Im zweiten Teil dieser Blogserie „Versteckte IDV als Schatten-IT-Ausprägung“ wurden die Herausforderungen beschrieben, denen ein Tool begegnen muss, um Schatten-IT-IDV zu erheben. Abschließend wird konkret darauf eingegangen wie die IDV-Suite den Anforderungen der Erhebung von Schatten-IT-IDV begegnet.
Wie begegnet die IDV-Suite den Anforderungen der Schatten-IT-IDV-Erhebung?
Ursprünglich wurde die IDV-Suite entwickelt, um eine MaRisk und SOX-konforme Risikobewertung, Programm-Dokumentation, Absicherung, Überwachung und Analyse von „End-User-Developed-Software“ als Excel- und Access-Plug-In zu gewährleisten. Bei unserer Suche nach einem geeigneten Tool zur Erhebung von Schatten-IT hat die IDV-Suite den meisten Anforderungen zur Erhebung von Schatten-IT entsprochen. Zwar beschränkt sich die IDV-Suite auf IDV, diese hat aber häufig ein hohes Aufkommen, eine hohe Relevanz und niedrige Qualität und ist schwierig zu erheben. Im Folgenden stellen wir vor, wie die IDV-Suite den Anforderungen der Schatten-IT-Erhebung begegnet.
Mitarbeiter der Fachbereiche nicht übermäßig stören
Da die IDV-Suite direkt in Excel und Access integriert ist, muss der Nutzer kein weiteres Programm öffnen, sondern kann direkt in der gewohnten Umgebung auf alle zusätzlichen Funktionen zugreifen.
Darüber hinaus kann in der IDV-Suite eingestellt werden, wann die Benutzer abgefragt werden sollen und welche Fragen dem Benutzer gestellt werden. Dabei können ein zeitlicher Mindestabstand zwischen Befragungen sowie auslösende Befragungskriterien konfiguriert werden.
Liste eingesetzter IDV erstellen
Im ersten Schritt muss eine Liste der überhaupt eingesetzten IDV generiert werden. Die IDV-Suite pflegt hierzu eine zentrale Datenbank. Dort können Versionsnummer, technische Daten (z.B. Speicherort, Dateiname, letzter speichernder Windows-User, Speicherdatum, Anzahl VBA-Codes, Anzahl Formeln, Anzahl öffnender Klammern, Anzahl verknüpfter Dateien) und vom Benutzer hinzugefügte Daten (z.B. aus der Nutzerbefragung oder Dokumentation) gespeichert werden. Dabei können unterschiedliche Versionen einander zugeordnet werden, um einen Überblick über die Entwicklung der eingesetzten IDV zu erhalten. Mit dieser Liste entsteht ein erster Überblick der eingesetzten IDV.
Qualitätskriterien erheben
Die Bewertung der Qualität setzt sich aus den vier Bewertungsfaktoren Systemqualität/ Qualität des Entwicklungsprozesses, Qualität des Wartungsprozesses, Informationsqualität und Qualität der Geschäftsabwicklung zusammen. Die IDV-Suite muss die zur Bewertung benötigten Daten liefern können.
Bei der Bewertung der Systemqualität soll nicht das Trägersystem, also Access oder Excel bewertet werden, sondern die einzelnen Business-Anwendungen. Hierbei berechnet die IDV-Suite vollautomatisch Risikoklassen bezüglich Formelkomplexität, Sichtbarkeit, Komplexität, Sicherheit, Logik und Fehler und gibt die hierzu erhobenen Daten aus. Die Grundlage zur Bewertung der Qualität des Entwicklungs- und Wartungsprozesses liefert die IDV-Suite durch die Versionierung, Besitzer-Zuordnung, Dokumentation und Freigabeprozess. Durch das 4-Augen-Prinzip im Freigabeprozess wird die Informationsqualität abgesichert. Eine komplette Datengrundlage zur Bewertung der Qualität der Geschäftsabwicklung kann die IDV-Suite nicht leisten. Jedoch helfen die Zuordnung von IDV-Anwendung zu Prozess und Besitzer der Datei dabei herauszufinden, ob die eingesetzte IDV Funktionen bestehender Systeme ersetzt bzw. ergänzt oder ob die IDV für neue geschäftliche Anforderungen entwickelt wurde.
Relevanzkriterien erheben
Zur Bewertung der Relevanz einer IDV-Anwendung müssen die Faktoren Prozesskritikalität des unterstützten Prozesses, Einfluss der Schatten-IT-IDV auf diesen Prozess, Effekte auf andere IT-Services, IT-Sicherheit und Compliance-Aspekte berücksichtigt werden.
Die IDV-Suite bietet dem Nutzer Möglichkeiten die benötigten Informationen einzugeben. Auch können der IDV-Anwendungen Prozesse und Prozesskritikalität zugewiesen werden. Der Einfluss der Schatten-IT-IDV auf den Prozess kann dann direkt abgefragt werden. In der Dokumentation kann der Dateneingang bzw. -Ausgang zu anderen Systemen festgehalten werden. Die IDV-Suite sichert jede freigegebene Version einer Datei als Backup. Darüber hinaus kann der Administrator auswerten, ob Blatt- und Passwortschutz genutzt werden. Damit unterstützt die IDV-Suite im Sinne der IT-Sicherheit Verfügbarkeit und Vertraulichkeit der IDV-Anwendungen. Unter Compliance-Gesichtspunkten hilft die IDV-Suite mehrfach. Einerseits können nur durch das 4-Augen-Prinzip freigegebene Versionen als Entscheidungsgrundlage dienen. Somit müssen auch nur diese Dateien geprüft werden. Andererseits können gezielt Benutzerabfragen definiert werden, um Unternehmensrichtlinien direkt in der Anwendung beim Speichern anzusprechen.
Verantwortlichkeiten zuordnen
Eigentümer=Verantwortlicher
Insbesondere bei IDV-Anwendungen ist oft nicht klar, wer eigentlich der Entwickler und damit Verantwortlicher ist. Die IDV-Suite speichert den letzten Windows-User, der eine neue Anwendung erstellt oder geändert hat. Dadurch kann zu jeder IDV-Anwendung sowohl ein Ansprechpartner gefunden werden als auch ein Verantwortungsbewusstsein beim Entwicklungsprozess geschaffen werden.
Unsere Einschätzung zur IDV-Suite bei der Schatten-IT-IDV-Erhebung
Insgesamt ist die IDV-Suite als Tool zur Unterstützung der Schatten-IT-IDV-Erhebung gut geeignet. Insbesondere für die fortlaufende Erhebung bietet die IDV-Suite eine sehr gute Unterstützung. Dennoch kann ein Tool nicht die gesamte Grundlage zur Bewertung von Qualität und Relevanz der IDV-Anwendungen erheben, sodass weitere Rückfragen im Fachbereich nötig sein können. Hierbei unterstützt die IDV-Suite aber ebenfalls durch die Zuordnung von Anwendung, Version, Prozess und Verantwortlichen. Diese Erhebung im Sinne unseres Schatten-IT-Management-Prozesses erlaubt die anschließende Bewertung und das Management der Schatten-IT-IDV. Schlussendlich kann entschieden werden, ob eine IDV-Anwendung nur als solche registriert, IT- und Fachbereichsaufgaben neu koordiniert oder die gesamte Anwendung renoviert wird.