Digitalisierung erfordert eine enge der Zusammenarbeit zwischen Fachabteilungen und IT – Interview mit Prof. Thomas Allweyer

Hallo Prof. Thomas Allweyer: In unserem Interview dreht es sich um die Schatten-IT. Für ein gemeinsames Verständnis: Was verstehen Sie unter diesem Begriff?

Schatten-IT umfasst sämtlichen IT-Einsatz, der sich unterhalb des Radars der offiziellen IT-Organisation abspielt. Fachabteilungen stricken Anwendungen auf Basis von Excel, betreiben eigene Server mit selbst beschaffter Software oder nutzen auf eigene Faust öffentliche Cloud-Dienste.

IT-Abteilungen sehen dies zumeist sehr ungern. Die Schatten-IT ist nicht in die IT-Landschaft integriert, führt zu Insellösungen, entspricht nicht den Unternehmensstandards und durch­läuft nicht die vorgege­be­ne Qualitäts­sicherung. Vor allem aber können gravierende Sicher­heitsrisiken und Compli­ance-Verletzungen entstehen, von denen die IT-Abteilung nichts weiß.

Auf der anderen Seite ist es sehr begrüßenswert, wenn Fachabteilungen über engagierte, IT-affine Mitarbeiter verfügen, die kreative Problemlösungen schaffen und IT auf intelligente Weise einsetzen. Sie sind nah an den Anwendern, weshalb die Lösungen in der Regel einen sehr konkreten Bedarf befriedigen und die Arbeit verbessern. In vielen Fällen handelt es sich auch um Reaktionen auf Defizite und lange Entwicklungszeiten der offiziellen IT. Anstatt monatelang darauf zu warten, dass Änderungsanträge umgesetzt werden, macht man es eben selbst.

​

Das Phänomen von versteckter Informationstechnik ist kein neues. Was ändert sich im Zeitalter von Digitalisierung, Generation-Z-Arbeitnehmern und Pandemien?

Die heutige Generation ist mit Smartphones aufgewachsen. Für sie ist es normal, viele Aspekte des täglichen Lebens mit Hilfe von intuitiv bedienbaren Apps zu organisieren, die jederzeit nach Bedarf installiert und ausprobiert werden können.

Es wird erwartet, dass die IT-Nutzung im Beruf genauso einfach und intuitiv wie im Privatleben ist. Und wenn im Unternehmen etwa die IT-Unterstützung für die Teamarbeit unkomfortabel ist, dann liegt es nahe, auch beruflich über den privat genutzten Messenger-Dienst zu kommunizieren oder einen der zahlreichen Cloud-Dienste zur Team-Kollaboration zu abonnieren. Über die damit möglicherweise verbundenen Sicherheits- und Datenschutzrisiken macht man sich wenig Gedanken.

In der Pandemie mussten viele Teams von heute auf morgen komplett virtuell zusammen­ar­bei­ten. Da hat man sich im ersten Schritt mit allem beholfen, was verfügbar war. Auf der anderen Seite sind in dieser Situation viele IT-Abteilungen fast über sich hinausgewachsen und haben in Rekordzeit eine flächendeckende Ausstattung für mobiles Arbeiten aufgebaut, mit allen erforderlichen Diensten für Videokonferenzen, Teamkollaboration usw. Vieles davon wäre schon früher für die Arbeit im Home-Office oder unterwegs benötigt worden. Die Pan­de­mie hat hier als Katalysator gewirkt. Dort, wo die IT-Abteilung alles Notwendige bereitstellt, sinkt auch die Notwendigkeit, sich außerhalb des offiziellen Angebots umzusehen.

Im Zuge der Digitalisierung sind zahlreiche Technologien entstanden, die es den Fachabtei­lungen erleichtern, ihre eigenen Lösungen zu entwickeln. Dazu gehören Low-Code-Plattfor­men und Robotic-Process-Automation (RPA). Low-Code-Plattformen ermöglichen es auch Mitarbeitern, die nicht programmieren können, kleinere Anwen­dungen selbst zu erstellen. Ähnlich ist dies bei RPA: Mitarbeiter, die mit verschiedenen Anwendungssystemen arbeiten, können Teile ihrer Arbeit automatisieren, indem sie einen Bot anlernen. Hierzu müssen sie im einfachsten Fall lediglich die betreffenden Aktionen einmal durchführen und aufzeichnen lassen. 

Da die Einführung derartiger Tools recht unkompliziert ist, kann es leicht zu neuem Wildwuchs kommen. Manche Unternehmen mussten feststellen, dass in den vergangenen Jahren ein Durcheinander aus zahlreichen unterschiedlichen RPA-Plattformen entstanden ist.

Andererseits können mit diesen jungen Technologien nicht nur fachbereichsinterne Proble­me gelöst werden. Vielmehr bieten sie das Potenzial für eine umfassende Automatisierung durchgängiger Prozesse und die Entwicklung umfassender Anwendungen. Dieses Potenzial wird aber nicht genutzt, wenn jede Fachabteilung unabgestimmt ihre eigenen Automatisierungstools auswählt.

Machen wir es konkret. Angenommen ich bin IT-Leiter eines Maschinenbauers in der Pfalz. Wie viel Schatten-IT sollte ich in meinem Unternehmen zulassen?

Mittelfristig sollte es möglichst keine Systeme mehr geben, von denen die IT-Abteilung überhaupt nichts weiß und die sämtlichen IT-Governance-Regelun­gen entzogen sind.

Sehr sinnvoll ist es hingegen, den Fachbereichen Freiheiten für indivi­duel­le IT-Aktivitäten zu geben. Hierdurch wird es ermöglicht, innovative Ideen auszuprobieren, neue Technologien zu evaluieren und dort, wo die IT-Abteilung keine Lösung anbietet, selbst etwas zu entwickeln.

Dies sollte jedoch innerhalb eines festgelegten Rahmens erfolgen. So gibt es regulatorische Anforderungen, die eingehalten wer­den müssen, weil dem Unternehmen sonst untragbare Risiken entstehen. Zudem sollten erprobte Technologie-Stacks und Entwicklungsplattformen zur Verfügung stehen, die vor­rangig zu nutzen sind.

Aufgabe der IT-Abteilung ist es, einen solche Rahmen zu definieren und die entsprechenden Voraussetzungen zu schaffen. Stellt die Unternehmens-IT den Fachbereichen beispiels­weise Cloud-Speicher zur Verfügung, so brauchen die Fachbereiche ihre Daten nicht mehr bei externen Cloud-Anbietern zu speichern. Damit laufen sie auch nicht mehr Gefahr, Sicher­heits­risiken zu verursachen oder Datenschutzregeln zu verletzen.

Inwieweit haben Sie Muster in Prozessen, Technologie oder Organisationen observiert, mit denen sich Schatten-IT wirkungsvoll eindämmen lässt?

Zunächst kann der Aufbau eines wirksamen IT-Sicherheitsmanagementsystems einen wichtigen Beitrag zur Eindämmung von Schatten-IT leisten. Wenn durch organisatorische und tech­ni­sche Maßnahmen sichergestellt wird, dass es nicht ohne weiteres möglich ist, einen neuen Server ins Netzwerk zu bringen oder eine beliebige Software zu installieren, dann werden bereits viele Schatten-IT-Aktivitäten erschwert – insbesondere solche, die zu Sicherheitsrisiken führen.

Vor allem aber muss das Bewusstsein für die Risiken geschärft werden. Mitarbeiter, die mal eben so unternehmenskritische Daten zu einem unbekannten Cloud-Dienstleister hochladen, machen sich wahrscheinlich nicht klar, welche fatalen Folgen ein Datenleck haben kann oder welche Strafen auf eine Verletzung der Datenschutzgrund­verord­nung stehen. Wer sich dieser Risiken bewusst ist, wird sich zweimal überlegen, ob er durch sein Verhalten möglicherweise für einen riesigen Schaden verantwortlich sein will.

Noch wichtiger aber ist es, die Ursachen für Schatten-IT zu beseitigen. Schatten-IT entsteht beispielsweise, weil Fachabteilungen ihre Anforderungen in der offiziellen IT nicht berücksich­tigt sehen, oder weil der offizielle Weg zur Umsetzung von Anforderungen als zu langsam empfunden wird. Wenn die IT-Abteilung den Ruf hat, dass sie die Umsetzung neuer Ideen eher verhindert, dann werden kreative Fachabteilungsmitarbeiter einfach selbst aktiv.

Wenn die IT-Abteilung hingegen – wie bereits oben angesprochen – explizit die Möglichkeit für individuelle Entwicklungen anbietet und die Fachabteilungen dabei unterstützt, können diese Entwicklungen in geordnete Bahnen gelenkt werden. Zu einer derartigen Unter­stützung kann es gehören, die Fachabteilungen zu beraten und zu schulen, Qualitätssicherungs­maß­­nah­men durch­zuführen und Cloud-Anbieter auf ihre Eignung zu überprüfen.

Häufig gewünschte Cloud-­Services sollten die Fachabteilungen direkt von der eigenen IT-Abteilung erhalten können. Diese kann die Services selbst erbringen oder von einem sorgfältig ausgewählten Anbieter beziehen.

Stellt die IT-Abteilung eine gemeinsame Low-Code-Entwicklungs­plattform zur Verfügung, so können die Fachabteilung ihre individuellen Entwick­lungen mit dieser Plattform durch­führen. Auf diese Weise ist sichergestellt, dass eine einheitliche Infrastruktur genutzt wird und grundlegende Sicherheitsanforderungen erfüllt sind.

Wenn eine gemeinsame Platt­form genutzt wird, ist es leicht möglich, interessante Entwick­lungen auch anderen Abteilungen zur Verfügung zu stellen. Besonders interessante und nütz­liche Individual-Lösungen können ggf. unter Einbeziehung der IT-Abteilungen zu offiziellen Standardlösungen für das gesamte Unternehmen weiterentwickelt werden.

Generell erfordert die zunehmende Digitalisierung eine andere und engere Art der Zusammen­arbeit zwischen Fachabteilungen und IT. Digitale Innovationen werden vielerorts von interdisziplinären Teams entwickelt, wobei die jeweiligen Fachabteilungen die treibende Rolle spielen. Als technologische Basis zur Unterstützung der Kernprozesse werden leistungsfähige Digitalisierungsplattformen eingesetzt, die auch die erwähnte Low-Code-Entwick­lung unterstützten. Dass diese Plattformen – wie oben beschrieben – auch für kleinere, abteilungsindividuelle Entwicklungen genutzt werden können, ist dann eher ein angenehmer Neben­effekt. Die von der Digitalisierung getriebene enge Zusammenarbeit zwischen Fach- und IT-Experten kann wesentlich dazu beitragen, die Problematik der Schatten-IT zu reduzie­ren.

Letzte Frage: Wenn Sie ein Buch für modernes IT-Management neben dem Ihren empfehlen würden: Welches sollte es sein?

Einige sehr empfehlenswerte Bücher zu dem Thema, wie z. B. von das Handbuch IT-Management von Ernst Tiemeyer oder IT-Management im Zeitalter der Digitalisierung von Urbach und Ahlemann, sind auf Ihrer Website bereits erwähnt worden.

Daher möchte ich auf ein Buch hinweisen, dass sich weniger mit dem IT-Management im herkömmlichen Sinne beschäftigt, sondern die Potenziale der ‚Hyperautomation‘ aufzeigt, also dem intelligenten Zusammenspiel von Technologien wie KI, Low-Code, RPA und Cloud-Computing. Es handelt sich um das englischsprachige Buch Intelligent Automation von Bornet, Barkin und Wirtz.

Das Interview mit Prof. Thomas Allweyer führte Christopher Schulz per E-Mail am 26. März 2021.

Zur Person Prof. Thomas Allweyer