Shadow IT
Risiken und Chancen

Schatten IT ist für CIOs, CTOs und CFOs Fluch und Segen zugleich. Einerseits versteckt sich in der Shadow IT aufgrund der hohen Agilität und dem flexiblen Herangehen an die Prozesse ein hohes Innovationspotenzial. Andererseits laufen IT Systeme Gefahr bestehende Compliance Regeln zu verletzen oder die Sicherheit aufs Spiel zu setzen.

In diesem Text wird erklärt, was Schatten IT ist und wie man sie identifizieren kann. Weiterhin geht der Text den Fragen nach, wie Shadow IT entsteht, ob es sich dabei um etwas Schlechtes handelt und was die möglichen Risiken sind. Abschließend wird behandelt, wie die Kontrolle von Shadow IT funktioniert und wie man das Beste daraus machen kann.

Was ist Shadow IT?

Shadow IT ist ein Sammelbegriff für jegliche Form von Technologie, die die Mitarbeiter ohne eine Zustimmung oder das Wissen der IT-Abteilung in den Unternehmen einsetzen. Die Schatten IT ist demnach weder technisch noch strategisch im Unternehmen eingebunden.

Es zeigt sich wie durchdringend das Phänomen Schatten IT ist, wenn man sich vor Augen führt wie viele Mitarbeiter in den Unternehmen beispielsweise Messaging-Dienste von Drittanbietern nutzen, um Unternehmenskommunikation durchzuführen. Allerdings gibt es noch viele weitere Einsatzgebiete von Shadow IT, die sich grob in Hardware- und Software unterscheiden lassen.

Ein Teilaspekt ist Social Software, wo vertrauliche oder arbeitsbezogene Themen von den Mitarbeitern besprochen werden – dazu zählen beispielsweise Social Media oder Messaging Dienste. Außerdem tritt Schatten IT da auf, wo IT Services von externen Dienstleistern genutzt werden. Dabei handelt es sich beispielsweise um Webmail Dienste, Software as a Service oder Cloud Services.

Ein weiterer Bereich von Shadow IT sind eigenentwickelte Applikationen durch Fachabteilungen oder einzelne Mitarbeiter. Die Bandbreite reicht hier von Excel- oder Access-Anwendungen bis hin zu eigenständigen Software-Anwendungen.

Zusätzlich beschreibt der Begriff Shadow IT die Einbindung von Hardware, die nicht zum offiziellen IT-Bestand gehört. Dazu gehören beispielsweise eigene PCs, Drucker oder Router, die von Fachabteilungen beschafft werden. Dementsprechend zählt auch die Einbindung von Smartphones, Tablets oder Wearables in den Bereich Shadow IT.

Wie entsteht Shadow IT?

Shadow IT entsteht oftmals, wenn die vorhandenen IT-Systeme im Unternehmen nicht ausreichend sind, um Aufgaben zu erledigen. Wird eine Fachabteilung oder ein Mitarbeiter mit einer Aufgabe konfrontiert, für deren Bearbeitung eine neue Anwendung nötig ist, besteht der erste Schritt darin zum CIO, CTO oder CFO zu gehen und mit ihm über eine Lösung zu sprechen. In diesem Gespräch geht es um ein Tool oder eine Anwendung, die die Prozesse optimieren oder die Arbeitsabläufe effektiver gestalten sollen.

Allerdings stehen einer Durchführung des Umsetzungsplans oft verschiedene Unternehmensrichtlinien im Weg. Geräte, Apps oder Software, die in die IT-Infrastruktur eingebunden werden sollen, müssen erst eine Reihe von Auflagen und Voraussetzungen erfüllen. Oft ist es sehr schwierig die Hürden zu überwinden, um die neue Lösung in einem vertretbaren Kosten- und Zeitrahmen einzubinden.

Der Bereichsleiter und die Fachabteilung müssen die Aufgabe allerdings immer noch zeitgerecht bearbeiten und suchen nach alternativen Lösungen – beispielsweise mit Excel- oder Access-Lösung oder einem Abonnement bei einem Cloud Computing Anbieter. Zwar ist es wahrscheinlich, dass die Shadow IT bei der Erledigung der Aufgabe hilft, aber Führungskräfte in der IT haben irgendwann ein größeres Problem, wenn nämlich große Teile der Prozesse von einer unkontrollierten und ungeregelten IT Infrastruktur abhängig sind.

Diese oder ähnliche Phänomene tauchen schon heute in den meisten Unternehmen auf und sind durchaus Resultat von allgemeineren Umweltbedingungen, wie einem erhöhten Bürokratieaufwand oder der Verschmelzung von Privatleben und Arbeit.

Vor allem das Aufkommen von Mobile Devices hat dazu beigetragen, dass Schatten IT entsteht. Denn viele Mitarbeiter nutzen ihre privaten internetfähigen Endgeräte ebenfalls für Unternehmenskommunikation. Weiterhin kommt es vor, dass Mitarbeiter den Arbeits-PC oder -Laptop auch im privaten Bereich nutzen.

Ist Shadow IT etwas Schlechtes?

Der Begriff Shadow IT ist mit negativen Assoziationen behaftet. Allerdings muss Shadow IT nicht zwingend etwas Negatives bedeuten, denn schließlich werden mit ihrer Hilfe oftmals Lösungen angestrebt, die im Unternehmen mit der bestehenden IT-Architektur nicht gefunden werden können. CIOs, CTOS und CFOs stehen vor der Aufgabe zwischen der Schatten IT und den Gründen für deren entstehen zu differenzieren. Dadurch ergibt sich ein Bild, dass nicht die Schatten IT selbst etwas Problematisches darstellt, sondern die dafür verantwortlichen Voraussetzungen im Unternehmen. Denn in einem Unternehmen, wo neue Technologien und Prozesse schnell implementiert werden können, ist eine Shadow IT nicht zwingend notwendig.

Trotzdem gibt es einige Kritikpunkte an Shadow IT Strukturen. Erstens entstehen in den Unternehmen inkonsistente Arbeitsweisen und logische Abläufe, die nicht mehr integriert werden können oder aufeinander abgestimmt sind. Zweitens entstehen im Unternehmen Extrakosten, weil traditionelle Anwendungen und Schatten IT finanziert werden müssen. Drittens kann es im Unternehmen zu ineffizienten Prozessen kommen, wenn mehrere technische Lösungen für ein und dasselbe Problem existieren. Viertens kommt es zu einem Verlust des Innovationspotenzials in der traditionellen IT-Abteilung, weil dort der Support durch die Fachabteilungen fehlt.

Hinzu kommen Bedenken hinsichtlich Security des Unternehmens, IT Sicherheit, Corporate Governance oder Netzwerksicherheit. Allerdings muss Shadow IT nicht zwingend etwas Schlechtes sein. Shadow IT kann die Produktivität erhöhen, Innovationen voranbringen oder Talente auf dem Arbeitsmarkt anziehen.

Welche Risiken gibt es?

Shadow IT ist in den Companies ein weitreichendes Phänomen. Wie das Telekommunikationsunternehmen Cisco in einer Umfrage herausfand, benutzten achtzig Prozent der Endnutzer in den Unternehmen Software, die nicht von der IT freigegeben wurde. Weiterhin gaben 83 Prozent der befragten IT-Mitarbeiter geben zu, dass sie Shadow IT bei der Arbeit nutzen. Und nur acht Prozent der Unternehmen gab an, dass sie über das Ausmaß von Shadow IT im Unternehmen Bescheid wissen.

Daraus entsteht für die Unternehmen die riskante Situation, dass Shadow IT einerseits sehr groß ist und weiter wächst und dass andererseits das Wissen darüber relativ gering ist. In vielen Unternehmen gilt es diese Kluft zunächst zu überwinden, bevor weitere Risiken betrachtet werden können.

Ein weiteres Risiko betrifft die IT Sicherheit und die Security des Unternehmens. Da unkontrollierte Software und Hardware genutzt werden, besteht für die IT keine Möglichkeit die Datensicherheit zu gewährleisten. Wenn beispielsweise ein privates Endgerät eines Mitarbeiters gehackt wird, können dabei auch unternehmensinterne Informationen nach außen dringen, ohne dass die IT-Abteilung davon etwas weiß.
Insgesamt erhöht Schatten IT das Sicherheitsrisiko in einem größeren Maße. Durch Schatten IT kann es vermehrt zu Datenverlusten oder der Veruntreuung sensibler Informationen kommen. Weiterhin führt Schatten IT zu Compliance-Problemen, wenn die Richtlinien und Regeln in den Unternehmen nicht mehr eingehalten werden.

IT Manager haben das Problem, dass Shadow IT ein sehr großes Gebiet darstellt, dass nur schwer zu überblicken, einzudämmen oder kontrollieren ist – schließlich gilt auch die Nutzung privater Anwendungen im beruflichen Umfeld als Schatten IT. Aus diesem Umstand ergeben sich ebenfalls ineffiziente Strukturen. Denn Shadow IT kann Umstrukturierungen und Weiterentwicklungen im Unternehmen bremsen.

Kontrolle von Shadow IT

Es gibt verschiedene Möglichkeiten Shadow IT zu kontrollieren. Beispielsweise können im Unternehmen Richtlinien und Guidelines erstellt werden, die die Compliance-Regeln klar und verständlich definieren. Dabei sollte es vor allem um die Themen IT Sicherheit und Netzwerksicherheit gehen.

Außerdem ist es möglich Kontrollmechanismen wie Firewalls einzuführen oder die IT Infrastruktur mittels Monitoring zu überwachen, um Unregelmäßigkeiten festzustellen. Zusätzlich bietet sich die Möglichkeit der Schatten IT den Nährboden zu entziehen, indem neue Technologien und Anwendungen im Business angeboten werden.

Bevor bei Corporate Governance die Guidelines und Policies aufgestellt werden können, sollte eine Übersicht über die bestehende IT Infrastruktur erstellt werden. Dort wird definiert, inwieweit die einzelnen IT Einheiten einen Einfluss aufs Kerngeschäft des Unternehmens haben. Die verschiedenen Einheiten werden dann in drei Kategorien aufgeteilt: sanktionierte, autorisierte aber nicht sanktionierte und verbotene Anwendung oder Technologien. Auf Grundlage dieser Übersicht können Entscheidungen hinsichtlich neuer Anwendungen oder Technologien besser getroffen werden und die bestehende Struktur der Schatten IT besser erklärt werden.

Das Beste aus Shadow IT machen

Schatten IT kann durchaus positive Effekte im Unternehmen auslösen und muss nicht ausschließlich etwas Negatives sein. Wenn man es richtig anstellt, kann man Schatten IT auch zum Vorteil nutzen. Zum Beispiel lässt sich im Unternehmen die Produktivität steigern, eine kostengünstige Lösung finden oder Innovation vorantreiben.

Es ist sogar möglich eine Shadow IT auf dem Level der Corporate Governance im Unternehmen einzuführen – beispielsweise durch eine offene Cloud Lösung, wo BYOD (Bring Your Own Device) erlaubt ist. Hier sind einige weitere mögliche Vorteile von Shadow IT in einem solchen Umfeld:

Verlässliche Datensicherung und Backups

Data Ownership: jede Datei hat einen Besitzer

Metadaten darüber wer mit den Daten arbeitet

Kontrolle über Zugriffsrechte

Kontrolle über unternehmensfremde Geräte, wie zum Beispiel - Mitarbeiter-Smartphones

Datenverschlüsselung auf Cloud gewährleistet

Es ist für die Unternehmensführung wichtig, die Schatten IT in neuem Licht zu sehen und die Vorteile zu erkennen. Shadow IT hat inzwischen nicht mehr ein ausschließlich negatives Image, sondern wird als hilfreiches Tool angesehen mit dem in den Unternehmen ein neues Denken entstehen kann und Innovationen vorangetrieben werden. Wenn sich CIOs, CTOs und CFOs ausschließlich damit beschäftigen, Schatten IT auszumerzen verschwenden sie wertvolle Ressourcen und dämmen wohlmöglich viel Entwicklungspotenzial ein.

Weiterhin ist es wichtig, die Schatten IT Lösungen ernst zu nehmen, die Gründe für das Entstehen nachzuvollziehen und sich zu überlegen, welche alternativen Optionen angeboten werden können. Oftmals funktioniert die Schatten IT Lösung so gut, dass sie in die Unternehmens-IT eingefügt werden kann.
Beim Entstehen der Shadow IT geht es für die Mitarbeiter und Fachabteilungen darum, dass die Arbeit vereinfacht wird und sich Prozesse effizienter gestalten lassen. Eine Schatten IT, die auf diesen Vorgaben beruht kann auch im gesamten Unternehmen erfolgreich sein.

Grundlegend ist es allerdings sich einen Überblick über die vorhandene Shadow IT im Unternehmen zu verschaffen und dabei alle denkbaren Aspekte und Teilbereiche von Shadow IT zu untersuchen. Hier ist eine sensible Herangehensweise an die Thematik gefragt um alle Nutzungsbereiche mit zu erfassen.

Anschließend ist es möglich zu untersuchen, ob Sicherheitsrisiken bestehen. Und die Potenziale der Schatten IT können evaluiert werden. Dadurch kann geklärt werden, ob die Technologien der Schatten IT effizient sind, ob sie den Workflow tatsächlich verbessern und ob eine Unternehmenslösung denkbar ist.

Insgesamt ist Shadow IT ein sehr weites, differenziertes Feld welchem im Unternehmen auf verschiedene Art und Weise reagiert werden kann. Führungskräfte müssen sich einen Überblick über das Thema verschaffen, um die Risiken gering zu halten und vorhandene Potenziale auszuschöpfen.