Schatten-IT – Nur Dunkel oder auch ein bisschen Licht?
4. Dezember 2014
„Als Schatten-IT werden […] geschäftsprozessunterstützende IT-Systeme, IT-Serviceprozesse und IT-Mitarbeiter in den Fachabteilungen bezeichnet, die weder technisch noch strategisch in das IT-Servicemanagement der Organisation eingebunden sind.“
[C. Rentrop, http://kips.htwg-konstanz.de/index.php/de/schatten-it/dasphaenomen]
Gibt es bei Ihnen auch eine Schatten-IT? Haben Sie sich mal umgeschaut? Und tatsächlich etwas entdeckt, das in diese Kategorie fallen könnte? Dann sind Sie bei weitem nicht allein! Untersuchungen zufolge sollen allein in größeren Unternehmen bis zu 50% (!) der Infrastruktur in der sog. Schatten-IT anzusiedeln sein. Und selbst 20-30% wären ja schon eine „Hausnummer“, die vielen IT-Verantwortlichen kalte Schauer über den Rücken jagt …
„Von BYOD bis Excel …“
Der Beispiele sind zahlreich – sie reichen von „Bring your own device“ über die vielfach zitierten Cloud Services und Social Media Apps bis hin zu Webkalendern oder einfachen Exceltabellen:
- „Bring your own device“ – private Laptops, Tablets, Smartphones
- SaaS-Anwendungen, z.B. Microsoft Office 365 (Web Apps), Google Docs, Salesforce (CRM), Trello (Collaboration/Projektmanagement)
- Cloud-Speicher/Dateiaustausch, z.B. Dropbox, iCloud, OneDrive, Google Drive
- Social Media Apps, z.B. Facebook, Twitter, Tumblr, WhatsApp
- Hardware, z.B. vom zuständigen IT-Bereich nicht erfasste Speichermedien, Drucker, Server
- Eigenentwickelte Anwendungen/Datensammlungen auf Basis von Excel, Word oder Access
„Schatten-IT ist Notwehr …“
Wie aber entstehen diese Ausprägungen von Schatten-IT? Die Antwort darauf ist meistens, dass die IT aus Sicht der Fachbereiche schlicht nicht die Services liefert, die gebraucht werden. Oder dass nicht schnell genug geliefert wird. Oder dass die Qualität nicht stimmt. Ursachen und Gründe lassen sich grob folgendermaßen zusammenfassen:
- Verantwortlichkeiten, Rollen, Prozesse im Rahmen der Serviceerbringung sind IT-seitig nicht oder nicht hinreichend definiert bzw. innerhalb der Organisation kommuniziert und transparent gemacht.
- Die „Regeln der Zusammenarbeit“ zwischen IT und Fachbereichen orientieren sich entweder nicht genügend an den Kundenbedürfnissen (und damit oft auch den Marktanforderungen) – sind z.B. zu starr und unflexibel, zu „bürokratisch“ – oder sie bieten zu viele Freiräume und geben kein zweckmäßiges und zielführendes Rahmenwerk.
- Der IT-Bereich ist aufgrund von personellen oder budgetbezogenen Restriktionen nicht in der Lage, Services im benötigten Umfang und Zeitrahmen zu liefern.
- Im IT-Bereich ist das zur Lieferung eines Services erforderliche Know How nicht in ausreichendem Maße vorhanden, insbesondere bei speziellen Anforderungen oder im Zusammenhang mit neuen Technologien.
- Fachabteilungen wird innerhalb der Organisation eine hohe Autonomie verliehen, im Rahmen der Unternehmensstrategie sollen Fachabteilungen weitestgehend autark und eigenverantwortlich agieren können, so dass auch die Abhängigkeiten vom internen IT-Bereich tendenziell minimiert werden.
- Dezentrale Organisation und Internationalisierung sowie immer leichterer Zugang z.B. zu cloud-basierten Technologien fördern die Bildung von Insellösungen.
„Wo Schatten ist …“
Natürlich birgt Schatten-IT Risiken, die durchaus erheblich und unternehmenskritisch sein können – hier seien vor allem die Themenfelder IT Security, Datenschutz, Datensicherheit und -integrität, IT Compliance und Revision/Audits genannt. Schatten-IT ist per Definition nicht Teil des IT-Servicemanagements einer Organisation, hängt daher betreuungstechnisch oft „in der Luft“, so dass bei Problemen und Ausfällen scheinbar niemand verantwortlich ist. Auch sind häufig mangelnde Qualität und Robustheit festzustellen, so dass es zu negativen Auswirkungen auf andere Systeme/Bereiche/Prozesse kommen kann. Kein Wunder also, wenn IT-Verantwortliche als Konsequenz eine strikte „Keine-Schatten-IT“-Linie verfolgen.
„… da ist auch Licht …“
Eine solche Zero-Tolerance-Politik würde aber die sich hier bietenden Chancen ignorieren und ungenutzt liegen lassen. Denn oftmals stecken in den von den Fachbereichen gefundenen Lösungen hervorragende Ansätze, die die IT-Kollegen aufgreifen und professionalisieren und so zu qualitativ hochwertigen Services ausbauen können. Hier gilt es, Innovationspotential in Zusammenarbeit mit den Fachbereichen zum Nutzen aller zu heben und so vielleicht sogar schneller als sonst Verbesserungen ins Unternehmen zu tragen! Und dadurch, dass der „interne Kunde“ den Lösungsansatz selbst geliefert hat, darf man zusätzlich mit höherer Nutzerakzeptanz und -zufriedenheit rechnen. Denn wer wünscht sich nicht eine IT, die ihren Anwendern zuhört und auf deren Bedürfnisse eingeht?
„Partner und Berater auf Augenhöhe …“
Selbstverständlich muss der IT-Bereich auch mit Schatten-IT jederzeit vollumfänglich und transparent darüber informiert sein, was wo wie und wann an IT-relevanten Systemen, Prozessen, Komponenten, Lösungen, Verträgen, usw. vorhanden ist, um seiner Verantwortung gerecht werden zu können. Und Regeln hin, Verbote her, werden Anwender – zusätzlich unterstützt durch neue Technologien – immer kreative Mittel und Wege finden, ihre eigenen Lösungen „im Schatten der IT“ zu etablieren. Will die IT sich gegenüber den Fachbereichen als „Partner und Berater auf Augenhöhe“ positionieren, sollte man diesem Umstand Rechnung tragen.
„If you can’t beat them …“
Nach dem Motto „If you can’t beat them, join them“ hat das Konstanzer Institut für Prozesssteuerung (kips) eine Methodik entwickelt, die Schatten-IT erfasst, bewertet und anschließend Handlungsempfehlungen ausspricht, um sie zu legalisieren und in die Kernsysteme zu integrieren.
› Erhebung
Zunächst werden die Schatten-IT-Systeme erhoben. Hierzu werden Prozessbeschreibungen, Systemanalysen und HelpDesk-Auswertungen herangezogen zur Vorbereitung von strukturierten Interviews, die die eigentliche Erfassung leisten und so eine „Karte der tatsächlich genutzten IT-Landschaft“ jedes Bereichs liefern.
› Bewertung
Danach werden die so gefundenen Schatten-IT-Systeme bewertet und hinsichtlich der zwei Hauptkriterien „Qualität“ und „Relevanz und Kritikalität“ auf einer Skala von niedrig bis hoch eingestuft. Faktoren wie u.a. Anzahl der Nutzer, Innovation oder Wartungsaufwand werden ebenfalls berücksichtigt. Es entsteht so eine Matrix, die jede Instanz erfasst hat.
› Steuerung
Nun kann man anhand der Matrix alle Schatten-IT-Systeme den Handlungsoptionen „registrieren“, „koordinieren“ und „renovieren“ zuordnen: Instanzen, die unkritisch aber wichtig sind, können weiterbetrieben werden, man muss sie lediglich „registrieren“. Bei anderen Instanzen ist „koordinieren“ angesagt, es müssen z.B. Qualitätsaspekte oder Stabilitätseigenschaften nachgebessert oder sicherheitsrelevante Funktionen hinzugefügt werden, also all die Dinge, die erforderlich sind, damit eine Schatten-IT-Instanz den Anforderungen eines professionellen IT-Servicemanagements genügt. Solche Instanzen oder Systeme, die mit niedriger Qualität aber hoher Kritikalität bewertet wurden, müssen schlussendlich „renoviert“ – d.h. ersetzt – werden.
Das kips empfiehlt, im Rahmen von Projekten mit den besonders kritischen und ungeeigneten Systemen „oben rechts“ in der Matrix anzufangen und danach mit den weniger kritischen und qualitativ hochwertigeren Instanzen weiterzumachen, um so die Schatten-IT eines Unternehmens in den Griff zu kriegen. Bereits durchgeführte Fallstudien zeigen, dass die beiden Bereiche, in denen Handlungsbedarf besteht, durchschnittlich 70% der Schatten-IT ausmachen. Bei den übrigen 30% handelt es sich um unkritische, hochwertige Systeme, bei denen eine Registrierung ausreicht. Pro Abteilung/Fachbereich wird eine Projektdauer von ca. 10 Tagen angegeben.
Wer mehr zu dieser Methodik wissen will, dem sei die Webseite des Konstanzer Instituts für Prozesssteuerung (kips) ans Herz gelegt.
Quelle Foto: © ra2 studio – Fotolia.com
| Keine Kommentare