Neues von der Schatten-IT

Schatten-IT ist als Phänomen zwar schon etwas älter und als Management-Thema auch nicht mehr ganz neu; auf breiter Basis hat die Auseinandersetzung damit schon vor über 10 Jahren begonnen. Dennoch bietet es sich an, einmal den Stand und aktuelle Entwicklungen zu betrachten.

Ausgangslage

Unverändert etabliert ist zunächst einmal die Definition: Schatten-IT beschreibt prozessunterstützende Systeme, die in den Fachbereichen entwickelt und betrieben werden, ohne dass diese in das IT-Service Management einbezogen sind. Die Definition enthält auch gleich den Ausweg: Schatten-IT kann nicht verboten oder abgeschafft werden, sondern sollte durch ein entsprechendes Management zur Fachbereichs-IT (oder Business-Managed IT) weiterentwickelt werden.

Seit langem deutlich sind auch die Risiken der Schatten-IT: da sind zum einen die operativen Risiken, die sich vor allem in der Informationssicherheit niederschlagen: Daten sind seltener vor unbefugtem Zugriff geschützt, aufgrund mangelnder Tests sind mehr Fehler wahrscheinlich und das Risiko eines Verlustes der Daten ist ebenfalls erhöht. Zum anderen birgt die Schatten-IT auch strategische Risiken, da die Mängel in der IT-Architektur sich negativ auf das Digitalisierungspotenzial des Unternehmens auswirken können.

Zwei Aktuelle Themen

Aktuell sind vor allem zwei Aspekte der Schatten-IT besonders relevant: dies wäre einerseits der Technologiewandel: Schatten-IT bewegt sich weg von den Office-Anwendungen wie Excel und Access und hin zu Cloud Applikationen und LowCode-Plattformen. Anderseits ist durch das jahrelange kontinuierliche Wachstum der Schatten-IT in den Fachabteilungen eine gewisse Akkumulation der Anwendungen festzustellen: es werden in den Abteilungen schlicht mehr Anwendungen, deren Abstimmung und Zusammenspiel mehr Aufmerksamkeit erfordert.

Nachfolgend möchte ich auf diese beiden Aspekte kurz eingehen:

Die inzwischen zahlreich angebotenen Cloud-Dienste ermöglichen den Fachbereichen, Prozesse schnell und einfach anhand eines Standards zu digitalisieren. Der Zugang zu LowCode-Plattformen erlaubt darüber hinaus solche Prozesse individuell zu digitalisieren und zu automatisieren; im Vergleich zu den „historischen“ Endbenutzer-Werkzeugen wie Excel und Access können auf diese Weise komplexere Anwendungen entwickelt werden. Teilweise werden die LowCode-Plattformen durch die IT bereitgestellt, jedoch warten die Fachbereiche hierbei nicht auf die IT. Zum einen werden diese Plattformen selbst beschafft und zum anderen ist über Office365 (oder auch Google Workspace) immer eine solche vorhanden; zahlreiche im Internet vorhandene Videos erklären das Vorgehen und Ermöglichen den Nutzern, schnell Anwendungen zu entwickeln. Im Ergebnis entstehen auf diesen Plattformen eine Vielzahl an Schatten-IT Lösungen.

Die Digitalisierung zahlreicher Einzelaufgaben in den Fachabteilungen bringt mit der Zeit auch die Frage nach der Integration von Daten und Funktionen der verschiedenen Anwendung mit sich. Zudem wird auch die Abstimmung von Prozessketten immer wichtiger. Schließlich wird es für die einzelnen Mitarbeiter auch mit der Zeit schwieriger, den Überblick über die verschiedenen Anwendungen und deren Abhängigkeiten zu behalten. In Summe bedeutet dies, dass die Fachbereiche „ihre“ lokalen IT-Architekturen planen müssen.

Ein Beispiel aus der Praxis

Folgendes Praxisbeispiel verdeutlicht das Problem: in einem Unternehmen greifen die Anwender in der Tourenplanung auf mehr als 20 selbst erstellte Anwendungen zu; unter anderem die Fahrerverwaltung und eine Terminplanung. Diese Anwendungen speichern Daten zum Beispiel die Fahrerdaten für verschiedene Aufgaben redundant, ohne dass eine Schnittstelle existiert; es ergibt sich also ein mehrfacher manueller Pflegeaufwand mit entsprechenden Risiken für die Datenintegrität. Zudem muss die Abstimmung der Teilaufgaben – in dem Beispiel etwa die Überprüfung der Führerscheine vor der Einplanung eines Fahrers – in den Köpfen der Mitarbeiter erfolgen. Offensichtlich wird es mit der Zeit aber immer schwieriger, bei der hohen Anzahl an Systemen den Überblick zu behalten; daher soll für die Zukunft nicht mehr jede Prozessverbesserung als Einzellösung umgesetzt werden, sondern geprüft werden, welche bestehende Lösung ergänzt oder ersetzt werden soll.

Beide beschriebenen Effekte – die neuen Plattformen und der Bedarf an Architekturplanung – bestätigen nochmals, dass es im Sinn der Definition keine Schatten-IT geben sollte. Dies bedeutet wie beschrieben nicht, dass die Fachbereiche keine Anwendungen mehr selbst erstellen dürfen, sondern dass es einen Managementbedarf für diese Systeme in den Fachbereichen gibt, diese also nicht im Schatten bleiben dürfen.

Fazit

Ein abschließender Kommentar sei noch erlaubt: Viele IT-Bereiche sehen sich aktuell im Übergang vom Service Provider zum Business Partner. Für diese Transformation ist der Umgang mit der Schatten-IT ein schöner Lackmus-Test. Einige IT-Bereiche ziehen sich bei dem Thema noch etwas in den Schmollwinkel zurück. Die IT möchte hier herausgehalten werden und falls etwas schief geht, sollen die Fachbereiche die Suppe selbst auslöffeln; eventuell begleitet durch ein „Siehste!“. Eine solche Haltung entspricht jedoch sicher nicht dem Ziel, ein wirklicher Partner der Fachbereiche sein zu wollen. Ein proaktives Ansprechen der Risiken und eine Inventarisierung, zumindest begleitet von Tipps zum Umgang mit der Schatten-IT, wird von den Fachbereichen sehr wertgeschätzt. Merke: wer Partner des Fachbereichs sein möchte, lässt diesen nicht sehenden Auges in den Untergang reiten. Gehen Sie das Thema also an.

Wenn Sie Tipps wünschen, wie das am besten geht: wir haben lange Erfahrung in dem Thema und pragmatische Lösungen zur Erhebung der Schatten-IT. Sprechen Sie uns an.

Weiterführende Informationen