Foto: Ulrike Sommer, www.schattenlichtfarbe.de
CIOs wollen sich am Phänomen Schatten-IT nicht die Finger verbrennen. Zu dieser Erkenntnis ist Informatik-Professor Christopher Rentrop von der Hochschule Konstanz (HTWG Konstanz) gelangt, nachdem er ein Forschungsprojekt gestartet hat zum Umgang mit Hard- und Software, die Anwender ohne Wissen der IT-Abteilung beschaffen und einsetzen.
CIO.de: Sie behaupten, CIOs drücken sich vor dem Thema Schatten-IT oder negieren es völlig. Wie kommen Sie darauf?
Christopher Rentrop: In das Forschungsprogramm "Schatten-IT", das wir mit dem IT-Sicherheitsanbieter Schutzwerk und der Unternehmensberatung Cassini gestartet haben, wollen wir Firmen einbinden. Von mehreren CIOs, die wir angesprochen haben, kam die Antwort: Spannendes Thema, aber das gehen wir lieber nicht an.
CIO.de: Wie viele haben sich denn so geäußert?
Rentrop: 23 Unternehmen haben wir bisher angesprochen. Drei haben sofort zugesagt teilzunehmen, einige überlegen noch. 13 wollen nicht teilnehmen - davon allein acht mit der Begründung, sie scheuten das Thema.
"CIOs scheuen Konflikt mit Fachabteilung"
CIO.de: Ist wirklich das Thema der Grund? Mir hat einmal ein CIO erzählt, dass er laufend Anfragen zur Teilnahme an Studien bekommt und deshalb grundsätzlich unwillig reagiert.
Rentrop: Das war eher nicht der Grund. Aus den Antworten wurde deutlich, dass die CIOs das Thema umgehen möchten.
CIO.de: Was waren typische Antworten?
Rentrop: Einer hat ganz offen gesagt: Wir wissen, dass es das gibt und dass es womöglich Betriebsrisiken zur Folge hat; das fassen wir aber lieber nicht an, weil wir den Konflikt mit der Fachabteilung scheuen. Ein anderer sagte: Wenn die Fachabteilung sich eigenmächtig IT beschafft, liegt das nicht mehr in meinem Verantwortungsbereich. Seine Aussage ging in die Richtung: Wenn ich mir das auch noch aufhalse, komme ich ans Ende meiner Kapazitäten. Ein dritter behauptete, bei ihm gebe es keine Schatten-IT. Ich wollte dagegen wetten, aber er hat die Wette nicht angenommen.
CIO.de: Woher stammen die Verweigerer? Ging das quer durch die Bank oder waren es Unternehmen bestimmter Größen oder Branchen?
Rentrop: Das waren vor allem große Unternehmen. Bei Mittelständlern ist das Verhältnis zwischen IT und Fachabteilungen offensichtlich offener. Bei den größeren wird eher eine Konfliktsituation deutlich.
Umgang mit Schatten-IT meist ohne Struktur
CIO.de: Unser Eindruck ist ein anderer. Die CIOs aus Großunternehmen, mit denen wir sprechen, beschäftigen sich sehr wohl mit Schatten-IT und entwickeln Konzepte für den Umgang damit - zum Beispiel mit Ansätzen wie "Bring Your Own Device".
Rentrop: Natürlich kommt es darauf an, mit wem man spricht. Die CIOs, die sich in Ihrem Magazin äußern, sind vielleicht generell eher offen gegenüber strategischen Themen. Man kann die Haltung, die ich beschrieben habe, sicher nicht ohne Ausnahme generalisieren. Auch wir sind ja nicht bei allen gegen die Wand gelaufen. Aber dass gleich so viele sich mit ähnlichen Argumenten dem Thema verweigern, hat mich überrascht.
CIO.de: Welchen Strategien folgen denn die, die sich mit dem Thema befassen?
Rentrop: Sie nehmen es vor allem erst einmal zu Kenntnis. Viele wissen aber noch nicht, wie damit umzugehen ist. CIOs, die sich mit Schatten-IT befassen, machen das oft frei Schnauze. Ein strukturierter Ansatz fehlt ihnen noch.
CIO.de: Wenn Sie in Ihrer direkten Umgebung an der Hochschule Konstanz nach Schatten-IT suchen würden, was käme da heraus?
Rentrop: Das brauche ich gar nicht zu erheben. Bei uns gibt es keine zentrale IT und keinen Support für Anwendungen. Nur auf den Laborrechnern läuft eine einheitliche Software. Ansonsten haben wir ein Budget und dürfen davon kaufen, was wir wollen. Nur wo Licht ist, ist auch Schatten. Sprich: Weil bei uns eine einheitliche IT gar nicht vorgegeben ist, gibt es auch keinen Schattenbereich, der sich davon abgrenzt. Das Thema zu beleuchten ist im Unterschied zu unserer Situation sinnvoll in Unternehmen, in denen IT-gestützte firmenweite Prozesse ablaufen.
CIO.de: Was ist aus Ihrer Sicht als Wissenschaftler so gefährlich an Schatten-IT?
Rentrop: Von gefährlich würde ich nicht sprechen. Klar verursacht Schatten-IT Risiken, Kosten und Compliance-Probleme. Auch kennen wir Beispiele, in denen offen zugängliche WLAN-Router in Firmennetzen gefunden wurden oder kritische Firmendaten in ungesicherten Datenbanken gepflegt werden. Man sollte das Thema dennoch positiv angehen - mit dem Ansatz: Was gewinnt das Business?
"Schatten-IT zeigt schlechtes Verhältnis von IT und Business an"
Die Antwort lautet: Die Abstimmung mit der IT wird besser, man gewinnt Planungssicherheit. Eine Studie von Peter Weill und Jeanne Ross von der Harvard University mit mehr als 250 Unternehmen hat gezeigt, dass die Performance von Unternehmen schlechter ist, wenn Entscheidungen nur vom Business getroffen werden. Man braucht also eine offene Zusammenarbeit zwischen IT und Business. Wo es viel Schatten-IT gibt, ist das Verhältnis zwischen beiden nicht optimal.
CIO.de: Wie gehen Sie in Ihrem Projekt jetzt weiter vor?
Rentrop: Bei den Unternehmen, die sich beteiligen, machen wir zunächst eine Bestandsaufnahme und Bewertung der aufgedeckten Schatten-IT. Im nächsten Jahr dann wird es darum gehen, Strategien zu entwickeln: Wer ist wofür zuständig und nach welchen Kriterien entscheidet man das? Außerdem muss man die Beschäftigung mit dem Thema verstetigen. Es reicht nicht, einmal den Stand zu erheben.
CIO.de: Es geht also nicht darum, Schatten-IT zu finden und zu verbannen?
Rentrop: Nein, man darf das Thema nicht nur negativ sehen. Letztlich sollte man Schatten-IT als nutzergetriebene IT verstehen, die auch Innovation bringt. Wir möchten einen Leitfaden entwickeln und Entscheidungshilfen, die Fragen zum Umgang beantworten: Welche Verfügungsrechte sind wo am besten aufgehoben? Wie viel Schatten-IT brauche ich? Ein solches Methodenset gibt es zurzeit noch nicht.
CIO.de: Vielen Dank für das Gespräch.