An dieser Stelle haben wir schon vielfach über die Eigenschaften und Risiken der Schatten-IT gesprochen. Eine zentrale Schlussfolgerung war, dass die Schatten-IT gemanaged werden muss. Wichtige Grundvoraussetzung hierfür ist es, die Schatten-IT zu kennen. Die dafür notwendige Erhebung der Schatten-IT kann auf unterschiedliche Art und Weise erfolgen: Werkzeuge erfassen die Schatten-IT automatisch, die Mitarbeiter melden ihre Schatten-IT oder die Schatten-IT wird durch Interviews erfasst.
Schatten-IT automatisiert erfassen
Die Versprechen auf eine automatisierte Erfassung der Schatten-IT wird von zahlreichen Anbietern geleistet: Cloud-Service Monitoring Werkzeuge, Inventory Management Systeme und andere technische Überwachungssysteme sollen die Aktivitäten der Mitarbeiter erfassen und damit Schatten-IT feststellen. Diesen Ansätzen ist gemeinsam, dass sie zum einen den Zweck der Schatten-IT kaum aufdecken und damit nur begrenzte Aussagen über die betriebliche Relevanz erlauben. Zum anderen erschweren diese Systeme die Kooperation zwischen Fachbereich und IT teilweise sogar. Die technische Überwachung wird eben also solche wahrgenommen und damit die IT nicht als Partner, sondern als Kontrollinstanz betrachtet; eine Verhaltensänderung zur Reduzierung der Schatten-IT wird so auf keinen Fall angeregt. Schließlich deckt kein vorhandenes Konzept die gesamte Bandbreite der Schatten-IT ab; es gibt also kein rein technisches Werkzeug mit dem das gesamte Phänomen gesteuert werden kann.
Fachbereich füllt Abfragen aus
Die zweite und in einigen Unternehmen genutzte Möglichkeit zur Erhebung der Schatten IT besteht darin, den Fachbereichen Abfragen zu senden, welche Anwendungen diese betreiben und welche Relevanz diesen zuzuweisen ist. Dieser Ansatz ist leicht umzusetzen, jedoch weist er einige erhebliche Schwächen auf: die resultierenden Listen sind unvollständig, die Risiken aus der Schatten-IT werden systematisch unterschätzt und eine Verhaltensänderung wird hier ebenso wenig erzeugt. In den Unternehmen sind die Listen oft unvollständig, weil es den Fachbereichen schwerfällt, ohne Bezug auf die tägliche Arbeit eine Liste mit Anwendungen zu erstellen. Teilweise wird durch mangelnde Kommunikation in solchen Projekten auch seitens der Fachbereiche befürchtet, dass diese Listen dazu dienen, die Anwendungen nachher „einzusammeln“ und damit die Arbeit der Fachbereiche zu erschweren. Die Risiken werden systematisch unterschätzt, da die Anwender oft nicht ohne weiteres in der Lage sind, eine spezifische Risikoklasse („niedrig“, „mittel“ oder „hoch“) zuzuweisen. Aus Sicht der Fachbereiche sind alle Systeme nur wenig riskant, da sie in der Regel davon ausgehen, diese zu beherrschen. Schließlich festigt die Abfrage auch die Distanz zwischen Fachbereich und IT, da die Kommunikation zwischen den Bereichen weiterhin nur auf Basis von schriftlichen Dokumenten erfolgt.
In Interviews wird Schatten-IT erhoben
Als dritten Ansatz bietet sich die Erhebung durch fachspezifische Interviews an. Hier werden aus der IT heraus mit den Anwendern Interviews über die tatsächliche IT-Unterstützung der Abläufe geführt. Diese Interviews erzeugen ein weitgehend vollständiges Bild. Allerdings gibt es in den Unternehmen teilweise eine reservierte Haltung gegenüber solchen Prozesserhebungen, da in der Vergangenheit schon mehrere Prozessmodelle erstellt wurden, ohne dass diese einen Mehrwert aus Sicht der Fachbereiche erzeugt hätten. Einschränkend ist auch anzumerken, dass dieser Ansatz den mit Abstand höchsten Aufwand erzeugt.
Was ist die Schlussfolgerung?
Aus unseren Projekterfahrungen können wir berichten, dass eine Kombination der Methode Interview und Abfrage den besten Erfolg verspricht. In einem ausgewählten Fachbereich wird durch Interviews die Schatten-IT identifiziert. Diese Erkenntnisse dienen dann dazu eine passende Abfrage an die Fachbereiche zu gestalten, die jedoch mit einer entsprechenden Kommunikationskampagne unterstützt werden muss. Zudem ist bei der Gestaltung der Abfrage darauf zu achten, dass die Fachbereiche eine sachgerechte Bewertung der Systeme vornehmen können.
Zur Selbstbewertung der Fachbereiche erfahren Sie an dieser Stelle bald mehr.
