{"id":1753,"date":"2016-01-12T14:42:04","date_gmt":"2016-01-12T13:42:04","guid":{"rendered":"https:\/\/bitco3.com\/de\/?p=1753"},"modified":"2025-04-28T13:50:23","modified_gmt":"2025-04-28T11:50:23","slug":"vorstellung-der-idv-suite-zur-konkreten-erhebung-von-schatten-it-idv","status":"publish","type":"post","link":"https:\/\/bitco3.com\/en\/2016\/01\/12\/vorstellung-der-idv-suite-zur-konkreten-erhebung-von-schatten-it-idv\/","title":{"rendered":"Vorstellung der IDV-Suite zur konkreten Erhebung von Schatten-IT-IDV"},"content":{"rendered":"
\n

Im zweiten Teil dieser Blogserie \u201eVersteckte IDV als Schatten-IT-Auspr\u00e4gung\u201c<\/a> wurden die Herausforderungen beschrieben, denen ein Tool begegnen muss, um Schatten-IT-IDV zu erheben. Abschlie\u00dfend wird konkret darauf eingegangen wie die IDV-Suite den Anforderungen der Erhebung von Schatten-IT-IDV begegnet.<\/p>\n

Wie begegnet die IDV-Suite den Anforderungen der Schatten-IT-IDV-Erhebung?<\/h3>\n

Urspr\u00fcnglich wurde die IDV-Suite entwickelt, um eine MaRisk und SOX-konforme Risikobewertung, Programm-Dokumentation, Absicherung, \u00dcberwachung und Analyse von \u201eEnd-User-Developed-Software\u201c als Excel- und Access-Plug-In zu gew\u00e4hrleisten. Bei unserer Suche nach einem geeigneten Tool zur Erhebung von Schatten-IT hat die IDV-Suite den meisten Anforderungen zur Erhebung von Schatten-IT entsprochen. Zwar beschr\u00e4nkt sich die IDV-Suite auf IDV, diese hat aber h\u00e4ufig ein hohes Aufkommen, eine hohe Relevanz und niedrige Qualit\u00e4t und ist schwierig zu erheben. Im Folgenden stellen wir vor, wie die IDV-Suite den Anforderungen der Schatten-IT-Erhebung begegnet.<\/p>\n

Mitarbeiter der Fachbereiche nicht \u00fcberm\u00e4\u00dfig st\u00f6ren<\/h4>\n
\n

\"Die<\/p>\n

Die IDV-Suite ist leicht zugreifbar<\/div>\n<\/div>\n

Da die IDV-Suite direkt in Excel und Access integriert ist, muss der Nutzer kein weiteres Programm \u00f6ffnen, sondern kann direkt in der gewohnten Umgebung auf alle zus\u00e4tzlichen Funktionen zugreifen.<\/p>\n

Dar\u00fcber hinaus kann in der IDV-Suite eingestellt werden, wann die Benutzer abgefragt werden sollen und welche Fragen dem Benutzer gestellt werden. Dabei k\u00f6nnen ein zeitlicher Mindestabstand zwischen Befragungen sowie ausl\u00f6sende Befragungskriterien konfiguriert werden.<\/p>\n

Liste eingesetzter IDV erstellen<\/h4>\n

Im ersten Schritt muss eine Liste der \u00fcberhaupt eingesetzten IDV generiert werden. Die IDV-Suite pflegt hierzu eine zentrale Datenbank. Dort k\u00f6nnen Versionsnummer, technische Daten (z.B. Speicherort, Dateiname, letzter speichernder Windows-User, Speicherdatum, Anzahl VBA-Codes, Anzahl Formeln, Anzahl \u00f6ffnender Klammern, Anzahl verkn\u00fcpfter Dateien) und vom Benutzer hinzugef\u00fcgte Daten (z.B. aus der Nutzerbefragung oder Dokumentation) gespeichert werden. Dabei k\u00f6nnen unterschiedliche Versionen einander zugeordnet werden, um einen \u00dcberblick \u00fcber die Entwicklung der eingesetzten IDV zu erhalten. Mit dieser Liste entsteht ein erster \u00dcberblick der eingesetzten IDV.<\/p>\n

Qualit\u00e4tskriterien erheben<\/h4>\n

Die Bewertung der Qualit\u00e4t setzt sich aus den vier Bewertungsfaktoren Systemqualit\u00e4t\/ Qualit\u00e4t des Entwicklungsprozesses, Qualit\u00e4t des Wartungsprozesses, Informationsqualit\u00e4t und Qualit\u00e4t der Gesch\u00e4ftsabwicklung zusammen. Die IDV-Suite muss die zur Bewertung ben\u00f6tigten Daten liefern k\u00f6nnen.<\/p>\n

\n

\"Die<\/p>\n

Die Qualit\u00e4tskriterien m\u00fcssen erhoben werden<\/div>\n<\/div>\n

Bei der Bewertung der Systemqualit\u00e4t soll nicht das Tr\u00e4gersystem, also Access oder Excel bewertet werden, sondern die einzelnen Business-Anwendungen. Hierbei berechnet die IDV-Suite vollautomatisch Risikoklassen bez\u00fcglich Formelkomplexit\u00e4t, Sichtbarkeit, Komplexit\u00e4t, Sicherheit, Logik und Fehler und gibt die hierzu erhobenen Daten aus. Die Grundlage zur Bewertung der Qualit\u00e4t des Entwicklungs- und Wartungsprozesses liefert die IDV-Suite durch die Versionierung, Besitzer-Zuordnung, Dokumentation und Freigabeprozess. Durch das 4-Augen-Prinzip im Freigabeprozess wird die Informationsqualit\u00e4t abgesichert. Eine komplette Datengrundlage zur Bewertung der Qualit\u00e4t der Gesch\u00e4ftsabwicklung kann die IDV-Suite nicht leisten. Jedoch helfen die Zuordnung von IDV-Anwendung zu Prozess und Besitzer der Datei dabei herauszufinden, ob die eingesetzte IDV Funktionen bestehender Systeme ersetzt bzw. erg\u00e4nzt oder ob die IDV f\u00fcr neue gesch\u00e4ftliche Anforderungen entwickelt wurde.<\/p>\n

Relevanzkriterien erheben<\/h4>\n

Zur Bewertung der Relevanz einer IDV-Anwendung m\u00fcssen die Faktoren Prozesskritikalit\u00e4t des unterst\u00fctzten Prozesses, Einfluss der Schatten-IT-IDV auf diesen Prozess, Effekte auf andere IT-Services, IT-Sicherheit und Compliance-Aspekte ber\u00fccksichtigt werden.<\/p>\n

\n

\"Informationen<\/p>\n

Informationen werden durch das Tool abgefragt<\/div>\n<\/div>\n

Die IDV-Suite bietet dem Nutzer M\u00f6glichkeiten die ben\u00f6tigten Informationen einzugeben. Auch k\u00f6nnen der IDV-Anwendungen Prozesse und Prozesskritikalit\u00e4t zugewiesen werden. Der Einfluss der Schatten-IT-IDV auf den Prozess kann dann direkt abgefragt werden. In der Dokumentation kann der Dateneingang bzw. -Ausgang zu anderen Systemen festgehalten werden. Die IDV-Suite sichert jede freigegebene Version einer Datei als Backup. Dar\u00fcber hinaus kann der Administrator auswerten, ob Blatt- und Passwortschutz genutzt werden. Damit unterst\u00fctzt die IDV-Suite im Sinne der IT-Sicherheit Verf\u00fcgbarkeit und Vertraulichkeit der IDV-Anwendungen. Unter Compliance-Gesichtspunkten hilft die IDV-Suite mehrfach. Einerseits k\u00f6nnen nur durch das 4-Augen-Prinzip freigegebene Versionen als Entscheidungsgrundlage dienen. Somit m\u00fcssen auch nur diese Dateien gepr\u00fcft werden. Andererseits k\u00f6nnen gezielt Benutzerabfragen definiert werden, um Unternehmensrichtlinien direkt in der Anwendung beim Speichern anzusprechen.<\/p>\n

Verantwortlichkeiten zuordnen<\/h4>\n
\n

\"Entwickler,<\/p>\n

Entwickler=
\nEigent\u00fcmer=Verantwortlicher<\/div>\n<\/div>\n

Insbesondere bei IDV-Anwendungen ist oft nicht klar, wer eigentlich der Entwickler und damit Verantwortlicher ist. Die IDV-Suite speichert den letzten Windows-User, der eine neue Anwendung erstellt oder ge\u00e4ndert hat. Dadurch kann zu jeder IDV-Anwendung sowohl ein Ansprechpartner gefunden werden als auch ein Verantwortungsbewusstsein beim Entwicklungsprozess geschaffen werden.<\/p>\n

Unsere Einsch\u00e4tzung zur IDV-Suite bei der Schatten-IT-IDV-Erhebung<\/h3>\n

Insgesamt ist die IDV-Suite als Tool zur Unterst\u00fctzung der Schatten-IT-IDV-Erhebung gut geeignet. Insbesondere f\u00fcr die fortlaufende Erhebung bietet die IDV-Suite eine sehr gute Unterst\u00fctzung. Dennoch kann ein Tool nicht die gesamte Grundlage zur Bewertung von Qualit\u00e4t und Relevanz der IDV-Anwendungen erheben, sodass weitere R\u00fcckfragen im Fachbereich n\u00f6tig sein k\u00f6nnen. Hierbei unterst\u00fctzt die IDV-Suite aber ebenfalls durch die Zuordnung von Anwendung, Version, Prozess und Verantwortlichen. Diese Erhebung im Sinne unseres Schatten-IT-Management-Prozesses erlaubt die anschlie\u00dfende Bewertung und das Management der Schatten-IT-IDV. Schlussendlich kann entschieden werden, ob eine IDV-Anwendung nur als solche registriert, IT- und Fachbereichsaufgaben neu koordiniert oder die gesamte Anwendung renoviert wird.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"

Im zweiten Teil dieser Blogserie \u201eVersteckte IDV als Schatten-IT-Auspr\u00e4gung\u201c wurden die Herausforderungen beschrieben, denen ein Tool begegnen muss, um Schatten-IT-IDV zu erheben. Abschlie\u00dfend wird konkret darauf eingegangen wie die IDV-Suite den Anforderungen der Erhebung von Schatten-IT-IDV begegnet. Wie begegnet die IDV-Suite den Anforderungen der Schatten-IT-IDV-Erhebung? Urspr\u00fcnglich wurde die IDV-Suite entwickelt, um eine MaRisk und SOX-konforme […]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[12],"tags":[71,21],"class_list":["post-1753","post","type-post","status-publish","format-standard","hentry","category-it-strategie","tag-idv","tag-schatten-it"],"_links":{"self":[{"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/posts\/1753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/comments?post=1753"}],"version-history":[{"count":2,"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/posts\/1753\/revisions"}],"predecessor-version":[{"id":12822,"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/posts\/1753\/revisions\/12822"}],"wp:attachment":[{"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/media?parent=1753"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/categories?post=1753"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitco3.com\/en\/wp-json\/wp\/v2\/tags?post=1753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}