- Home
- Fachartikel
- Digitale Transformation
- Nicht mehr länger im Dunkeln tappen: Der Umgang mit Schatten-IT
Alle informationstechnischen Systeme, Prozesse und Organisationseinheiten, die in den Fachabteilungen eines Unternehmens ohne das Wissen des IT-Servicemanagements eingeführt und verwendet werden, gehören zur Schatten-IT. Die Anwendungen sind somit nicht durch die IT verwaltet und gesteuert. Die Einführung und Hintergründe dieser IT-Lösungen sind verschiedenen Ursprungs. Mögliche Risiken sind jedoch in den meisten Fällen nicht auszuschließen und Schatten-IT somit mit Vorsicht zu behandeln. Wie sollte die IT-Abteilung mit einer solchen Anwendung und diesem Thema im Allgemeinen umgehen?
Schatten-IT: aktives Management
Schatten-IT existiert in vielen Unternehmen und das häufig unbewusst. Die Mitarbeitenden, die Schatten-IT verwenden, möchten in vielen Fällen nur Lösungen für ihre Probleme finden. Sie bemerken nicht, dass das einige potenzielle negative Auswirkungen oder auch Chancen für das gesamte Unternehmen mit sich bringt. Deshalb ist es umso wichtiger, offen mit dem Thema umzugehen und Schatten-IT aktiv zu managen.
Ein grundlegendes Verbot der Technologien oder IT-Lösungen ist dabei nicht zu empfehlen. Es ist nicht nur schwer, zu kontrollieren, dass Mitarbeitenden keine Schatten-IT nutzen, sondern es könnte auch zu einer Ausbremsung der Wertschöpfung in den Fachbereichen kommen. Zwei Instanzen können jedoch dabei behilflich sein, Schatten-IT aktiv zu managen und gezielt zu steuern: das Enterprise Architecture Management und die IT-Governance. Genauso lässt sich ein drei-Phasen-Modell aufstellen, welches für den richtigen Umgang mit Schatten-IT entscheidend ist.

Phase 1: Identifikation von Schatten-IT
Um zu wissen, welche Schatten-IT im Unternehmen existiert, muss sie zunächst entlang der Geschäftsprozesse identifiziert werden. Hierfür empfiehlt sich ein Vorgehen auf mehreren Ebenen, bei dem sich Informationen über Schatten-IT in den Fachbereichen feststellen lassen. Die Informationen können anschließend zentral beispielsweise durch eine Configuration Management Database (CMDB) oder eine Asset Management Software gespeichert werden.
Die erste Ebene sieht den Einsatz technischer Hilfsmittel vor. Die ausgewählten Tools für Netzwerk-Monitoring und Geräte-Scanning unterstützen dabei, einen Teil der nicht registrierten Informationstechnik zu entdecken und sicherzustellen. Entscheidende Hilfe bieten auch strukturierte Befragungen und Serieninterviews als zweite Ebene. Bei Gesprächen mit den Prozessverantwortlichen der Fachbereiche kann Bewusstsein für die Thematik rund um Schatten-IT geschaffen werden. Das sorgt nicht nur für die nötige Transparenz, sondern auch für Unterstützung aus den Fachabteilungen. Stellt man zuletzt mit der dritten Ebene das von der IT-Abteilung verwaltete Budget den IT-Ausgaben des Fachbereichs gegenüber, ergibt sich aus der Differenz ein weiterer Indikator für Schatten-IT.
Phase 2: Beurteilung von Schatten-IT
Ist eine Lösung identifiziert, die als Schatten-IT zählt, gilt es, sie anhand drei definierter Kriterien zu beurteilen. Die fachliche Relevanz als erstes Kriterium zeigt auf, wie wichtig die Instanz der Schatten-IT für die anwendenden Mitarbeitenden ist. Darüber geben beispielsweise die Useranzahl, die Anwendungsfrequenz, die Datenmenge oder die Kritikalität der unterstützten Geschäftsprozesse Aufschluss.
Die technische Qualität der Schatten-IT-Anwendung ist ein weiterer Indikator. Sie macht deutlich, mit welchem Professionalitätsgrad die Lösung betrieben, gewartet oder weiterentwickelt wird. Zudem beschäftigt sich das Kriterium mit der Qualität der Systemeigenschaften und der Daten.
Als letztes weist die Parallelität auf, ob eine offizielle IT-Lösung verfügbar ist, die die erforderlichen Aufgaben genauso erfüllen und somit übernehmen kann. Parameter, die für dieses Kriterium wichtig sind, sind die Innovationsrate, das für Business und IT bestehende Risiko sowie der Ersetzungsaufwand der Software. Die Risiken können sowohl für die IT-Security als auch für die Entwicklung auftreten.
Phase 3: Kontrolle der Schatten-IT
Nach der ausführlichen Beurteilung der Kriterien sollte zuletzt die Kontrolle von Schatten-IT erfolgen. Individuell angepasste IT-Governance-Strukturen begrenzen künftige Schatten-IT. Die Struktur sollte gemeinsam erarbeitet und entworfen werden, um geeignete Abläufe, Regeln und Prinzipien festzulegen. Dabei lassen sich die exakten Ursachen für diese versteckte IT herausfinden und adressieren. Durch die Adressierung sollten die Fachbereiche hinsichtlich der Schatten-IT gleichzeitig sensibilisiert und geschult werden.
Wenn alle Mitarbeitenden darüber aufgeklärt sind, welche Möglichkeiten hinsichtlich Systemen, Softwares und Lösungen das Unternehmen bietet, müssen sie sich nicht mehr um eine vermeintliche Ersatzlösung bemühen. Zudem ist es erforderlich, dass die Fach- und IT-Abteilungen gleichermaßen standardisierte Systemschnittstellen aufsetzen und diese zentral dokumentieren. Die Application Programming Interfaces (API) sind folglich der einzige Weg, über den eine Inter-System-Kommunikation möglich ist. Soll Schatten-IT noch weiter vorgebeugt werden, hilft die Nutzung zentraler Service-Portals, die jederzeit über verfügbare IT-Services informieren oder sie ordern können. Das Portal muss der einzige Zugangs- und Steuerpunkt von technischen Ressourcen sein. Die IT kann im Hintergrund wie der Broker fungieren und intern sowie extern bereitgestellte Technologie orchestrieren.
Drei Konsolidierungsoptionen
Die fortan bestehende Regulierung der Schatten-IT soll sich gut in die Unternehmenskultur und die gewünschte Arbeitsweise einfügen. Somit bedarf es im Umgang mit Schatten-IT auch einer richtungsweisenden Entscheidung, wie der Umgang mit Schatten-IT ab sofort im Unternehmen stattfindet. Zur Konsolidierung gibt es schließlich drei Möglichkeiten. Die erste Option ergibt sich darin, diese Art der IT-Lösung zu legalisieren, indem sie in die zentrale IT überführt wird. Für speziell definierte Technologien sind dann benutzergetriebene Prozesse und somit Schatten-IT akzeptiert. Allgemein sollte es immer eine verantwortliche Person aus der IT-Abteilung geben, die sich um eine Lösung der Schatten-IT kümmert. Die zweite Möglichkeit besteht darin, zumindest die redundante Schatten-IT zugunsten einer Ersatzlösung abzuschalten. Sollte beides nicht der richtige Weg sein, gibt es die letzte Option, die Schatten-IT bewusst zu belassen. Sie wird dann eng durch die Fachabteilung betreut und in eine zentrale Governance eingebunden.

Individuell der erste Schritt ins Licht
Was bei dem Versuch, Licht ins Dunkel der Thematik Schatten-IT zu bringen, heraussticht, ist die Fülle der Möglichkeiten. Jedes Unternehmen kann seinen individuell geeigneten und angepassten Weg beim Umgang mit Schatten-IT verfolgen, sofern es sich mit den Problemen in der Informationssicherheit sowie mit den Auswirkungen beispielsweise auf das IT-Servicemanagement, die Kosten und die Compliance-Aspekte beschäftigt. Elementar ist jedoch, sich in jedem Fall mit dem Thema auseinanderzusetzen und es aktiv anzugehen.
Dabei nimmt die IT-Abteilung auch eine weitere wichtige Rolle ein: Sie sollte die Bedürfnisse der Fachbereiche aufnehmen und nachvollziehen. Dadurch soll eine Art Demand-Management entstehen, damit sich alle Mitarbeitenden bei Bedarf melden können. Das Demand-Management-System nimmt bestehende Anforderungen auf und Schatten-IT muss sich gar nicht erst entwickeln und in Anspruch genommen werden. In unserer Schatten-IT Checkliste haben wir Ihnen alle Prozessschritte der einzelnen Optionen beim Umgang mit Schatten-IT noch einmal zusammengefasst. So haben Sie zu jeder Zeit einen Überblick über die Möglichkeiten und Vorgehensweise mit Ihrer Schatten-IT. Zudem können Sie bei allen Fragen zum individuellen Umgang mit Schatten-IT in Ihrem Unternehmen jederzeit gerne auf uns zukommen.

Carlos Jäger
Die Wahrung der Informationssicherheit durch den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sind das Fundament der Sicherheit unserer digitalen Arbeitswelt. Als Teil des Teams Information Security ist es mir und meinen Kolleg:innen ein großes Anliegen, dieses Fundament stetig weiter auszubauen und unser Umfeld dabei täglich sicherer zu gestalten.
Noch mehr spannende Beiträge
Microsoft KI Use Cases: Dynamics 365 für intelligente Geschäftsprozesse
In unserem Blogartikel erhalten Sie eine Übersicht über Beispiele und Use Cases von Microsoft…
Regulatorische Anforderungen in Self Service-Szenarien und der IDV mit Microsoft Power BI meistern
Wie lassen sich die regulatorischen Anforderungen der IDV in Self Service-Szenarien mit Microsoft…
Erfolgreiche S/4HANA-Einführung: 7 Tipps und Best Practices für Ihr Projekt
Unsere SAP-Expert:innen verraten ihre sieben wichtigsten Tipps und Best Practices für die…