Der Schatten hat viele Formen

Governance-Dilemma durch die Schatten-IT

Was Anwendern recht ist, kann CIOs noch lange nicht billig sein: Wie gehen sie sinnvoll mit User-eigenem Equipment und heruntergeladenen Apps um?

Selbst gestrickte Anwendungen, Cloud-basierende Dienste oder mobile Apps - viele Fachabteilungen betreiben IT-Services hinter dem Rücken der IT-Abteilung. Für CIOs stellt diese "Schatten-IT" ein großes Problem dar. Sie verstößt gegen die IT-Governance und birgt Sicherheitsrisiken. Andererseits bietet diese digitale Parallelwelt auch Chancen, legt sie doch offen, wo die IT-Unterstützung lückenhaft ist.

CIOs versuchen mit verschiedenen Mitteln, die Schatten-IT einzudämmen. Die Palette reicht von verstärkter Kommunikation über kontrollierte Toleranz bis zu strengen Richtlinien und Verboten. Doch es scheint ein Kampf gegen Windmühlen zu sein. "Schatten-IT ist immer da und wird immer da sein", bestätigt Manfred Klunk, IT-Leiter der Kassenärztlichen Vereinigung Bayerns (KVB): "Man kann sie nicht komplett verhindern. Die Parallel-IT taucht immer dann aus dem Schatten ins Licht, wenn es Probleme gibt. Die Frage ist: Wie gehe ich damit um?"

Ähnlich sieht das Karsten Esser, Leiter Organisation/DV bei Tacke + Lindemann in Dortmund: "Schatten-IT lässt sich wegen der vielen technischen Möglichkeiten nicht exakt messen. Wir bekommen davon in der Regel erst etwas mit, wenn es zu spät ist, wenn es knallt. Das ist der Fall, wenn Anwendungen nicht mehr funktionieren oder Daten verloren gehen."

Der Schatten hat viele Formen

Schatten-IT bedeutet grundsätzlich, dass Fachabteilungen Anwendungen (meist Software, weniger Hardware) hinter dem Rücken der IT-Abteilung betreiben. Für diese Anwendungen gelten keine Service-Level-Agreements (SLAs), die IT-Abteilung leistet weder Support noch Helpdesk oder Daten-Backup, da sie ja nichts davon weiß.

Lückenhafte Datensicherheit, unzureichende Dokumentationen und fehlende Tests vergrößern die Risiken in der Informationstechnik und für das Business. Insellösungen und IT-Wildwuchs unterlaufen die IT-Governance, sprich: die zentrale und effektive Steuerung der IT im Unternehmen, wie sie etwa über einheitliche Richtlinien und Standards geregelt wird.

Die Schatten-IT hat viele Formen: Cloud-basierende Services, Apps für Mobiltelefone oder Tablets, Social-Software-Lösungen oder auch selbst programmierte Anwendungen werden ohne Wissen der IT-Abteilung genutzt. Bei der KVB, deren rund 1600 Mitarbeiter sich unter anderem um die Abrechnungen von 24.000 Mitgliedern kümmern, fallen hierunter hauptsächlich Anwendungen zur Office Automation. "Mitarbeiter aus den Fachabteilungen programmieren häufig Makros und VB-Skripts für Microsoft Access oder Excel, um ihre alltäglichen Abläufe zu verbessern und die Produktivität zu steigern", berichtet Klunk.

Beispiele für die Schatten-IT

In vielen Unternehmen existieren neben der offiziellen IT-Infrastruktur noch diverse Systeme und Anwendungen, die die Fachabteilungen ohne Wissen, Zustimmung oder Unterstützung der IT-Abteilung betreiben. Diese Schatten-IT hat viele Gesichter:

• Fachabteilungen beziehen Cloud-Services von externen Dienstleistern mit den damit verbundenen Datenschutzrisiken.

• Unter dem Stichwort Bring your own Device werden private Geräte wie Smartphones und Tablets inklusive Apps in das Unternehmensnetz integriert. Zudem wird Hardware eingesetzt, die nicht in den offiziellen IT-Katalogen zu finden ist.

• Mitarbeiter nutzen Social Software wie Facebook, Twitter oder Skype zur internen und externen Kommunikation über arbeitsrelevante Themen. Über diese Kanäle können auch vertrauliche Informationen nach außen gelangen.

• Fachabteilungen entwickeln und betreiben Anwendungen in eigener Regie. Dazu gehören vor allem selbst entwickelte Excel- oder Access-basierende Applikationen oder Business-Intelligence-(BI-)Anwendungen.

• Kollegen unterstützen sich gegenseitig bei Hardware- oder Softwareproblemen und bauen so eigene Support-Strukturen in den Fachabteilungen auf.

Dabei sind die Fälle durchaus unterschiedlich zu bewerten. Bei Excel gehe es meist um kleinere Optimierungen, führt der CIO aus. Doch bei Access sei die Sache etwas anders gelagert. Hier handle es sich eigentlich um Anwendungsentwicklung mit Frontend und Datenbankanbindung, die teilweise kritische Geschäftsprozesse betreffe - und abseits der IT-Governance entstehe.

Das wirft auch ein operatives Problem auf: Da die KVB in Kürze von Office 2003 auf eine neue Office-Version migrieren wird, dürften viele dieser Tools im Zweifel nicht mehr oder nur noch fehlerhaft funktionieren. "In einigen Fachabteilungen ist deswegen gerade einige Unruhe, zumal sie sich häufig nicht um Fragen wie Aufbewahrungsfristen oder Backup gekümmert haben", so Klunk.

Keine Probleme hingegen hat die KVB mit Cloud-Anwendungen. Wegen der sensiblen medizinischen Daten (Sozialdatenschutz) dürfen die Fachabteilungen gar keine Cloud-Services für geschäftskritische Anwendungen an der IT vorbei nutzen.

Einfache Online-Tools wie Dropbox für den Datenaustausch empfand Klunk wegen der freien Verfügbarkeit im Web zunächst überhaupt nicht als Schatten-IT. "Nach einiger Zeit haben wir diese Anwendungen dann doch aus Datenschutzgründen abgeklemmt und zugleich unsere Richtlinien verschärft."