KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.

Schatten IT: Innovationsquelle oder Sicherheitsrisiko?

Schatten IT: Innovationsquelle oder Sicherheitsrisiko?

Ein Beitrag von: Andreas Györy, Universität St.Gallen und Mani Pirouz, SAP SE

Kurz und Bündig

Bei zehn internationalen Organisationen wurden Formen der Schatten-IT und der Umgang damit untersucht. Fazit: Sogar bei der garantierten Datensicherheit werden Zugeständnisse gemacht. Warum lassen Unternehmen ihre Mitarbeiter entscheiden, die vorbei an den IT-Abteilungen eigene Geräte und Anwendungen in den professionellen Einsatz integrieren und welche Potenziale wiegen mögliche Einbußen in Sachen Datensicherheit auf?

Massentaugliche IT-Lösungen können heute mit Produkten für den professionnellen Einsatz mithalten. Mitunter sind sie den Lösungen, die in einer Organisation standardmäßig zum Einsatz kommen, qualitativ sogar überlegen. Dasselbe gilt für „selbstgebastelte“ IT-Lösungen, die Mitarbeiter entwickeln, um die beste Lösung für ein Problem griffbereit zu haben. Die Fragen, die sich in diesem Zusammenhang stellen, liegen auf der Hand: Warum lassen es Unternehmen zu, dass ihre Mitarbeiter eigene Geräte und Anwendungen in den professionellen Einsatz integrieren? Was bedeutet dieses Umgehen der Spielregeln für die Datensicherheit? Und: Welche Potentiale wiegen den partiellen Verlust der Datensicherheit auf?

„Schatten-IT“ bezeichnet IT-Lösungen oder ITMitarbeiter, die in einem Unternehmen an der ITAbteilung vorbei zum Einsatz kommen [1]. Diese werden von den Fachbereichen genutzt und finanziert. Die etablierten Beschaffungs- und Abstimmungsprozesse werden dabei umgangen, wodurch schneller spezifische Lösungen entwickelt werden können. Diese Flexibilität hat ihren Preis: Datenqualität, Datensicherheit, Verlässlichkeit von Individuallösungen und Kostentransparenz können nicht mehr garantiert werden. Im Normalfall werden diese Risiken durch Richtlinien für Mitarbeiter und durch organisatorische und technische Kontrollmaßnahmen eingedämmt – häufig zu Lasten der Effizienz, Agilität, Innovationsfähigkeit und der kontinuierlichen Verbesserung der Geschäftsprozesse. Laut einer Studie von RSA [2] mussten 35% der Mitarbeiter in amerikanischen Unternehmen bereits Sicherheitsrichtlinien umgehen, um ihre tägliche Arbeit verrichten zu können. Unternehmen stehen vor der Herausforderung, die Gratwanderung zwischen der Umsetzung risikovermeidender IT-Maßnahmen und der Schaffung von Flexibilität als Grundlage reibungsloser Unternehmensprozesse zu meistern. Dieser Spagat zwischen Innovation, Sicherheit und Kostensenkung gelingt IT-Abteilungen nur dann, wenn Schatten-IT nicht als Tabu-Thema behandelt wird [3]. Für Entscheider gilt es daher, zwei Fragen zu klären: Wieviel Transparenz und Kontrolle benötigt die IT-Abteilung, um Risiken zu minimieren? Wo sollte seitens der Anwender ein bewusstes Risiko für die Förderung von Innovationen in Kauf genommen werden? Inzwischen haben IT-Konsumprodukte den professionellen IT-Markt eingeholt. Dadurch sind heutige Generationen in der Lage, selbständig ITLösungen für private Zwecke zu konfigurieren und einzusetzen [4]. Ursprünglich für den Privatgebrauch entworfene IT-Lösungen werden auf mobilen Geräten innovativ für berufliche Zwecke im Unternehmen eingesetzt – der technologische Vorsprung der Unternehmen gegenüber ihren Mitarbeitern ist drastisch gesunken. Das stellt IT-Abteilungen heute vor neue Herausforderungen:

Technische Aspekte von Schatten-IT

Schatten-IT ist eine Form des Transparenz- und Kontrollverlusts der IT-Abteilung. Dem Transparenzverlust kann durch unterschiedliche Maßnahmen entgegengewirkt werden. So können neue Anwendungen durch technische Überwachung der Infrastruktur erkannt und Beschaffungsprozesse durch Richtlinien und Freigaben transparenter gestaltet werden. Eine vollständige technische Kontrolle ist jedoch rechtlich problematisch und führt zu hohen operativen Kosten und Geschäftsprozessverzögerungen. Alternativ zur vollständigen Überwachung können auch geschäftskritische Applikationsgruppen oder Unternehmensbereiche überwacht werden. Mitarbeiter sind verantwortlich, neue geschäftskritische Lösungen zu melden. Manche Unternehmen definieren auch Unternehmensbereiche, die bewusst nicht überwacht werden. Für solche „Insel-Lösungen“ oder „Small Solutions“ wird eine gemeinsame Verantwortlichkeit mit dem jeweiligen Fachbereich vereinbart. In der Studie wurden auch Szenarien beschrieben, in denen auf keinem der beschriebenen Wege Transparenz und Kontrolle erreicht werden konnte. Sogenannte “Darkroom IT” bezeichnet Applikationen oder Unternehmensfunktionen, die vorhandene IT-Fähigkeiten oder Applikationen bereichsspezifisch replizieren. Transparenz und klare Verantwortlichkeiten benötigen in diesen Fällen ein von der Unternehmensführung unterstütztes Governance- Konzept. Zusammengefasst lässt sich sagen: Als Schatten-IT werden mehrheitlich intransparente IT-Lösungen bezeichnet, die sich von „Insel-Lösungenen“ und „Darkroom-IT“ unterscheiden. Die Empfehlung aller Befragten war, zumindest für die geschäftskritischen IT-Lösungen Transparenz sicherzustellen.

Schatten-IT entsteht in Prozessen

Schatten-IT entsteht häufig durch mangelnde Zusammenarbeit in fachbereichsgetriebenen Entwicklungsprozessen. Die Prozesse mit dem höchsten Schatten-IT Potenzial wurden in Abbildung 2 dunkel eingefärbt. Als typische Schatten- IT treibende Prozesse gelten Nutzung, Betrieb und Entwicklung. Dabei könnte bereits in den frühen Phasen der Lösungsentwicklung (Konzeption und Finanzierung) auf die Entwicklung von Schatten-IT Einfluss genommen werden. Durch die Differenzierung der Prozesse ließe sich auch entscheiden, ob Schatten-IT generell oder nur während der Nutzung vermieden beziehungsweise kontrolliert werden soll.

Schatten-IT-Lösungen: Potenziale und Herausforderungen

Schatten-IT kann die Innovationsfähigkeit eines Unternehmens durch mitarbeitergetriebene Lösungen fördern. Die Gefahr ist, dass diese der damit einhergehenden Verantwortung nicht gewachsen sind. Die Potenziale und Herausforderungen, die unsere Interviewpartner identifiziert haben, sind in Abbildung 3 gegenübergestellt.

Die wichtigsten Vorteile: Von Fachbereichen oder Mitarbeitern getriebene Lösungen sind schneller verfügbar; die selbstbestimmte Gestaltung der Arbeitsumgebung geht mit einem erhöhten Verantwortungsbewusstsein einher. Die Herausforderungen bestehen darin, Datensicherheit, Verfügbarkeit und Support zu garantieren. Problematisch werden kann die Redundanzfreiheit beziehungsweise die fehlende Zuständigkeit. Ein weiterer Vorteil: Schatten-IT-Lösungen können mit wenig Aufwand in Betrieb genommen werden. Die Gefahr ist dabei die Entstehung unkontrollierter Betriebsstrukturen, die nur mit großen Bemühungen integriert werden können. Zudem entsteht zusätzlicher Aufwand, um durch erweitertes Monitoring die bestehenden Dienstleistungen abzusichern. Als Vorteil erwähnten IT-Verantwortliche, dass Schatten-IT die nicht erfüllten Anforderungen der Anwender aufzeigt, was IT-Abteilungen zur Verbesserung ihrer Dienstleistungen anspornen kann.

Mögliche Strategien

Mithilfe welcher Strategien können Potenziale realisiert und dabei Risiken minimiert werden? Aus den Interviews zur Zielsetzung und Methodik im Umgang mit Schatten-IT konnten drei Muster abgeleitet werden, die in Abbildung 4 dargestellt sind:

Klassische kostengetriebene IT-Bereiche setzen auf die Strategie der IT-Kontrolle, bei der IT-Lösungen nur gemäß definierter Prozesse verwendet werden können. Dies kann bei Unternehmen mit weitgehend standardisierten Geschäftsprozessen Synergiepotentiale heben und mit wenig Aufwand Sicherheit garantieren. Bei Unternehmen mit geringerer Prozessreife kann dies jedoch zu erheblichen Produktivitätseinschränkungen führen. Unternehmen, die in IT-Innovationen investieren oder deren Prozesse wenig standardisiert sind, legen Wert auf die Kontrolle ihrer technischen Plattformen. Durch die Bereitstellung abgesicherter Umgebungen (z.B. Cloud-Dienste und analytische Plattformen können individuelle Prozessvariationen und eigene plattformbasierte Lösungen (z.B. Skripte und Makros) Innovation und Effizienz fördern. In jungen Start-ups oder kleinen Unternehmen dominiert häufig die Fachbereichskontrolle. Ein hoher Grad an Eigenverantwortung erlaubt es Mitarbeitern, ihre Zielsetzung mit jeder am Markt verfügbaren und finanzierbaren Lösung zu unterstützen. Je größer jedoch Unternehmen, desto höher wird das Risiko der Bildung von inkompatiblen Silos und ungesicherten Strukturen.

Zusammenfassung

Der Schlüssel liegt in den Prozessen, bei denen Schatten-IT enstehen kann. Wird Schatten-IT grundsätzlich verboten, bleibt die Möglichkeit ungenutzt, Transparenz zu schaffen und Potentiale unternehmensweit verfügbar zu machen. Werden im Rahmen von kontrollierten Technologien und Plattformen individuelle Lösungen zugelassen, können diese leicht abgesichert und integriert werden.

LinkedIn
WhatsApp
Telegram
Facebook
  • 28. Juni 2019

August-Wilhelm Scheer Institut

Weitere Artikel entdecken

The Moral Compass of the Mind

Gemeinsame globale Standards: Die UNESCO-Empfehlung als ethischer Kompass für KI

Image 2: Co-founders in front of W7-X2. (Proxima Fusion)

Fusion: The Final Frontier. These are the voyages of the next-generation stellarator reactors

Eintritt Campus Schwarzwald gGmbH

Vom Köhlerhandwerk zur KI-Forschung: Die neue Innovationslandschaft im Schwarzwald

Entdecken Sie unsere neusten Ausgaben

Digital. Grün. Mobil.

Ausgabe entdecken