Mit der zunehmenden Digitalisierung steigt auch der Bedarf an «modernen» IT-Werkzeugen. Ebenso ist das IT-Know-how in den Fachbereichen in den letzten Jahren gestiegen. Die steigenden Anforderungen und die aufkommende Agilität der Fachbereiche überfordern altbewährte IT-Strukturen. Dies kann dazu führen, dass IT-Lösungen an der offiziellen Unternehmens-IT vorbei realisiert werden.
Warum Mitarbeitende Schatten IT nutzen
Wer hat nicht schon alltägliche Tools wie Dropbox, Übersetzungsdienste oder unternehmensfremde Kollaborationsplattformen eingesetzt? Laut einem Bericht von Microsoft nutzen 80 % der Angestellten solche nicht offiziell freigegebenen Tools. Grundsätzlich stellen sie nichts Böses dar und helfen, täglich anfallende Arbeiten effizienter zu gestalten. Immer mehr Mitarbeitende haben eine hohe IT-Affinität, welche sie im Sinne des Unternehmens einbringen möchten. Viele innovative Tools werden privat genutzt und man möchte sie auch im Unternehmen einsetzen. Dabei werden jedoch die geltenden Richtlinien bewusst oder unbewusst vernachlässigt. Nutzen alle das gleiche unautorisierte Tool, mag es noch überschaubar sein. Schwieriger wird es jedoch, wenn viele solcher Lösungen im Unternehmen eingesetzt werden und unklar ist, wo überall Unternehmensdaten gespeichert werden.
Veränderungen durch die Digitalisierung
Die zunehmende Digitalisierung der Arbeitswelt braucht unweigerlich neue technische Lösungen. Dabei setzen immer mehr auf Cloud-Anwendungen. Diese können einfach, nicht selten auch kostenlos, bezogen werden. Aus Sicht der Mitarbeitenden ist die schnelle Einsatzbereitschaft ohne «kompliziertes» Genehmigungsverfahren ein Vorteil. Gerade in der Pandemiezeit waren solche «flexiblen» Lösungen sehr gefragt, und sind teilweise auch geblieben.
Risiken für Unternehmen
Schatten-IT ist kein neues Phänomen. Es existierte auch früher, war aber überschaubar und leichter zu kontrollieren. Viele der neu eingesetzten Tools funktionieren ohne «Installation» im Browser oder auf mobilen Geräten, was es schwieriger macht, sie zu erkennen. Mit der aufkommenden Digitalisierung kommt ohnehin viel Aufwand auf die IT zu. Gerade aufgrund fehlender Ressourcen oder Prozesse werden solche Lösungen dann ohne Einbezug der IT implementiert, wobei die Datensicherheit oft auf der Strecke bleibt. Auch die damit verbundene Abhängigkeit des Geschäftsprozesses von einem unkontrollierbaren Dienst kann ein potenzielles Risiko darstellen. Beachtet man auch noch die neuen Datenschutzgesetzte und die Cyberbedrohungen, ist Schatten-IT kritisch einzustufen. Die generelle Sperrung aller Clouddienste wäre wohl für viele Unternehmen auch nicht praktikabel. Auch die Umsetzung rein organisatorischer Massnahmen würde wenig zur Eindämmung beitragen.
Schatten-IT aktiv angehen
Bisher wurde hauptsächlich über die Nachteile der Schatten-IT gesprochen, jedoch sollte Schatten-IT auch als Chance betrachtet werden. Umso wichtiger ist es, diese zu identifizieren und deren Einsatz zu regeln. Der folgende Prozess beschreibt kurz einen möglichen Lösungsansatz:
Zur Erkennung und Überwachung von Schatten-IT stehen verschiedene technische Möglichkeiten zur Verfügung. Beispielsweise können vorhandene Daten wie Firewall- oder Proxy-Logfiles zur Analyse herangezogen werden. Es gibt aber auch speziell auf Schatten-IT spezialisierte Dienste, welche genutzt werden können. So gibt es beispielsweise in der M365 Suite von Microsoft einen Dienst, der alle von Mitarbeitenden genutzten Tools erkennt. Dieser stellt auch geeignete Einsatzrichtlinien zur Verfügung, welche definiert und durchgesetzt werden können. Die Ergebnisse solcher Analysen sollten dann in das IT-Asset-Management einfliessen, um Transparenz der eingesetzten IT-Ressourcen zu erhalten. Ein wichtiger Aspekt ist es, die Bedürfnisse der Fachabteilungen zu verstehen und ernst zu nehmen. Dabei sollte man sie unterstützen und sie in die Lösungsprozesse einbinden. Auch ist die IT-Architektur proaktiv auf diese Bedürfnisse auszurichten und beispielsweise eine zentralen Anlaufstelle zu definieren, die ein offenes Ohr für neue Ideen hat.
Fazit
Es ist wichtig, die Schatten-IT im Management zu thematisieren. Die daraus resultierende Sensibilisierung kann dazu beitragen, dass IT-Mittel innovativ und gleichzeitig regelkonform eingesetzt werden. Ebenso kann dadurch das Unternehmensrisiko durch Kontroll- oder Datenverlust minimiert werden.
Weiterführende Links:
- IBM | What is Shadow IT?
- Microsoft | Discover and manage shadow IT
- CSO Online | Shadow IT as increasing risk
Das Titelbild wurde vom Autor mit einzelnen Ressourcen von Freepik.com erstellt.
