KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.
KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.
Ein Beitrag von: Frank Teuteberg, Marc Walterbusch, Adrian Fietz, Universität Osnabrück
Mit Schatten-IT, sprich informationstechnischen Systemen, die in einem Unternehmen neben der offiziellen IT-Infrastruktur zum Einsatz kommen, sind sowohl Chancen als auch Risiken verbunden. Insgesamt lässt sich festhalten, dass das Hauptproblem nicht die technische Umsetzung ist, sondern die zugrundeliegende Strategie, die von der Geschäftsführung ausgeht. Empfehlenswert ist ein proaktiver Umgang mit Schatten-IT, das Aufstellen von Richtlinien sowie die Sensibilisierung der Mitarbeiter.
Die Risiken, die von Schatten-IT ausgehen, ändern sich durch die größer werdende Akzeptanz der Anwender von Cloud Computing Services, die ortsunabhängig, jederzeit und von jedem Endgerät aus genutzt werden können. Aus diesem Grund sollte sich jedes Unternehmen mit Schatten- IT beschäftigen, um diese aufzudecken und Gefahren zu minimieren oder gar in Potenziale umzuwandeln. Neben Problemen bezüglich Integrität, Datensicherheit und Datenschutz können über Schatten-IT jedoch auch Innovationen schneller ihren Weg ins Unternehmen finden – unter anderem dank des fehlenden Bewilligungsprozesses und der oftmals stärkeren Benutzer- und Aufgabenorientierung. Welche positiven und negativen Auswirkungen sind mit Schatten-IT für Unternehmen verbunden und wie sollte mit Schatten-IT strategisch umgegangen werden? Mit diesen Fragen beschäftigt sich der vorliegende Beitrag.
In jedem zweiten Unternehmen wird der Cloud Computing Service Dropbox verwendet, zumeist aber ohne explizite Zustimmung der Unternehmensführung [1]. Generell wird der Zugriff auf Schatten-IT über mobile Endgeräte im Tagesgeschäft durch Cloud Computing begünstigt [2]. Gründe hierfür sind u.a. die Möglichkeit zur ortsunabhängigen, räumlich verteilten Zusammenarbeit [3], die unentgeltliche Nutzung [4] sowie die endgeräteübergreifende Synchronisation. Weitergehend nutzen Mitarbeiter Cloud Computing im privaten Leben, daher liegt es nahe, dass sie die ihnen bekannten Vorzüge auch im Arbeitsumfeld genießen wollen [2]. Auf Grundlage von zehn Experteninterviews haben wir explorativ den Status Quo von Schatten-IT in der Praxis erhoben . Es wurden hierzu Experten (drei Produktmanager, zwei Softwareentwickler, drei Mitarbeiter aus dem IT-Support, ein IT-Consultant sowie ein Geschäftsführer) der Informations- und Kommunikationsbranche durch leitfadenunterstützte offene Interviews befragt. Die Experteninterviews zeigen zusammengefasst folgende Ergebnisse:
Das Risikomanagement im Bereich von Cloud Computing Services als Schatten-IT umfasst sowohl die Identifikation, die Analyse und die monetäre Bewertung von Risiken und möglichen Störereignissen als auch die Bestimmung von Eintrittswahrscheinlichkeiten sowie Risikobewältigungsstrategien und Aktionsplänen bei Eintreten der Risiken und Störereignisse.
Aus den Ergebnissen der Experteninterviews sowie der systematischen Literaturanalyse lassen sich Handlungsempfehlungen für Arbeitgeber ableiten. Auch für Arbeitnehmer sind die Ergebnisse durchaus interessant, da diese so einen Einblick in die Arbeitgeberperspektive erhalten und dadurch für die Nutzung von Schatten-IT beziehungsweise von privaten, mobilen Endgeräten im Unternehmenskontext sensibilisiert werden.
Empfehlung 1: Aufstellen einer unternehmensweiten Schatten-IT- und Mobile-Device-Strategie Ehe ein Unternehmen seinen Mitarbeitern gegenüber Äußerungen bezüglich Schatten-IT tätigen kann, sollte eine stringente Strategie entwickelt und kommuniziert werden. Diese beinhaltet die grundlegende Frage, ob Schatten-IT im Unternehmen verboten, toleriert oder zugelassen wird.
Empfehlung 2: Durchführen einer Arbeitnehmerbefragung und Erhebung des Status Quo Dem Arbeitgeber sind die Bedürfnisse seiner Mitarbeiter häufig unbekannt. Diesem Problem kann begegnet werden, indem regelmäßig Mitarbeiterbefragungen durchgeführt werden, bei denen mit Hilfe von gezielten Fragen im Rahmen von Einzel- oder Gruppengesprächen die Bedürfnisse der Mitarbeiter und bereits vorhandene Schatten-IT aufgedeckt werden. So kann als Folge die bestehende IT-Infrastruktur verbessert werden, der Mitarbeiter kann seine Arbeit effektiver ausführen und das Unternehmen kann die Kontrolle über die eingesetzten Cloud Computing Services, Applikationen und darauf beziehungsweise darin gespeicherten Daten erlangen.
Empfehlung 3: Aufstellen von Richtlinien Eine unternehmensinterne Vorgabe zum Umgang mit Schatten-IT, den möglichen Gefahren, der erwarteten Handlungsweise im Schadensfall und gar Konsequenzen bei Zuwiderhandlung können Abhilfe schaffen.
Empfehlung 4: Sensibilisierung der Mitarbeiter und proaktiver Umgang mit der Thematik Schatten-IT Der proaktive Umgang mit Schatten-IT zur Sensibilisierung der Mitarbeiter ist unerlässlich, beispielsweise in Form von Informationsbroschüren oder periodischen Mitarbeiterschulungen. Falls die Nutzung von Schatten-IT zugelassen ist, kann den Mitarbeitern der sichere Umgang mit mobilen Endgeräten beigebracht werden. Hierzu zählt auch, welche Daten auf dem Endgerät gespeichert werden dürfen. Für den Fall, dass Schatten-IT nicht gefördert aber allgemein toleriert wird, sollten die Mitarbeiter für mögliche Gefahren sensibilisiert werden und sich ihrer Handlungen und möglichen Konsequenzen bewusst sein. Etwaige Konsequenzen spielen auch im dritten Fall, dem kompletten Verbot von Schatten-IT, eine Rolle: Hierbei sollte den Mitarbeitern offen kommuniziert werden, welche Konsequenzen ihnen bei Zuwiderhandlung drohen.
Empfehlung 5: Sondierung von Bring your own device (BYOD) Bereits die Synchronisation von beruflichen E-Mails auf dem privaten Handy ist eine Form von Schatten-IT. Bei dem Verlust des mobilen Endgeräts hätte ein Dieb auf die im Zweifel sensiblen E-Mails unerlaubten Zugriff. Dennoch nutzen viele Mitarbeiter ihre privaten Smartphones im Unternehmenskontext. Diesem Problem kann entweder durch firmeneigene Mobiltelefone oder durch BYOD entgegengewirkt werden.
Es gibt bereits heute viele Möglichkeiten, mit Schatten-IT umzugehen, allerdings muss dieser Umgang proaktiv erfolgen und einem strategischen Ziel dienen. Durch die Eingliederung von Schatten-IT in die Unternehmens-IT können Effizienz- und Produktivitätssteigerungen erreicht, Betriebskosten gesenkt, Risiken minimiert, Flexibilität und die Mitarbeiterzufriedenheit gesteigert werden. Zudem können über Schatten-IT Innovationen schneller ihren Weg ins Unternehmen finden. Diese Vorteile lassen sich jedoch nur erreichen, wenn die vorgegebenen Richtlinien nicht zu restriktiv und die möglichen Risiken, wie beispielsweise der Verlust von mobilen Endgeräten, Malware, Hacking und Industriespionage, adäquat adressiert werden.
