In einem Gespräch mit einem Unternehmensvertreter habe ich vor einigen Tagen ein sehr interessantes und eindrückliches Beispiel für Schatten-IT kennen gelernt. Dieses Beispiel ist typisch für viele Unternehmen und ergänzt die bisherigen Schatten-IT-Beispiele unserer Blogserie sehr gut, daher stelle ich es Ihnen nachfolgend vor:

Qualitätsmanagement

Fachabteilung: Fertigung

Technologie: Excel, Access

Wie ist die Ausgangslage?
Ein Unternehmen ist unter anderem Zulieferer von Pharmaunternehmen und unterliegt damit selbst auch den Regularien der Aufsichtsbehörden wie bspw. der FDA. Zur Unterstützung der Anforderungen der Behörden benötigt das Unternehmen für die Fertigung ein Qualitätsmanagementsystem. Insgesamt ist nur ein kleinerer Teil des gesamten Unternehmens betroffen, daher wird eine große Investition im Fachbereich gescheut und das QMS in der Fachabteilung auf Basis von Excel und Access entwickelt.

Wie ging es weiter?
Das System wird über einige Zeit genutzt und entsprechend den Änderungen der Anforderungen weiterentwickelt. Nach einiger Zeit verlässt der verantwortliche Mitarbeiter das Unternehmen, die Nutzung geht jedoch weiter. Zwischenzeitlich muss das System auf einen anderen Rechner umziehen; dabei wird ein Teil desr Access- Datenbank beschädigt und Daten gehen verloren. Aktuell müsste eine Weiterentwicklung erfolgen, aber niemand kennt den Aufbau des Systems und daher bleiben Anforderungen liegen.

Wie ist der Fall zu bewerten?
Ein funktionierendes QMS ist eine zentrale Forderung der Aufsichtsbehörden in der Pharma- und Lebensmittelindustrie. Identifizierte Verstöße müssen dann oft sehr kurzfristig zu hohen Kosten beseitigt werden. Zudem können die eigenen Kunden bei Nichterfüllung der regulatorischen Anforderungen abwandern. Insgesamt besteht hier also ein erhebliches Risiko für das Unternehmen. Ein solch wichtiges System sollte daher nicht durch die Fachbereiche in Eigenregie und ungeregelt entwickelt und betrieben werden.

Was ist zu tun?
In diesem Fall wäre mindestens die bessere Dokumentation des Systems bzw. die Vermeidung der Abhängigkeit von Einzelpersonen, eine Datensicherung und eine Trennung von Test- und Produktivsystem anzuraten. Wenn der Business Case halbwegs gerechtfertigt ist, sollte in einem solchen Fall auch eine professionelle Softwarelösung entwickelt werden.

Grundsätzlich ist zu beachten, dass derartig kritische Systeme in der Regel nicht durch den Fachbereich allein verantwortet werden sollten. Gibt es aber doch Gründe dafür, sollte der IT-Bereich detaillierte Regeln zu Entwicklung und Betrieb dieser Systeme formulieren, um die Risiken für das Unternehmen klein zu halten. Hier hilft die adaptive Governance, geeignete Lösungen zu finden.

Was kann ich tun, um einen ähnlichen Fall zu vermeiden?
Durch eine Erhebung der Schatten-IT entweder durch Gespräche oder mit Hilfe eines Self-Assessment- Konzepts können Sie die relevanten Schatten-IT- Systeme identifizieren. Durch die Bewertung der Systeme können Sie dann entscheiden, wie mit diesen umzugehen ist: zur Kenntnis nehmen und weiter beobachten, den Betrieb des Service professionalisieren oder das System neu zu bauen. Der Fall belegt wieder einmal, dass Sie auf keinen Fall Ihre Schatten-IT ignorieren sollten. Derartige Risiken haben wir in allen untersuchten Unternehmen gefunden.

Sind Sie an weiteren Schatten-IT-Beispielen interessiert, die uns begegnet sind, dann lesen Sie gerne weitere Artikel unserer Blogserie dazu.
Autor: Prof. Dr. Christopher Rentrop