen. Organisationen sollten die Bedürfnisse ihre Mitarbeiter genau im Blick haben und überlegen, welche Anschaffungen und Vorgehensweisen es braucht, um die Mitarbeiter effizienter, effektiver und letztlich auch zufriedener zu machen
Fragen Sie also Ihre Mitarbeiter. Involvieren Sie in diesem wichtigen Schritt Key-User aus verschiedenen Bereichen. Diese können Ihnen direktes Feedback geben und zur Entwicklung von unternehmensweit anerkannten Systemen führen. Grundsätzlich sollten aber alle Mitarbeiter frühzeitig in die Entwicklung bzw. die Auswahl der Alternativen eingebunden sein, und eine regelmäßige Bedarfsanalyse durchgeführt werden, die zeigt, welche Anwendungen fehlen.
Bieten Sie attraktive Alternativen an
Wenn Sie wissen, was den Mitarbeitern fehlt und was sie sich wünschen haben Sie schon den halben Sieg über die Schatten IT errungen. Nehmen Sie der Schatten-IT endgültig den Wind aus den Segeln, indem Sie den Nutzern die gewünschten Tools offiziell und entsprechend abgesichert bereitstellen - oder ihnen Alternativen nahe bringen. Für Collaboration gibt es beispielsweise einige Alternativen zu Dropbox und Co, die unter der Kontrolle der IT-Abteilung betrieben werden können und dieselbe Funktionalität und Flexibilität bieten.
Natürlich sollten auch die IT-Leiter ihren Standpunkt vertreten und kommunizieren, welches ihre bevorzugten Hersteller und Services sind. Dabei sollten man Raum für Ausnahmen lassen. Können Vertreter einer Fachabteilung gut begründen, warum sie diese oder jene Lösung eines anderen Anbieters wünschen, sollte darüber verhandelt werden.
Wichtig ist in jedem Fall, darauf zu achten. dass die vom Unternehmen bereitgestellten Lösungen genauso unkompliziert, komfortabel und leistungsstark sind, wie die unter der Hand verwendeten Services oder die aus dem Privaten bekannten Consumer-Dienste. Genau wegen dieser Eigenschaften weichen die Mitarbeiter schließlich auf diese Dienste aus.
Eine nachhaltige Möglichkeit, Schatten-IT zu verhindern, ist die Umgestaltung der IT-Organisation. Mitarbeiter und Unternehmensleitung sollten damit aufhören, die IT nur als eine von vielen Abteilungen zu betrachten. Stattdessen sollte die IT-Abteilung zu einer Beratungsstelle transformiert werden, die als Anlaufpunkt für den IT-Bedarf der Fachabteilungen fungiert. Dann wird man auch merken, dass sich die Kollegen aus den Fachabteilungen viel besser mit IT auskennen als die abgehobenen "IT-Experten" und genau wissen, was sie von der IT möchten.
Bauen Sie ein Service Portal auf
Im Idealfall wandelt sich die IT Abteilung zum Cloud Service Broker und baut ein eigenes Service Portal auf. Viele Analysten wie Rene Büst von Crisp Reserach schlagen den Aufbau eines solchen Service Portals für die Mitarbeiter vor, über das kontrolliert auf interne und externe Cloud Services zugegriffen werden kann.
"Cloud Lösungen können hier der Schlüssel zum Erfolg sein, indem die IT-Abteilungen den Mitarbeitern Cloud Services über ein eigens internes eingerichtetes Cloud-Service-Portal anbieten. IT-Abteilungen müssen sich demnach als Cloud Service Broker verstehen", sagt Max Schulze vom Marktforschungsinstitut techconsult.
Der IT als Service Broker würde dann die Aufgabe zufallen, sich sowohl um Infrastruktur wie virtuelle Server und Speicherplatz als auch um Software und Plattformen zu kümmern, die Dienste externer Anbieter zu bewerten, auszuwählen und auf die spezifische Unternehmenssituation anzuwenden, um diese im Anschluss den eigenen Mitarbeitern anzubieten. Einem Entwickler könnte dann zum Beispiel ein Server anstatt in mehreren Wochen, innerhalb von fünf Minuten zur Verfügung gestellt werden.
Die Fachabteilungen können dann nach wie vor flexibel, schnell und effizient Cloud-Services in Anspruch nehmen, nur dass die Dienste jetzt der Kontrolle der IT-Abteilungen unterliegen, wodurch eine hohe Servicequalität und vor allem Sicherheit gewährleistet werden kann.
Dann könnte sich die IT auch mit den Fachabteilungen zusammensetzen und verbindliche Regularien ausarbeiten, bei deren Nichteinhaltung in beiderseitigem Einverständnis Sanktionen erfolgen.
Fazit
Schatten-IT bietet Risiken, aber auch Chancen. In ihr drückt sich letztlich das Bedürfnis der Fachabteilungen aus, sich von den Fesseln der "von oben" vorgegebenen Technologien zu befreien. IT Abteilungen wiederum sollten akzeptieren, dass die Fachbereiche heute ein starkes Bedürfnis nach Unabhängigkeit und Freiheit haben. Die Mitarbeiter wissen vor allem oft viel besser Bescheid um ihren Bedarf, als die IT-Experten selbst.
Letzten Endes gibt es nur ein Lösung für das Problem Schatten-IT: Die IT-Abteilung muss den Mitarbeitern die Anwendungen zur Verfügung stellen, die sie für die tägliche Arbeit brauchen - und das nicht in Wochen, sondern in Tagen oder besser noch Stunden oder Minuten. Die Umorientierung der IT hin zu Cloud-Service Bereitstellungsmodellen ist ein gutes Mittel, um von den Usern akzeptierte Anwendungen zeitnah anbieten zu können. (hal)