Schatten-IT

Aufgrund der Aktualität des Themas hat sich für den Begriff Schatten-IT noch kein einheitliches Verständnis herausgebildet. In der gegenwärtigen Diskussion lassen sich zwei unterschiedliche Teilaspekte erkennen: zum einen die Formen der eigenständigen Informationsversorgung der Fachbereiche und Mitarbeiter, die unter den Begriff fallen, und zum anderen die Frage, was den ,,Schatten“ ausmacht. 

In Bezug auf die Formen der Schatten-IT setzen Praktiker und insbesondere Softwarehersteller Schatten-IT oft mit der unkontrollierten Verwendung von IT-Services aus der Cloud gleich. Jedoch zeigt sich, dass Fachbereiche auch die IDV sowie komplexe Lösungen wie beispielsweise Shop-Floor- Systeme in unkontrollierter Formverwenden. Auch diese Form der IT-Unterstützung der Prozesse kann problematisch sein, daher ist aus Risikosicht die weitere Fassung vorzuziehen. 

Hinsichtlich der Frage nach dem ,,Schatten“ wird häufig von Schatten-IT gesprochen, wenn die IT-Abteilung keine Kenntnis über eine Anwendung hat. Die Unterscheidung zwischen Kennen und Nicht-Kennen ist jedoch sehr unscharf und damit wenig praktikabel. Zudem ist die IT-Abteilung in der Praxis in vielen Fällen zwar über Anwendungen im Fachbereich informiert, dennoch hat sie keinen Zugriff auf diese IT-Lösungen. Unabhängig vom Kenntnisstand haben alle Ausprägungen der Schatten-IT aber das Fehlen einer bewussten übergreifenden Planung der IT-Services gemeinsam. Von daher bietet sich als umfassende Begriffsdefinition an, unter Schatten-IT sämtliche geschäftsprozessunterstützende Systeme zu fassen, die weder technisch noch strategisch in das IT-Servicemanagement des Unternehmens eingebunden sind [4]. 

Als zentrale Ursache für die Entstehung von Schatten-IT wird grundsätzlich eine mangelhafte Abstimmung von Fachbereich und IT gesehen. Jedoch zeigt sich, dass auch bei einem guten Business-IT-Alignment Schatten-IT auftreten kann. Benutzer entscheiden sich dann für die Schatten-IT, wenn sie aus ihrer Sicht leichter zu realisieren ist. Dies spiegelt sich auch in Umfragen aus der Praxis wider: gemäß einer Studie der IDC glauben 42%der befragten CIOs, dass die Fachbereiche eine höhere Geschwindigkeit der IT-Projekte wünschen [5].  Ein wirksames Verhindern dieser Aktivitäten im Fachbereich durch die IT-Abteilung ist demnach nicht möglich, wodurch Fragen an die Folgen und den Umgang mit Schatten-IT entstehen.

Das Wesen der Schatten-IT besteht wie beschrieben darin, dass die Fachbereiche in den Unternehmen eigene IT-Services entwickeln und betreiben, ohne dass diese in das Servicemanagement eingebunden sind. Daraus resultiert zunächst einmal Intransparenz über die tatsächliche IT-Unterstützung.

Dementsprechend fehlen auch Informationen über die Abhängigkeit der Prozesse von Technologien. Des Weiteren entspricht der Grad an Professionalität des Fachbereiches in IT-Fragen in vielen Fällen nicht den Ansprüchen. Dies zeigt sich im Unterlassen wesentlicher IT-Aufgaben wie beispielsweise dem Testen oder Dokumentieren. Insbesondere aber kann in der Praxis das fehlende Risikobewusstsein der Beteiligten zum Problem werden [6]. 

Die Bedeutung der Schatten-IT wird vielfach systematisch unterschätzt; beispielsweise glauben gemäß einer Umfrage des IT-Dienstleisters British Telecom 22% der befragten CIOs nicht, dass zentrale Systeme durch den Fachbereich selbst betrieben werden [7]. Dagegen zeigen aktuelle Studienergebnisse, dass Schatten-IT überwiegend prozesskritisch ist, das heißt also, dass die Erzielung des Prozessergebnisses vom Funktionieren der Schatten-IT ganz oder wesentlich abhängt (Abb. 1). 

Überdies schätzen IT-Verantwortliche die Effektivität der Kontrollsysteme falsch ein. In einigen Unternehmen wird durch Genehmigungsprozesse versucht, die Fachbereiche vom IT-Beschaffungsmarkt fernzuhalten. Dies kann jedoch dazu führen, dass der Fachbereich die gewünschte Prozessunterstützung statt mit externer Unterstützung in Eigenregie erstellt. Die Qualität solcher allein intern erstellten Lösungen ist nach der oben genannten Studie jedoch deutlich geringer als die der zugekauften Lösungen. Im Ergebnis haben diese Unternehmen dann größere Risiken zu verzeichnen. 

In der Diskussion in Wissenschaft und Praxis besteht auf der einen Seite weitgehend Einigkeit, dass die Schatten-IT nicht einfach ignoriert werden sollte. Die oben beschriebenen Risiken unterstreichen die hohe Relevanz der Schatten-IT zusätzlich. Auf der anderen Seite wird bis auf wenige Ausnahmen auch von einem Verbot der Schatten-IT abgeraten. Zudem ist zu bezweifeln, dass ein solches Verbot auch wirklich durchgesetzt werden kann, da die Fachbereiche zu viele Möglichkeiten haben, dieses zu umgehen. Darüber hinaus werden Verstöße gegen Regelungen der IT-Governance nur in wenigen Unternehmen wirklich sanktioniert. 

Als Maßnahme bleibt also nur, den Fachbereich als Akteur bei der Erstellung von IT-Leistungen zu akzeptieren und den Wildwuchs sowie auch die Risiken durch ein gezieltes Management der dezentralen IT zu reduzieren [9]. Nachfolgend werden die zentralen Schritte zum Management der Schatten-IT vorgestellt (Abb. 2) [4]. 

Im Rahmen der Erhebung ist zunächst zu erfassen, welche Schatten-IT im Unternehmen eingesetzt wird. Hierzu sind einige Werkzeuge zum Scannen der Unternehmens-IT verfügbar. Jedoch ist es zwingend notwendig, einen Bezug zu den Geschäftsprozessen des Unternehmens herzustellen. Das Scannen kann also nur ein Teilschritt sein. In einem weiteren Schritt sollten mit den Prozessverantwortlichen Interviews über die tatsächliche IT-Unterstützung der Prozesse geführt werden. Im Ergebnis liegt eine Dokumentation der Ist- Architektur inklusive der dezentralen Schatten-IT vor. Im Anschluss müssen in der Phase der Bewertung die aufgedeckten Schatten-IT-Instanzen hinsichtlich ihres Risikos und ihrer Qualität analysiert werden. Das Risiko einer Schatten-IT-Instanz ergibt sich aus der Relevanz des unterstützten Prozesses und der Rolle der Schatten-Anwendung in diesem (wie in Abb. 1 zu sehen) [10]. Die Qualität einer Schatten-IT-Lösung lässt sich anhand von Parametern wie etwa der technischen Eignung, der Nachvollziehbarkeit und der Prozessautomatisierung vornehmen. 

In der Phase Steuerung können schließlich aus der Bewertung entsprechende Handlungsempfehlungen abgeleitet werden. Für qualitativ gute, aber geschäftlich wenig relevante Lösungen (bspw. eine grafische Aufbereitung der Vertriebsdaten mit Excel) genügt es, die Lösungen zu registrieren; dies trifft gemäß der obigen Schatten-IT Studie jedoch nur für etwa 36%aller Schatten-IT-Instanzen zu. Hierdurch wird die vollständige Transparenz sichergestellt. Lösungen von höherer Relevanz und guter Qualität können für die Abwicklung der Geschäftsprozesse entscheidend sein. Die Qualität sollte daher durch eine Koordination der IT-Aufgaben zwischen Fachbereich und IT sichergestellt und aufgewertet werden. Außerdem sind mögliche Ineffizienzen zu beachten. Durch das Koordinieren erfolgt eine genaue Zuordnung von Aufgabenverantwortlichkeiten für einzelne Schatten-IT-Instanzen bspw. anhand von Risikoaspekten und ökonomischen Gesichtspunkten. Durch das Koordinieren können auch Quick-Wins realisiert werden; die Einführung einer Versionierung von Spreadsheets oder einer Testinstanz stellen dafür typische Beispiele dar. 

Das Renovieren einer Schatten-IT-Instanz wird notwendig, wenn das System den Anforderungen nicht gerecht werden kann; beispielsweise wenn komplexe Aufgaben wie etwa die Produktionsplanung in MS Excel implementiert wurden. Nach dem Abschluss eines initialen Schatten- IT-Projektes ist auch die langfristige Steuerung der dezentralen IT zu planen. Ziel hierbei ist es, eine sinnvolle Arbeitsteilung zwischen Fachbereich und IT zu erreichen. Die IT sollte dabei vor allem im Bereich der Cloud Services flexible Angebote machen und als Coach der Fachbereiche auftreten [11]. 

Aufseiten der Praxis ist für die Zukunft von einer wachsenden Bedeutung der Schatten-IT durch das zunehmende Angebot an Cloud Services und die gestiegenen technischen Fähigkeiten der Fachbereiche auszugehen. Zudem erhöht auch die stärkere Durchdringung der Unternehmen mit IT, hier seien insbesondere die Stichworte Internet of Things oder Industrie 4.0 genannt, die Beteiligung der Fachbereiche bei der Technologieeinführung. Gleichzeitig wachsen auch Risikobewusstsein und regulatorische Anforderungen, sodass mehr Unternehmen beginnen, sich mit dem Thema Schatten-IT auseinanderzusetzen. Die Schatten-IT wird also mehr in den Mittelpunkt der Betrachtung rücken. 

In der wissenschaftlichen Auseinandersetzung mit dem Thema Schatten-IT steht bisher der kurzfristig orientierte Umgang mit den bestehenden Instanzen im Blick. Es ist zu erwarten, dass insbesondere die Fragen nach dem langfristigen Management der Schatten-IT für die Zukunft auf der Agenda stehen. Dabei ist zu diskutieren, wie durch eine angepasste IT-Governance die Zusammenarbeit von Fachbereich und IT so gestaltet werden kann, dass dem zunehmend dezentralen Charakter der IT-Unterstützung Rechnung getragen wird, ohne den zentralen Blick auf die IT-Lösungen im Unternehmen zu verlieren.

Zentraler Erfolgsfaktor hierfür ist die intelligente Arbeitsteilung zwischen Fachbereich und IT: die IT muss ihre Größenvorteile und ihren Kompetenzvorsprung beispielsweise bei der IT-Sicherheit einbringen, um hoch spezifische IT-Aufgaben im Fachbereich für das Unternehmen zu optimieren. In der Praxis bedeutet dies zum Beispiel, dass die IT-Abteilung den Fachbereich bei der Vertragsgestaltung mit Cloud-Service-Dienstleistern beratend unterstützt, wenn darüber hinaus aufgrund der hohen fachlichen Spezifität des Cloud-Services durch die IT keine weitere Leistung erbracht werden kann. 

1. Behrens S (2009) Shadow systems: the good, the bad and the ugly. Commun
ACM 52(2):124–129

2. CIO.de (o. J.) Thema Schatten-IT, http://www.cio.de/topics/schatten-it ,284194,letzter Zugriff: 24. August 2015

3. Cloud Security Alliance (2015) Cloud Adoptions Practices & Priorities Survey Report

4. Zimmermann S, Rentrop C, Felden C (2014) Managing Shadow IT Instances –
a Method to Control Autonomous IT Solutions in the Business Departments. In:
20th Americas Conference on Information Systems

5. Yates M (2014) Shadow IT is not just the CIO’s problem — it is the CFO’s problem, idcciosummit.com/vienna/insight/detail/topic-6/, letzter Zugriff:
24. August 2015

6. Haag S (2015) Appearance of Dark Clouds? – An Empirical Analysis of Users’
Shadow Sourcing of Cloud Services. In: Wirtschaftsinformatik Proceedings 2015,
Paper 96

7. British Telecommunications (2014) Creativity and the modern CIO research – global results, http://de.slideshare.net/btletstalk/creativityandthemodern-cioglobal ,letzter Zugriff: 24. August 2015

8. Rentrop C, Zimmermann S, Huber M (2015) Schatten-IT ein unterschätztes Risiko? In: D·A·CH Security 2015, S 291–300

9. Chua C, Storey V, Chen L (2014) Central IT or Shadow IT? Factors Shaping Users’ Decision to Go Rogue With IT. In: 35th International Conference on Information Systems, Auckland, New Zealand

10. Fürstenau D, Rothe H (2014) Shadow IT systems: discerning the good and the evil. In: 22nd European Conference on Information Systems, Tel Aviv, Israel

11. Mauerer J (2014) Governance-Dilemma durch die Schatten-IT, www.cio.de/a/governance-dilemma-durch-die-schatten-it,2943550,  letzter Zugriff: 24. August 2015

Christopher Rentrop 
Stephan Zimmermann
kips, HTWG Konstanz,
Brauneggerstraße 55, 78462 Konstanz

E-Mail

© Springer-Verlag Berlin Heidelberg 2015