Im Einklang mit dem Risikomanagement

Wie CIOs die Schatten-IT nutzen können

08. Juni 2016
Von  und Stephanie Overby
Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Viele IT-Entscheider verteufeln die Schatten-IT, sind sich dabei aber der Vorteile nicht bewusst. Zum Beispiel verpassen sie die Gelegenheit, eine ganzheitliche IT-Strategie in ihren Unternehmen zu etablieren.

Der Begriff Schatten-IT ist in den meisten Fällen mit negativen Konnotationen behaftet. Dabei nimmt die Verbreitung von "eigenen" IT-Systemen immer mehr zu - insbesondere in Abteilungen, die hochdynamische Services bereitstellen und solchen, die für die Kommunikation mit Kunden zuständig sind. "Unternehmen realisieren langsam die Vorteile der nicht-traditionellen IT-Kanäle, während die Schatten-IT ein immer aggressiveres Wachstum an den Tag legt, um Unternehmen bei der Implementierung und Orchestrierung von Services zu unterstützen", ist Craig Wright, Managing Director beim Beratungsunternehmen Pace Harmon, überzeugt.

Die Schatten-IT muss nicht notwendigerweise eine Bedrohung für die IT-Abteilung darstellen: Stattdessen kann sie neue, effiziente Wege aufzeigen, wie Unternehmen geschäftliche Notwendigkeiten auffangen und eine tiefergehende Verständigung zwischen IT-Abteilung und Geschäftsführung schaffen können. Die erste Voraussetzung hierfür ist allerdings, dass IT-Entscheider die einstigen Schatten-Systeme besser identifizieren, einschätzen und managen können - nur so ist es möglich, die Vorzüge der Schatten-IT mit dem Risikomanagement in Einklang zu bringen.

Craig Wright hat den Kollegen unseres Schwesterportals cio.com im Interview verraten, warum IT-Verantwortliche ihr Verhältnis zur Schatten-IT grundlegend überdenken sollten.

Die Vorteile der Schatten-IT für Unternehmen

CIO.com: Bisher war der Begriff ‚Schatten-IT‘ vor allem negativ besetzt. Worin liegen die Gründe für die Vorbehalte?

Craig Wright: Der Begriff ist traditionell negativ besetzt, weil die Schatten-IT oft als ernsthafte Bedrohung für die Existenzberechtigung der IT-Abteilung als funktionale Einheit wahrgenommen wird.

Viele IT-Abteilungen haben sich im Laufe der Zeit weiterentwickelt. Sie begleiten inzwischen so tiefgreifende Projekte wie die Implementierung eines ERP-Systems oder die Umstellung von althergebrachten Legacy-Technologien auf moderne Lösungen. Durch die Unzahl der miteinander verwobenen IT-Technologien und -Lösungen, die sich in einem steten Wandel befinden, sind traditionelle IT-Abteilungen inzwischen oft ein ziemlich verwirrendes und komplexes Gebilde, wenn es um ihre Größe, Organisation und Zusammensetzung geht.

Im Gegensatz dazu bietet die Schatten-IT häufig ein auf Geschäftsmodelle und -prozesse genau abgestimmtes, einfach zugängliches und verständliches Angebot unter Einbeziehung der neuesten Technologien - etwa SaaS, PaaS, IaaS und andere nutzungsbasierte Modelle. Vor allem aber sind diese Services schon aufgrund ihres Designs agil und müssen nicht erst kostenintensiv umgestellt oder angepasst werden.

Die Schatten-IT scheint gegenüber der traditionellen IT-Abteilung oft im Vorteil - das ist allerdings nicht der Fall in technologischen Bereichen, in denen Unternehmen von berechtigten Sorgen umgetrieben werden. Zum Beispiel wenn es darum geht,

  • unternehmensweit Lösungen zu skalieren, auszuliefern und zu warten,

  • regulatorische und qualitative Anforderungen in Einklang zu bringen - insbesondere wo Design, Konstruktion, Installation und Performance prüffähig sind,

  • Legacy-Systeme dort weiter zu nutzen und auszubauen, wo keine Alternative zu althergebrachten Programmier-Fähigkeiten besteht,

  • Spezialfälle zu adressieren, in denen zwar keine geschäftliche, aber eine technologische Notwendigkeit besteht, Obsoleszenz, Schwachstellen oder Lokalisierung in Angriff zu nehmen.

CIO.com: Worin liegen also die Vorteile der Schatten-IT - nicht nur für das Business, sondern die IT-Abteilung selbst?

Craig Wright: Die Schatten-IT demystifiziert die IT: Sie ist ein bewährtes, relativ kostengünstiges Modell, das auf operativen Prinzipien beruht, die in der Consumer-Welt angekommen sind. Business-Nutzer haben oftmals Schwierigkeiten, die Definitionen und die Terminologie von IT-Spezialisten zu verstehen. Ganz zu schweigen von der komplizierten Kostenstruktur und dem zeitlichen Aufwand der benötigt wird, um bestimmte Ergebnisse zu erzielen. IT-Entscheider, die das Wertschöpfungspotential der Schatten-IT erkennen und versuchen, diese in die traditionelle IT zu integrieren, werden generell nicht nur als weniger einschüchternd, sondern auch als tiefer ins Kerngeschäft integriert wahrgenommen.

CIO.com: Wie können IT-Entscheider die Schatten-IT identifizieren?

Craig Wright: Eine geringe Sichtbarkeit liegt in der Natur der Schatten-IT. Es braucht Zeit und Mühe sie von den Business-Funktionen, mit denen sie verwoben ist, zu trennen. In vielen Fällen kann es vorkommen, dass der CIO solche Systeme erst erkennt, wenn ein Sicherheits-Vorfall auftritt oder ein Audit neue Daten oder Schwachstellen zu Tage fördert. Der Schlüssel zur Identifizierung und gewinnbringenden Nutzung der Schatten-IT liegt daher in der Zusammenarbeit mit den Business-Akteuren.

Neben der Etablierung von Service-Level-Agreements, können IT-Verantwortliche folgendermaßen Nutzen aus der Schatten-IT ziehen:

  • Die User sollten ihre Bedürfnisse in ihren eigenen Worten klar formulieren können, um sicherzustellen dass das benötigte Ergebnis ebenso klar und deutlich formuliert wird. Die User sollten im Idealfall keine Ahnung von IT-Technologien haben und trotzdem mit der IT-Abteilung kommunizieren können.

  • Schnüren Sie Pakete aus Hardware, Software, Infrastruktur und Services. So müssen die User keine Computer-Genies mehr sein, um ihre Ziele zu erreichen.

  • Erweitern Sie den Service-Katalog um Schatten-IT-Services. So legitimieren Sie die Nachfrage und Nutzung nach solchen Services.

So minimieren Entscheider die Risiken der Schatten-IT

CIO.com: Wie können CIOs die Risiken der Schatten-IT besser managen ohne dabei die Vorteile zu mindern?

Craig Wright: In jeder von Wandel geprägten Umgebung bestehen Risiken und in der IT ist Wandel eine sichere Konstante. Bleibt die Schatten-IT unerkannt, ist das damit verbundene Risiko nicht quantifiziert und damit unkontrollierbar. Indem Schatten-IT-Anwendungen legitimiert werden, werden sie sichtbar - und mit ihnen ihr Risikopotenzial.

Es ist wichtig, bei der Entwicklung von Risikomanagement-Strategien die Verhältnismäßigkeit zu wahren. Eine One-Size-Fits-All-Ansatz ist im Fall der Schatten-ITSchatten-IT meist nicht geeignet: Um die Vorteile der Schatten-IT zu nutzen, sollten Entscheider über den Tellerrand hinausschauen, Kreativität walten lassen und auch bestehende Richtlinien in Frage stellen. Alles zu Schatten-IT auf CIO.de

CIO.com: Wie passt das Thema Outsourcing zur Schatten-IT?

Craig Wright: Die Schatten-IT wird nicht vom Outsourcing getrieben und kann - interessanterweise - auch selbst outgesourct werden. Outsourcing ist eine hervorragende Gelegenheit um IT-Services zu rationalisieren, neu zu definieren und sie mit Geschäftsergebnissen verknüpfen.

CIO.com: Wenn man die Schatten-IT ihres Schattendaseins beraubt, bräuchte sie dann nicht auch einen neuen Namen?

Craig Wright: Die Anerkennung der Schatten-IT als 'Business Technology' wäre ein Schritt in die richtige Richtung.

Dieser Beitrag basiert auf einem Artikel unseres Schwesterportals cio.com.