Schatten-IT ist ein Phänomen, das in jüngster Zeit bei vielen IT- Verantwortlichen für „schlaflose Nächte“ sorgt. Das Phänomen ist schnell erklärt: Anstatt die von der IT-Abteilung eines Unternehmens zur Verfügung gestellte IT-Infrastruktur (Hardware, Software, Netzwerk, Services) zu verwenden, verwenden die Mitarbeiter in den Fachabteilungen die Infrastruktur externer Dritter oder eigene IT-Endgeräte.
Von „Nine to Five“ zu „Always Online“: Gründe für das Entstehen von Schatten-IT
Die Hauptgründe für das Entstehen von Schatten-IT liegen zum einen in den Veränderungen der modernen Arbeitswelt in den letzten fünf bis zehn Jahren. War das Berufsleben noch vor einigen Jahren auf die Geschäfts- und Bürozeiten eines Unternehmens und den Arbeitsplatz des Mitarbeiters an einem Schreibtisch in einem Bürogebäude begrenzt, so verschmelzen heute die Grenzen zwischen Berufs- und Privatleben immer mehr. Möglich machen dies neue Technologien wie Internet, Web 2.0 sowie immer leistungsfähigere mobile Endgeräte. Heute können Mitarbeiter in der Regel überall arbeiten: zuhause, auf Geschäftsreise, vor Ort beim Kunden.
In vielen Unternehmen haben flexible Arbeitsformen den klassischen Büro-Job abgelöst: Home Office bzw. Mobile Office heißt die Devise. Und genau an dieser Stelle entstehen erste Gefahren für eine Schatten-IT. Dies beginnt bei der Entscheidung, welche Endgeräte ein Heimarbeiter oder ein „Mobile Worker“ nutzt, die eigenen oder die des Unternehmens? „Bring your own device (BYOD)“ ist ein immer noch kontrovers diskutiertes Thema, denn es wirft die Frage auf, welche Unternehmensdaten und Anwendungen der Mitarbeiter auf seinem privaten Smartphone, Tablet oder Laptop abspeichern bzw. nutzen darf. Die Firmenpräsentation auf dem privaten Laptop, der Zugriff auf Unternehmensdaten vom privaten Smartphone: Wer garantiert, dass diese Endgeräte auch professionell vor Viren, Würmern oder dem Zugriff unbefugter Dritter geschützt sind?
Ein zweiter Bereich, der zu Schatten-IT in Unternehmen führen kann, ist die Nutzung sozialer Medien und Plattformen für die betriebliche Kommunikation. Die heutigen Berufseinsteiger sind mit Facebook, Twitter & Co. groß geworden, nicht umsonst werden sie als Digital Natives bezeichnet. Doch mit dem Berufseinstieg werden aus früheren Schulkameraden und Kommilitonen auf einmal Kollegen, Geschäftspartner und Kunden. Selbstverständlich bleibt man aber auch in der neuen Funktion oder Rolle weiter über die sozialen Netzwerke miteinander verbunden. Zukünftig werden dann halt nicht mehr nur Urlaubsfotos und Pläne für das nächste Wochenende geteilt, sondern unter Umständen auch Unternehmensinformationen, die damit den Kontrollbereich der Unternehmens-IT verlassen.
Und wenn wir schon beim Teilen von Informationen und Dokumenten über soziale Netzwerke sind, dann ist es nur noch ein kleiner Schritt zum Einsatz von Dropbox, Google Drive oder Apple iCloud. Diese File Sharing- und Online- Plattformen besitzen mittlerweile eine riesige, weltweite Fangemeinde und können dazu führen, dass unternehmensinterne Dokumente und Unterlagen auf einmal außerhalb des Unternehmens abgelegt und weitergegeben werden. In vielen Ländern haben sich diese Plattformen auch im Unternehmenseinsatz etabliert, so dass gerade Unternehmen, die international tätig sind, sehr schnell mit diesen Plattformen und den damit verbundenen Risiken in Berührung gelangen.
Und leider gibt es auch einen unternehmensinternen Grund für das Entstehen von Schatten-IT. Es ist den IT-Abteilungen in vielen Unternehmen nämlich in den vergangenen Jahren nicht gelungen, mit den Veränderungen in der Arbeitswelt und der rasanten technischen Weiterentwicklung Schritt zu halten. Am ehesten gelang dies noch im Bereich mobiler Endgeräte. In vielen Unternehmen gehören iPhone und iPad oder ihre entsprechenden Android-Pendants mittlerweile zumindest zur Standardausstattung von Außendienst- und Vertriebsteams. Bei anderen Fachabteilungen hinkt die Ausstattung aber auch hier dem technischen „State of the Art“ hinterher, so dass die Gefahr besteht, dass Mitarbeiter auf das private, weil leistungsfähigere Endgerät zurückgreifen.
Gescheitert sind in vielen Unternehmen die bisherigen Versuche, ein unternehmensweites Kommunikations- und Dokumentenmanagementsystem zu etablieren. Und selbst wenn es ein solches System, in der Regel als unternehmensinterne Workgroup-Lösung oder Intranet, im Unternehmen gibt, so kann dieses in punkto Performance, Flexibilität und Benutzerfreundlichkeit modernen File-Sharing-Plattformen meistens nicht „das Wasser reichen“, so dass auch hier der „Umstieg“ der Mitarbeiter droht.
Schatten-IT in Deutschland: Status Quo
Das Marktforschungsinstitut IDC führte bereits im Jahr 2013 eine Marktbefragung zum Thema Cloud Computing unter 260 IT- und Fachabteilungsleitern aus Deutschland mit mindestens 100 Mitarbeitern durch. Dabei zeigte sich, dass 44 Prozent der Fachbereiche kostenlose oder kostenpflichtige Dienste aus der Cloud nutzen, ohne die IT-Abteilung einzubeziehen. Drei Viertel davon verwenden die Cloud-Services zumindest teilweise, ein Viertel sogar sehr intensiv. Die Analysten gehen sogar davon aus, dass die Zahl in der Realität noch höher liegt. Ihre Begründung: Die IT-Abteilungen seien ja nicht involviert und könnten daher auch nicht von der Nutzung wissen: „Zudem spricht keiner gern über Schatten-IT“, so IDC im entsprechenden Ergebnisbericht zur Studie.
Laut einer Umfrage des Marktforschungsinstituts Techconsult aus dem vergangenen Jahr nutzen in mehr als jedem zweiten deutschen Unternehmen Fachabteilungen eigenmächtig Cloud-Services und „entmachten“ damit die IT- Abteilung. Service Level Agreements werden umgangen oder nicht eingehalten, ein IT-Support durch die IT-Abteilung ist nicht gewährleistet.
Und wie eine Umfrage der Firma BT Ende 2014 ergab, haben auch die IT-Leiter das Phänomen Schatten-IT bereits erkannt. Zitat aus der Presseerklärung zur Studie: „Wie die Studie ‚Art of Connecting: creativity and the modern CIO‘ zeigt, ist ein solches Vorgehen (nämlich „Schatten-IT“) in Deutschland bereits gängige Praxis: 75 Prozent der CIOs beobachten eine entsprechende Entwicklung in ihren Unternehmen.“ Und dass es mit dem „Aufholen“ bei der eigenen IT-Infrastruktur gar nicht so leicht ist, zeigt eine Studie von Steria Mummert aus dem Sommer 2014 zum Thema „Collaborative Working“. Zwar beschäftigt sich der Großteil der befragten Unternehmen mit diesem Thema und verfolgt dabei auch eine unternehmensweite Umsetzung. Laut Steria-Mummert-Umfrage planen derzeit aber gerade einmal vier Prozent der Unternehmen konkret eine unternehmensweite Umsetzung. Vernetztes Arbeiten erfolgt derzeit laut Studie hauptsächlich in den IT-Abteilungen (86 Prozent). Zwischen Anspruch und Realität klafft also eine riesige Lücke.
Der „Schatten-IT-Notfallplan“ für den IT-Verantwortlichen
Was also tun? Der nachfolgende „Schatten-IT-Notfallplan“ soll IT- Verantwortlichen dabei helfen, das Risiko von Schatten-IT im eigenen Unternehmen zu minimieren bzw. zu kontrollieren.
- Überprüfen Sie Ihr Unternehmen auf den Einsatz von Schatten-IT: Dies kann durch eine Auswertung entsprechender Firewall-Log Files oder Berichte zur Analyse der genutzten Anwendungen, aber auch durch eine Kontrolle von Kreditkartenabrechnungen und Rechnungen an Fachabteilungen (z.B. für den Einsatz von Cloud Services) erfolgen
- Hüten Sie sich vor Vorwürfen gegenüber den Kollegen: Denn dies hilft in der Regel nichts, zumal wenn sich die Kollegen in den Fachabteilungen im Gegenzug damit rechtfertigen können, dass die IT- Abteilung keine adäquate Anwendungen und Dienste zur Verfügung stellen kann und sie somit zum „Umstieg“ auf externe Dienste quasi „gezwungen“ sind.
- Klären Sie Ihre Anwender über die Gefahren und Risiken einer Nutzung externer Anwendungen und Dienste auf: In der Praxis zeigt sich immer wieder, dass sich Anwender gar nicht bewusst sind, auf welch „dünnem Eis“ sie sich beim Einsatz solcher Dienste und Plattformen bewegen. Doch Unwissenheit schützt vor Strafe nicht und deshalb sollte es regelmäßige Schulungen zum Thema Schatten-IT und deren Risiken/Gefahren geben.
- Bieten Sie attraktive Alternativen: Damit nehmen Sie allen Schatten-IT-Tendenzen von Anfang an den „Wind aus den Segeln“. Beispiel: Collaboration. Mittlerweile gibt es gerade in diesem Bereich eine Reihe von Alternativen zu Dropbox & Co., die unter der Kontrolle der IT-Abteilung betrieben werden können und dem Endanwender genau dieselbe Funktionalität, Flexibilität und Benutzerfreundlichkeit bietet, der IT-Abteilung aber die Möglichkeit gibt, den Verbleib der Daten sowie den Zugriff auf diese Daten selbst zu bestimmen.