Hätten Sie angenommen, dass sich in immer mehr Unternehmen eine sogenannte Schatten-IT-Infrastruktur verbreitet? Wie solche Schatten überhaupt entstehen und mit welchen Maßnahmen man diese wieder beseitigt, erfahren Sie hier.

Zunächst zur Begriffsdefinition: Eine Schatten-IT liegt in einem Unternehmen vor, wenn Mitarbeiter Anwendungen nutzen, die ohne Wissen der IT-Abteilung und Geschäftsführung beschafft und nicht im Rahmen des IT-Service-Managements betrieben werden. Im Klartext: Mitarbeiter nutzen in der Firma auf eigene Faust Cloud-Dienste. Dies ist in Unternehmen laut einer europaweiten Studie im Auftrag des Software-Spezialisten VMware keine Seltenheit. Demnach habe bisher fast jeder vierte Beschäftigte (23 Prozent) auf solche Anwendungen bereits zugegriffen und für diese auch bezahlt.

Laut Umfrage schleusen die Mitarbeiter die Ausgaben über Abteilungsbudgets oder Firmen-Kreditkarten durch. Befragt wurden 3.000 Mitarbeiter und 1.500 IT-Entscheider in Deutschland, Großbritannien, Frankreich, den Niederlanden, Italien und weiteren Ländern in Nordeuropa. Im Fokus der „heimlichen Nutzung“ stehen insbesondere Dienste zur Datenspeicherung (55 Prozent), cloud-basierte E-Mail-Dienste (47 Prozent) und Messaging-Services (44 Prozent).

Gründe für die Entstehung einer Schatten-IT

Doch welche Motive bewegen Mitarbeiter überhaupt dazu, Cloud-Lösungen zu bestellen und zu nutzen, ohne dies mit ihrer Unternehmensführung abzustimmen? Nach Angaben der Studie ist vor allem ein Grund für den Aufbau einer Schatten-IT maßgeblich: die Arbeitserleichterung. Flexible Cloud-Lösungen vereinfachen Mitarbeitern ihren Arbeitsalltag, indem diese schnelle und effizientere Prozesse ermöglichen. Zudem helfen derlei Anwendungen bei der Einführung neuer Produkte. Dem Umstand, dass IT-Abteilungen in der Regel zu langsam oder zu spät reagieren, ist es zudem geschuldet, dass sich Mitarbeiter einzelner Abteilungen selbst am offenen IT-Markt bedienen.

Die Hauptursachen sind demnach vor allem hohe Eigenmotivation und Innovationsfreude statt Boshaftigkeit oder schlechte Absicht. Es geht darum, dem eigenen Unternehmen unbürokratisch einen Wettbewerbsvorteil zu verschaffen. Ein häufiger Vorwurf an die zentrale IT ist, sie sei zu unflexibel, starr und hinke den technologischen Anforderungen der Fachabteilungen hinterher.

Gefahren durch eine Schatten-IT

Nun könnte man meinen, eine Schatten-IT sei grundlegend nichts Negatives – schließlich sind die Absichten dahinter klar am Wohle des Unternehmens orientiert. Die Sache hat nur einen Haken: Die Mitarbeiter sind sich nicht der Risiken bewusst, die sie durch unkoordiniertes und intransparentes Cloud-Sourcing eingehen. Die individuellen Vorteile überwiegen zwar gegenüber den Sicherheitsbedenken, doch bringen sie Konsequenzen mit sich. Folgende gravierende Probleme können in Unternehmen durch Schattensysteme entstehen:

• lückenhafte Datensicherheit, schlimmstenfalls entstehen Schlupflöcher für Cyber-Angriffe
• Entstehung von Dateninseln durch Inkompatibilität
• Fragmentierung der IT-Architektur
• veraltete Daten
• fehlende Tests
• unzureichende Dokumentationen
• keine oder falsche Standards
• verdeckte Kosten

Die Vernachlässigung des Datenschutzes ist eine der größten Gefahren, die mit einer Schatten-IT einhergehen. Dadurch verletzen Mitarbeiter unbewusst Datenschutzbestimmungen und bescheren dem Unternehmen unter Umständen schwere rechtliche Probleme. Kritisch wird es insbesondere dann, wenn personenbezogene und sensible Daten unverschlüsselt in eine Public Cloud übertragen werden, die nicht dem deutschen Datenschutzrecht unterliegt. Diese potenziellen Probleme verdeutlichen, weshalb Unternehmen ein berechtigtes Interesse daran haben, eine Schatten-IT abzuschaffen oder diese bereits im Keim zu ersticken.

Schatten-IT lokalisieren

Um Maßnahmen gegen eine Schatten-IT ergreifen zu können, sollte sich die Führungsetage zuvor ein Bild über das genaue Ausmaß des „Schattens“ machen. Dies ist im Grunde ganz einfach: IT-Verantwortliche müssen lediglich die Budgets, die ihre Organisation selbst verwaltet, mit den IT-Ausgaben des Einkaufs abgleichen. Dazu gehören unter anderem Rechnungen für die Monatsmiete von Projektmanagement-Tools oder Speicherkapazitäten. Die Differenz könnte ein erster Anhaltspunkt auf eine bestehende Schatten-IT-Infrastruktur sein.

Möglichkeiten, eine Schatten-IT zu verhindern

Für IT-Abteilungen besteht naturgemäß die Option, den Zugriff auf externe Systeme mittels Sicherheitslösungen radikal zu unterbinden. Einschränkungen und Kontrolle „von oben“ stehen jedoch nicht gerade für einen Vertrauensbeweis. Im Gegenteil: Derartige Maßnahmen sind für die Zusammenarbeit zwischen Fachabteilung und IT-Zentrale kontraproduktiv. Stattdessen sind die folgenden Möglichkeiten sinnvoller, um eine Schatten-IT sukzessive abzubauen bzw. zu verhindern.

1. Entwicklung einer Cloud-Strategie

Eine wesentliche Maßnahme ist es, eine zentrale Cloud-Strategie für das Unternehmen zu konzipieren. Dies fällt in das Aufgabengebiet der Geschäftsführung. Dabei muss diese festlegen, ob und, wenn ja, welche Teile der IT Cloud-basiert organisiert werden können. Dazu muss sie beispielsweise prüfen, inwieweit Software as a Service (SaaS) oder Infrastructure as a Service (IaaS) sinnvoll aus einer Public Cloud bezogen werden kann. Sämtliche Inhalte der Cloud-Strategie sind als IT-Unternehmensrichtlinien zu verfassen und für alle Fachabteilungen als verbindlich zu kommunizieren. 

2. Alle Abteilungen einbeziehen

Um gegen eine Schatten-IT anzugehen, müssen alle Abteilungen mit ins Boot geholt werden. Neben den Fachabteilungen, der IT- und Rechtsabteilung ist auch das Mitwirken des Einkaufs unabdingbar. Oft scheitert ein ganzheitliches Mitwirken aller Abteilungen jedoch an der Ansicht, dass weder IT-Bereich noch Einkauf den neuen Ideen innovativer Mitarbeiter gegenüber aufgeschlossen sind. Sie seien in ihrer Denkweise schlichtweg zu schwerfällig. Wenn jedoch alle Bereiche gemeinsam – unter Mitwirkung der Rechtsabteilung – Standards und Regelungen zur Cloud-Strategie vereinbaren, verschwinden auch die Vorbehalte.

3. Mehr Kompetenz für IT-Mitarbeiter

Man lernt nie aus. Das gilt für jeden Mitarbeiter. Daher sind Schulungen und Fortbildungsmaßnahmen für Mitarbeiter aller Abteilungen sinnvoll. Dadurch entsteht ein tieferes Verständnis von Cloud-Verträgen und Datenschutzbestimmungen. Vor allem die IT-Abteilung kann von solchen Maßnahmen erheblich profitieren. Schließlich ändern sich auch die Anforderungen, die IT-Mitarbeiter bewältigen müssen. Es geht nicht mehr „nur“ um die Betreuung von IT-Architekturen, sondern auch um das Management der diversen Services. So können IT-Mitarbeiter schon bei der Verhandlung von Verträgen aktiv ihr Wissen und ihre Wünsche einbringen. Davon profitieren letztendlich auch die Fachabteilungen, deren Risikobewusstsein mittels Schulungen obendrein geschärft wird.

4. Interne IT hinterfragen

Ignoranz kann nie eine Lösung sein – auch nicht im IT-Bereich. Es gibt Gründe, warum sich Mitarbeiter ihre individuellen Lösungen inoffiziell beschaffen. Daher muss die IT-Führung verstehen und akzeptieren, dass ein Bedarf vorliegt. In der Regel bedeuten nahezu alle genutzten Schattenanwendungen einen Vorteil für den Mitarbeiter und damit auch für das Unternehmen. Daher sollte sich die IT-Organisation selbst hinterfragen, in welchen Bereichen sie dringenden Nachholbedarf hat, um die Bedürfnisse der Nutzer zu erfüllen. Es empfiehlt sich, den „Reset-Knopf“ zu drücken und die Ist-Situation objektiv zu analysieren. Gegebenenfalls ergibt sich daraus die Erkenntnis, dass ein komplettes IT-Service-Management neu aufzusetzen ist. Ehrlichkeit und Offenheit sind entscheidende Faktoren für eine produktive Veränderung.

5. Freiheiten lassen, aber mit Kontrolle

Kontrolle ist gut, Vertrauen kommt besser an. Natürlich sollten sich Mitarbeiter an die vom Unternehmen vorgegebenen IT-Richtlinien halten. Verbote sind jedoch keine geeignete Maßnahme. Diese führen in der Regel zu einer Entmutigung ehrgeiziger Mitarbeiter. Umso wichtiger ist daher eine transparente Aufklärung. Systeme grundsätzlich aus der Cloud abzukapseln, ist ohnehin der falsche Weg. Schließlich kann die IT von Cloud-Lösungen profitieren und damit zum unternehmerischen Erfolg beitragen. Entscheidend sind geordnete und ganzheitliche Strukturen, um Alleingänge in Eigenregie zu verhindern. Ein einzelner Mitarbeiter kann die Risiken einer Schatten-IT nicht allein beurteilen. Daher benötigt er einen Leitfaden, nach dem er vorgehen kann. Mit diesem kann sich der Mitarbeiter in einem „IT-Infrastructure-Library“-konformen Spielraum frei und produktiv bewegen.

6. Gemeinsam Lösungsansätze entwickeln

Es ist für jede Unternehmens-IT hilfreich, den Anwendern genau zuzuhören und auf ihre Bedürfnisse einzugehen. Zusammen können dann gemeinsam Konzepte entwickelt werden, um Prozesse effizienter durchzuführen – sei es mit oder ohne Cloud-Lösung. Voraussetzung dafür ist das Selbstverständnis der IT-Abteilung, nicht mehr alleiniger Anbieter von technologischen Lösungen zu sein. So begegnen sich alle Mitarbeiter unabhängig von Abteilung und Bedürfnis auf Augenhöhe.

Fazit: Licht im Unternehmen verdrängt Schatten in der IT

Cloud-Anwendungen wie SaaS und IaaS haben für Unternehmen große Vorteile. Sie bergen aber auch Gefahren, wenn sie von Mitarbeitern „im Schatten gezüchtet“ werden. Daher müssen Unternehmensleitung und IT-Abteilung eine Cloud-Strategie entwickeln und die Kooperation der verschiedenen Fachabteilungen optimieren. So wird sichergestellt, dass einer Schatten-IT entgegengewirkt und die Datensicherheit erhöht wird.

Sie möchten sich beraten lassen? Kontaktieren Sie unsere kostenfreie Experten-Hotline 0800 33 04444!