- Home
- Fachartikel
- Digitale Transformation
- Was ist Schatten-IT? Der blinde Fleck der IT-Abteilung?
Die Nutzung von Schatten-IT in Unternehmen steigt stetig und somit automatisch die Relevanz des Themas. Die Ableitung vom englischen „shadow“ lässt schon in etwa vermuten, worum es sich handelt. Zur Schatten-IT gehören alle informationstechnischen Systeme, Prozesse und Organisationseinheiten, die in den Fachabteilungen eines Unternehmens ohne das Wissen des IT-Servicemanagements eingeführt und verwendet werden. Doch warum gibt es überhaupt Schatten-IT und wie können Unternehmen damit umgehen? Birgt sie nur Risiken? Oder stecken hinter ihr vielleicht auch Chancen?
Unerkannt und verselbstständigt
Beispiele für typische Schatten-IT sind gar nicht so komplex wie sich vermuten lässt. Bereits die Verwendung von Social Software zur Kommunikation von Benutzer:innen über arbeitsrelevante Themen oder vertrauliche Informationen gilt als Schatten-IT. Die Einbindung nicht in den offiziellen IT-Katalogen enthaltener Hardware oder privater Smartphones und Tablet-PCs inklusive entsprechender Apps zählen auch dazu. Ein weiteres, mögliches Szenario besteht darin, dass Mitarbeitende anderer Fachbereiche IT-Services einkaufen oder eingliedern, von denen die IT-Abteilung nicht in Kenntnis gesetzt wurde. Das kann bei Webmail-Services beginnen und bei komplexeren Anwendungen wie SaaS oder Cloud-Services aufhören. Werden Applikationen selbstständig durch Fachabteilungen entwickelt und betrieben oder eigene Supportstrukturen von ihnen aufgebaut, so ist auch das Schatten-IT.
Alle Szenarien der Schatten-IT implizieren damit eins: Die Verantwortlichkeit kann nicht bei dem IT-Bereich liegen, denn meist verfügen sie gar nicht über das Wissen, dass diese Einheiten oder Softwares existieren. Somit werden sie nicht von der IT-Abteilung betreut und sind folglich weder technisch noch strategisch in den IT-Betrieb der Organisation eingebunden. Die Berücksichtigung der Technologien im IT-Asset- und Configuration-Management sowie im IT-Serviceportfolio entfällt dadurch ebenso.
Diskrepanz zwischen IT-Abteilung und Fachbereichen
Doch wie kommt es soweit, dass Mitarbeitende sich eigenständig Lösungen heranziehen, ohne den offiziellen IT-Support um Hilfe zu bitten? Mögliche Ursachen gründen meistens darin, dass die von der IT-Abteilung angebotenen Services entweder den Anforderungen nicht genügen oder aber schlicht und ergreifend nicht bekannt genug sind. Unzureichende Kommunikation, unangebrachte Koordinationsmechanismen bei der IT-Steuerung und eine fehlerhafte Formalisierung der Zusammenarbeit zwischen den Abteilungen sind für die Abstimmung gefährdend.
IT-Lösungen werden zudem meist dann eigenständig entwickelt und verwaltet, wenn personelle oder finanzielle Ressourcen oder das technische Know-how dem Unternehmen fehlen. Gerade neue Informationstechnologien wie das Cloud-Computing erleichtern den Zugang zu Software-Anwendungen, die sich außerhalb des offiziellen IT-Bereichs befinden. Letztendlich kann das Problem auch bei den Fachabteilungen liegen, die über eine hohe Autonomie verfügen und durch dezentrale Organisationsformen und externe Einflüsse aus dem Unternehmensumfeld noch selbstständiger arbeiten. Zudem steigt die Technologieaffinität der Mitarbeitenden, die somit erst allein versuchen, eine Lösung für ihr Problem zu finden.
Schatten-IT: Eine risikoreiche Alternative
Bei der bewussten oder unbewussten Verwendung von Schatten-IT ist Vorsicht geboten. Die Auswirkungen bergen einige Risiken, die in dem Modell der dezentralen Verwaltung der Schatten-IT schwer zu kontrollieren sind. Durch eine fehlende Professionalität der durchgeführten Entwicklung gibt es Probleme hinsichtlich der IT-Security. Informationssicherheit, Datenintegrität und Datenschutz können nicht mehr gegeben sein. Schatten-IT verstößt dabei häufig nicht nur selbst gegen unternehmensinterne Richtlinien der IT-Sicherheit, sondern kann auch Prozesse etablieren, die wiederum Compliance-Regeln verletzen. Der Support durch den technischen Bereich entfällt und die Planung von IT-Architektur und IT-Kapazitäten ist kaum möglich. Somit können andere IT-Services gestört und in manchen Fällen auch die Migrationen von Daten oder Veränderungsmaßnahmen behindert werden.
Schatten-IT kann sogar Auslöser von Vertragsstrafen sein: Offiziell ausgewählte Outsourcing-Partner werden möglicherweise sogar übergangen, was je nach Vertragslage das Risiko eines Vertragsbruchs oder einer -verletzung birgt. Das IT-Management setzt sich darüber hinaus, wie jede andere Fachabteilung, strategische Ziele, die durch Schatten-IT und die Nutzung weiterer Systeme und Softwares untergraben werden. Durch all diese Auswirkungen und Folgeprobleme sinkt die Benutzerzufriedenheit, was bei Mitarbeitenden wiederum mehr Anlass bieten kann, weitere Schatten-IT zu betreiben.
Schatten-IT als Bereicherung für Unternehmen
Obwohl sich Schatten-IT bisher negativ anhört, kann sie auch effektiv sein. Chancen sind zwar nicht in der Vielzahl, aber trotzdem genauso wie Risiken, gegeben. Schatten-IT erhöht die IT-Innovationsrate von Unternehmen. Dadurch, dass die Fachbereiche sich mit den Perspektiven von IT auseinandersetzen und zusätzliche Nutzen für ihre Geschäftsprozesse entdeckt haben, ergeben sich Innovationen, die die IT-Abteilungen aufgrund ihrer Distanz zum operativen Geschäft nicht hätten erkennen können. Diese Lösungen sind somit auch am täglichen Geschäft und an den Aufgaben der Fachabteilungen orientiert und auf ihre spezifischen internen Prozesse abgestimmt. Das führt im Weiteren zu einer höheren Benutzerzufriedenheit mit dem IT-Support. Auf diesem Weg fehlt zudem der Bewilligungsprozess, was diese IT-Lösungen flexibel und schnell anpassbar machen. Die intuitive Nutzung und der Aufgabenfokus schafft Identifikation der Mitarbeitenden mit den Tools, was obendrein die Motivation steigert.
Nicht mehr länger im Dunklen tappen: Der Umgang mit Schatten-IT
Die nicht genehmigte Nutzung von Software und Systemen existiert in vielen Unternehmen und das häufig unbewusst. Beim richtigen Umgang mit Schatten-IT sollten Unternehmen und IT-Abteilungen auf ein aktives Management setzen. Ein grundlegendes Verbot ist nicht zu empfehlen. Es ist nicht nur schwer, zu kontrollieren, dass Mitarbeitende keine Schatten-IT nutzen, in den meisten Fällen suchen sie auch nur nach Lösungen für ihre Probleme. Sie bemerken nicht, dass das einige potenzielle negative Auswirkungen oder auch Chancen für das gesamte Unternehmen mit sich bringt. Deshalb ist es umso wichtiger, offen mit dem Thema umzugehen und Schatten-IT aktiv zu managen. Zwei Instanzen können dabei behilflich sein: das Enterprise Architecture Management und die IT-Governance. Genauso lässt sich ein drei-Phasen-Modell aufstellen, welches für den richtigen Umgang mit Schatten-IT entscheidend ist:
1. Identifikation
Um zu wissen, welche Schatten-IT im Unternehmen existiert, muss sie zunächst entlang der Geschäftsprozesse identifiziert werden. Die Informationen können anschließend zentral beispielsweise durch eine Configuration Management Database (CMDB) oder eine Asset Management Software gespeichert werden. Es empfiehlt sich ein Vorgehen auf mehreren Ebenen: Die erste Ebene sieht den Einsatz technischer Hilfsmittel vor. Die ausgewählten Tools für Netzwerk-Monitoring und Geräte-Scanning unterstützen dabei, einen Teil der nicht registrierten Informationstechnik zu entdecken und sicherzustellen. Entscheidende Hilfe wird auch anhand der zweiten Ebene durch strukturierte Befragungen und Serieninterviews geleistet. Bei Gesprächen mit den Prozessverantwortlichen der Fachbereiche kann zudem Bewusstsein für die Thematik rund um Schatten-IT geschaffen werden. Stellt man zuletzt mit der dritten Ebene das von der IT-Abteilung verwaltete Budget den IT-Ausgaben des Fachbereichs gegenüber, ergibt sich aus der Differenz ein weiterer Indikator für Schatten-IT.
2. Beurteilung
Ist eine Lösung identifiziert, die der Schatten-IT zugerechnet wird, gilt es, sie anhand drei definierter Kriterien zu beurteilen:
- Die fachliche Relevanz zeigt auf, wie wichtig die Instanz der Schatten-IT für die anwendenden Mitarbeitenden ist. Darüber geben beispielsweise die Useranzahl, die Anwendungsfrequenz, die Datenmenge oder die Kritikalität der unterstützten Geschäftsprozesse Aufschluss.
- Die technische Qualität der Anwendung ist ein weiterer Indikator. Sie macht deutlich, mit welchem Professionalitätsgrad die Lösung betrieben, gewartet oder weiterentwickelt wird. Zudem beschäftigt sich das Kriterium mit der Qualität der Systemeigenschaften und der Daten.
- Die Parallelität zeigt, ob eine offizielle IT-Lösung verfügbar ist, die die erforderlichen Aufgaben genauso erfüllen und somit übernehmen kann. Wichtige Parameter für dieses Kriterium sind die Innovationsrate, das für Business und IT bestehende Risiko sowie der Ersetzungsaufwand der Software.
3. Kontrolle
Nach der ausführlichen Beurteilung der Kriterien sollte zuletzt die Kontrolle erfolgen. Durch individuell angepassten IT-Governance-Strukturen wird künftige Schatten-IT begrenzt. Die Struktur sollte gemeinsam erarbeitet und entworfen werden, um geeignete Abläufe, Regeln und Prinzipien festzulegen. Dabei lassen sich die exakten Ursachen für diese versteckte IT herausfinden und adressieren, durch welche die Fachbereiche hinsichtlich Schatten-IT sensibilisiert und geschult werden können. Wenn alle Mitarbeitenden darüber aufgeklärt sind, welche Möglichkeiten Systeme, Softwares und Lösungen das Unternehmen bietet, müssen sie sich nicht mehr um eine vermeintliche Ersatzlösung bemühen. Zudem ist es erforderlich, dass die Fach- und IT-Abteilungen gleichermaßen standardisierte Systemschnittstellen aufsetzen und diese zentral dokumentieren. Die Application Programming Interfaces (API) sind folglich der einzige Weg, über den eine Inter-System-Kommunikation möglich ist. Soll Schatten-IT noch weiter vorgebeugt werden, hilft die Nutzung zentraler Service-Portals, die jederzeit über verfügbare IT-Services informieren oder sie ordern können. Das Portal muss der einzige Zugangs- und Steuerpunkt von technischen Ressourcen sein. Die IT kann im Hintergrund wie der Broker fungieren und intern sowie extern bereitgestellte Technologie orchestrieren.
Anschließend bieten drei Konsolidierungsoptionen die Möglichkeit zu einem adäquaten Umgang mit Schatten-IT. Die erste Option besteht darin, diese Art der IT-Lösung zu legalisieren, indem sie in die zentrale IT überführt wird. Für speziell definierte Technologien sind dann benutzergetriebene Prozesse und somit Schatten-IT akzeptiert. Als zweite Möglichkeit bietet es sich an, zumindest die redundante Schatten-IT zugunsten einer Ersatzlösung abzuschalten. Sollte beides nicht der richtige Weg sein, gibt es die letzte Option, die Schatten-IT bewusst zu belassen. Sie wird dann eng durch die Fachabteilung betreut und in eine zentrale Governance eingebunden. Die fortan bestehende Regulierung der Schatten-IT sollte sich insgesamt gut in die Unternehmenskultur und die gewünschte Arbeitsweise einfügen.
Ein blinder Fleck? Nicht unbedingt!
Schatten-IT ist vielfältig und entsteht aus verschiedenen Umständen. Sie hält sowohl Risiken als auch Chancen für Unternehmen und deren IT-Abteilungen bereit. Elementar ist jedoch, sich in jedem Fall mit dem Thema auseinanderzusetzen und es aktiv anzugehen. Dabei nimmt die IT-Abteilung auch eine weitere wichtige Rolle ein: Sie sollte die Bedürfnisse der Fachbereiche aufnehmen und nachvollziehen. Dadurch soll eine Art Demand-Management entstehen, damit sich alle Mitarbeitenden bei Bedarf melden können. So werden bestehende Anforderungen aufgenommen und Schatten-IT muss sich gar nicht erst entwickeln und in Anspruch genommen werden. Um Schatten-IT vorzubeugen und unter Umständen Vorteile daraus zu gewinnen, lohnt es sich, unternehmensintern offen mit dem Thema umzugehen. So können aus Herausforderungen auch Gewinne werden.
Team affinis
"In einer disruptiven und komplexen Welt unterstützen wir unsere Kunden dabei, genau die Entscheidungen zu treffen, die sie nach vorne bringen. Dafür bieten wir Lösungen aus einer Hand und vertrauensvolle Kundenbeziehungen."
Klicken Sie HIER für mehr Informationen über affinis und folgen Sie uns auf Social Media um nichts zu verpassen:
Noch mehr spannende Beiträge
IT-Trends 2025: Was Unternehmen jetzt wissen müssen
Welche IT-Themen prägen das Jahr 2025? Wir werfen einen Blick auf die wichtigsten Trends, die…
Traditionelles Marketing vs. modernes Marketing: personalisiert, individuell, datengetrieben
Modernes Marketing ist auf die Zielgruppe zugeschnitten, personalisiert und datengetrieben. Welche…
Data Driven Marketing: Die Zukunft des Marketings ist datengetrieben
Was ist datengetriebenes Marketing? Wie funktioniert es? Und welche Vorteile bietet Data Driven…