Schatten IT: Innovationsquelle oder Sicherheitsrisiko?
Ein Beitrag von: Andreas Györy, Universität St.Gallen und Mani Pirouz, SAP SE
Kurz und bündig:
Bei zehn internationalen Organisationen wurden Formen der Schatten-IT und der Umgang damit untersucht. Fazit: Sogar bei der garantierten Datensicherheit werden Zugeständnisse gemacht. Warum lassen Unternehmen ihre Mitarbeiter entscheiden, die vorbei an den IT-Abteilungen eigene Geräte und Anwendungen in den professionellen Einsatz integrieren und welche Potenziale wiegen mögliche Einbußen in Sachen Datensicherheit auf?
Massentaugliche IT-Lösungen können heute mit Produkten für den professionnellen Einsatz mithalten. Mitunter sind sie den Lösungen, die in einer Organisation standardmäßig zum Einsatz kommen, qualitativ sogar überlegen. Dasselbe gilt für „selbstgebastelte“ IT-Lösungen, die Mitarbeiter entwickeln, um die beste Lösung für ein Problem griffbereit zu haben. Die Fragen, die sich in diesem Zusammenhang stellen, liegen auf der Hand: Warum lassen es Unternehmen zu, dass ihre Mitarbeiter eigene Geräte und Anwendungen in den professionellen Einsatz integrieren? Was bedeutet dieses Umgehen der Spielregeln für die Datensicherheit? Und: Welche Potentiale wiegen den partiellen Verlust der Datensicherheit auf?
„Schatten-IT“ bezeichnet IT-Lösungen oder ITMitarbeiter, die in einem Unternehmen an der ITAbteilung vorbei zum Einsatz kommen [1]. Diese werden von den Fachbereichen genutzt und finanziert. Die etablierten Beschaffungs- und Abstimmungsprozesse werden dabei umgangen, wodurch schneller spezifische Lösungen entwickelt werden können. Diese Flexibilität hat ihren Preis: Datenqualität, Datensicherheit, Verlässlichkeit von Individuallösungen und Kostentransparenz können nicht mehr garantiert werden. Im Normalfall werden diese Risiken durch Richtlinien für Mitarbeiter und durch organisatorische und technische Kontrollmaßnahmen eingedämmt – häufig zu Lasten der Effizienz, Agilität, Innovationsfähigkeit und der kontinuierlichen Verbesserung der Geschäftsprozesse. Laut einer Studie von RSA [2] mussten 35% der Mitarbeiter in amerikanischen Unternehmen bereits Sicherheitsrichtlinien umgehen, um ihre tägliche Arbeit verrichten zu können. Unternehmen stehen vor der Herausforderung, die Gratwanderung zwischen der Umsetzung risikovermeidender IT-Maßnahmen und der Schaffung von Flexibilität als Grundlage reibungsloser Unternehmensprozesse zu