Schatten-IT – versteckte IT erkennen und wirkungsvoll eindämmen

von Business-IT-Alignment

Management Summary

  • Zu Schatten-IT zählen alle IT-Lösungen, welche die Fachbereiche autonom einsetzen und die damit nicht in das Servicemanagement der zentralen IT eingebunden sind.
  • Schatten-IT ist in Unternehmen ein zweischneidiges Schwert. Zum einen unterstützt es effiziente und innovative Geschäftsprozesse, zum anderen stellt es ein rechtliches und sicherheitstechnisches Risiko dar und sorgt für Ineffizienzen.
  • Die Ursachen für Schatten-IT liegen bei der IT, den Fachbereichen sowie dem Zusammenspiel beider Organisationseinheiten.
  • Durch IT-Governance und Enterprise Architecture Management lässt sich die Ausbreitung von Schatten-IT eindämmen, ihr Risiko reduzieren und IT-Effizienzpotentiale heben.

Application Landscape Management

 

In einer IT-Systemlandschaft stecken 2 Mio. Dollar Optimierungspotential.
Wie viel können Sie realisieren?

Bestimmen Sie in weniger als 8 Minuten mit 14 Einzelfragen die Optimierungshebel im Management Ihres Applikationsportfolios.

Was ist Schatten-IT?

Schatten-IT umfasst alle IT-bezogenen inoffiziellen…

  • Organisationseinheiten
  • Prozesse
  • Systeme
  • Infrastrukturkomponenten

die in den Fachbereichen Ihres Unternehmens ohne das Wissen, die Zustimmung oder den Support der IT-Abteilung zur Anwendung kommen. Alternative Bezeichnungen für Schatten-IT (engl. Shadow IT) sind graue IT (engl. Grey IT), versteckte IT (engl. Hidden IT) oder Schlingel IT (engl. Rougue IT).

Schatten-IT ist weder strategisch noch operativ in Ihrer IT eingegliedert. Damit entziehen sich Schatten-IT-Lösungen den regulären IT-Service Managementprozessen wie dem Release, Configuration oder Asset Management.

Organisation

z.B. fachliche Administratoren, Wartungsverantwortliche oder Betreiber

Prozesse

z.B. Beschaffung, Konfiguration oder Weiterentwicklung

Systeme

z.B. Kaufsoftware, Entwicklungs-Frameworks oder Cloud Dienste

Infrastrukturkomponenten

z.B. Router, Smartphones oder USB-Sticks

Wodurch entsteht Schatten-IT?

Das Phänomen Schatten-IT ist kein neues. Seit Jahrzehnten setzen Fachabteilungen auf selbstgestrickte Software-Tools, individuell beschaffte Hardware und eigenmächtig betriebene IT-Services. Einen besonderen Wachstumsschub erfuhr Schatten-IT durch die Verbreitung der Personal Computer in den 1980er- und 1990er-Jahren. Heute befeuern mobile Endgeräte und Webdienste die Ausdehnung der versteckten IT.

Den emanzipierten Fachbereichen spielen zudem…

  • der vereinfachte Zugang zu Technologie mit Laptops, Smartphone und Internet,
  • das steigende Vertrauen in digitale Dienste (‚Digital Natives‘),
  • die geringen Anschaffungskosten für Speicher, Endgeräte und Apps,
  • die wachsende Verbreitung von Software-as-Service Angeboten samt Freemium Geschäftsmodellen sowie
  • externe Einflüsse, welche die Fachanwender zwingen IT-Lösungen von Dritten einzusetzen

als Pull-Gründe für eine Schatten-IT in die Karten.

Schatten-IT entsteht immer dann, wenn die seitens der IT-Abteilung angebotenen Dienste in Funktion und Qualität nicht den Anforderungen der Fachbereiche genügen. Anders ausgedrückt: Die Bedarfe des Business sind nicht mit dem Angeboten der IT abgestimmt. Es kommt zum Business-IT-Non-Alignment. In Folge dieser Diskrepanz reagieren die Fachabteilungen in Notwehr.

Unterschiedliche Push-Gründe gegen eine zentrale IT drücken sie weg, beispielsweise…

  • hohe administrative Hürden für die Beschaffung und Nutzung neuer IT-Services,
  • unflexible Budgets oder Intransparenz bei IT-Verrechnungspreisen,
  • ausbleibende IT-Unterstützung aufgrund von personellen Kapazitätsengpässen bzw. fehlendem Knowhow,
  • veraltete IT-Lösung beispielsweise aufgrund geringer Innovationsfreude der IT-Abteilung sowie
  • geringe organisatorische, geographische bzw. prozessuale Verbundenheit zwischen Fach- und IT-Seite.

ClearanceJobs: What is Shadow IT? (1min)

Wie verbreitet ist Schatten-IT?

Im digitalen Zeitalter ist Schatten-IT in den meisten Organisationen zu finden. Laut dem Konstanzer Instituts für Prozesssteuerung der Hochschule Konstanz gehören 10 bis 50 Prozent einer normalen IT-Systemlandschaft zu Schatten-IT. Der Lehrstuhl um Professor Rentrop untersuchte dazu 30 Unternehmen angefangen vom gehobenen Mittelstand mit 2.000 Mitarbeitern bis zum Konzern mit 40.000 Angestellten.

Das Marktforschungsunternehmen IDC befragte im Jahr 2014 insgesamt 260 IT-Fach- & -Führungskräfte aus Unternehmen in Deutschland mit mindestens 100 Mitarbeitern. Laut den Befragten nutzen 32 Prozent der Fachabteilungen teilweise und zwölf Prozent sogar sehr umfangreich Public-Cloud-Lösungen, ohne dabei die IT-Abteilung einzubeziehen.

Gemäß einer McAfee Umfrage aus 2019 geben 53 Prozent der befragten IT-Leiter zu Protokoll, dass über die Hälfte der Mitarbeiter in ihrem Unternehmen Anwendungen einsetzt, von denen die IT-Abteilung nichts weiß. Immerhin 14 Prozent der Fachnutzer wissen dabei nicht, ob die Anwendungen, die sie nutzen, von der IT-Abteilung genehmigt wurde oder nicht.

Schließlich konstatiert die Prüfungs- & Beratungsgesellschaft PricewaterhouseCoopers (PwC) in der 2015 Global Digital IQ® Survey, dass 68 Prozent der Technologieinvestitionen außerhalb der IT-Abteilung außerhalb der Kontrolle des Chief Information Officers getätigt werden.

Wie lässt sich Schatten-IT reduzieren?

Schatten-IT aktiv managen

Ein grundlegendes Verbot von Schatten-IT im Unternehmen ist nicht zu empfehlen. Fachbereiche würden in ihrer Wertschöpfung gebremst werden, auch erschweren die zahlreichen technischen Möglichkeiten die Durchsetzung einer flächendeckenden Untersagung.

Vielmehr sollten Sie Schatten-IT aktiv managen. Disziplinen wie das Enterprise Architecture Management sowie die IT Governance helfen dabei, Schatten-IT in Ihrem Unternehmen gezielt zu steuern.

Phase 1: Schatten-IT identifizieren

Zu Beginn steht die Identifikation der versteckten IT entlang der Geschäftsprozesse. Gehen Sie hier auf mehreren Ebenen vor:

  • Setzen Sie auf technische Hilfsmittel. Tools für Netzwerk-Monitoring und Geräte-Scanning helfen ein Teil der nicht registrierten Informationstechnik aufzuspüren.
  • Sprechen Sie mit den Prozessverantwortlichen der Fachbereiche. Strukturierte Befragungen und Serieninterviews gepaart mit dem Aufzeigen des Transparenzgewinns sorgt für Unterstützung.
  • Vergleichen Sie die Budgets, welche die IT-Abteilung direkt verwaltet mit den IT-Ausgaben des Fachbereichs (z.B. Drucker, Smartphones, Softwarelizenzen). Die Differenz ist ein Indikator für Schatten-IT.

Sammeln Sie alle gewonnen Informationen über die Schatten-IT zentral an einer Stelle, beispielsweise in der Configuration Management Database (CMDB), im Enterprise Architecture Tool oder im IT Asset Management Software.

Phase 2: Schatten-IT bewerten

Beurteilen Sie die aufgedeckte Schatten-IT entlang definierter Kriterien. Hierzu mehrere Vorschläge aus unserer Praxis:

  • Die fachliche Relevanz reflektiert die Wichtigkeit einer Schatten-IT-Instanz für die Anwender. Indikatoren sind beispielsweise die Nutzeranzahl, die Anwendungsfrequenz, die Datenmenge oder die Kritikalität der unterstützen Geschäftsprozesse.
  • Die technische Qualität zeigt den Professionalisierungsgrad mit dem die versteckte IT betrieben, gewartet und weiterentwickelt wird. Gleichsam darunter zu verstehen sind die Güte der Systemeigenschaften sowie die Datenqualität.
  • Der Parallelität illustriert den Grad, zu welchem eine offiziell verfügbare IT-Lösung die Aufgaben der Schatten-IT-Instanz teilweise bis vollständig übernehmen könnte.

Weitere Parameter sind das Innovationspotenzial, das Risiko für Business und IT (sowohl Schadensausmaß als auch Eintrittswahrscheinlichkeit) sowie der Ersetzungsaufwand.

Phase 3: Schatten-IT kontrollieren

Schließlich bereinigen Sie in einem letzten Schritt alle Schatten-IT-Ausprägungen mit großer fachlicher Relevanz, geringer technischer Qualität sowie einem hohen Parallelitätsgrad. Erneut bieten sich Sie Ihnen mehrere Konsolidierungsoptionen:

  • Legalisieren durch Umbau bzw. Erneuerung der Schatten-IT-Lösung samt Überführung der Verantwortlichkeiten in die zentrale IT
  • Abschalten von redundanter Schatten-IT mit oder ohne der Bereitstellung einer Ersatzlösung
  • Bewusstes Belassen und enge Betreuung der nun offengelegten Schatten-IT als fachliche Nischenlösung

Um das Aufkeimen neuer Schatten-IT in der Zukunft zu begrenzen sollten Sie zudem geeignete IT-Governance-Strukturen aufsetzen. Die gemeinsam erarbeiteten Abläufe, Regeln und Prinzipien adressieren dabei insbesondere die unternehmensindividuellen Ursachen für die versteckte IT.

Achten Sie darauf, dass jede Schatten-IT-Lösungen einem fachlichen Verantwortlichen zugewiesen wird. Sensibilisieren und Schulen Sie zudem Ihre Fachbelegschaft. Wer weiß, wie das System zu nutzen ist, kümmert sich nicht um eine vermeintlich bessere Ersatzlösung.

Setzen Sie technisch zudem ein zentrales Service Portal auf über den sich die Fachbereiche zu jeder Zeit über die angebotenen IT Services informieren und diese ordern können. Das Portal fungiert als einziger Zugangspunkt und steuert den Zugriff auf die technischen Ressourcen. Die IT fungiert im Hintergrund als Broker, orchestriert intern und extern verfügbare Technologielösungen.

Worin bestehen die Stärken & Schwächen von Schatten-IT?

Anders als der Name suggeriert, besitzt Schatten-IT für ein Unternehmen auch handfeste Vorteile. Nachfolgend eine Gegenüberstellung.

Vorteile

  • Schatten-IT verbessert fast immer kurzfristig die Geschäftsprozesse der Fachbereiche. Die selbst gewählten und betriebenen IT-Lösungen leiten sich aus direkt aus den fachlichen Bedürfnissen ab.
  • Schatten-IT sorgt für Innovation direkt in der Wertschöpfung. Digitale Chancen werden ergriffen, neue Technologien durch die Fachbereiche rasch adoptiert.
  • Schatten-IT ist in der Regel hochgradig flexible und anpassbar. Die Erweiterung und Änderungen der versteckten IT erfolgt unmittelbar und ohne langwierige koordinative Abstimmungsschleifen.
  • Schatten-IT genießt bei Fachabteilungen einen hohen Identifikations- und Akzeptanzgrad, Stichwort Ikea Effekt. Die Anwender haben sich ‚ihre Lösung‘ selbst ausgewählt, konfiguriert und eingeführt.

Nachteile

  • Schatten-IT fußt häufig auf fehlenden oder nur rudimentär ausgeprägten Serviceprozessen. Diese werden von den Fachkollegen ‚nebenbei zum Tagesgeschäft‘ mehr oder weniger professionell erbracht.
  • Schatten-IT entzieht sich der kontinuierlichen Weiterentwicklung des IT-Portfolios bzw. kann diese sogar erschweren.
  • Schatten-IT stellt ein potentielles Risiko für Compliance Vorgaben dar, beispielsweise bei Informationssicherheit, Urheberrechtsschutz, Lizenzrecht, Datenschutz und Aufbewahrungspflichten. Auch vergrößert es die Angriffsfläche gegenüber Cyber-Attacken. Tritt eine technische Panne auf, so können die Auswirkungen für das Unternehmen verheerend sein.
  • Schatten-IT sorgt für Ineffizienzen in der Organisation. Verschiedene Abteilungen führen die gleiche IT-Aufgabe doppelt aus, für einen Geschäftsprozess existieren mehrere redundante technische Lösungen, Softwarelizenzen werden doppelt bezogen, bestehende IT-Systeme werden durch die versteckte IT negativ beeinträchtigt oder selbstgebastelte Insel-Tools konterkarieren die Sourcing Entscheidungen.

Fazit

Einerseits können Sie Schatten-IT als praktikzierte Kritik der Fachbereiche verstehen, deren technischen Anforderungen nicht nachgekommen wird und welche sich deswegen selbst behelfen. Anderseits ist Schatten-IT auch ein Ausdruck der Innovationsbereitschaft und Fortschrittlichkeit fachlicher Anwender. Die Kunst besteht in der Balance zwischen zugelassenem hochgradig an die Bedarfe der Fachabteilung ausgerichteten Schatten-IT-Instanzen sowie zentral bereitgestellten Standardlösungen.

Gerne unterstützen wir Sie dabei die Schatten-IT bei Ihnen systematisch zu identifizieren, objektiv zu bewerten und dauerhaft zu reduzieren. 

Leseempfehlungen

Sie möchten Ihre Schatten-IT eindämmen? Gerne unterstützen wir Sie!

Dr. Christopher Schulz

Dr. Christopher Schulz

Managing Partner

Dr. Christopher Schulz berät seit 2007 Kunden in der Automobil- und Bankenbranche an der Schnittstelle zwischen Business und IT.

Er studierte Informatik am KIT in Karlsruhe und an der INSA de Lyon. Seine Consulting Schwerpunkte liegen im Enterprise Architecture Management sowie der Business Analyse.

Neben Kundenprojekten gibt Christopher seine Expertise mittels Fachartikeln, Vorträgen und Trainings weiter. Christopher bloggt leidenschaftlich gerne. Er ist verheiratet und hat zwei Kinder.

Bitte akzeptieren Sie unsere Datenschutzerklärung.

14 + 2 =