Digitalisierung erfordert eine enge der Zusammenarbeit zwischen Fachabteilungen und IT – Interview mit Prof. Thomas Allweyer
Hand aufs Herz: Wie viel Schatten-IT gibt es in Ihrem Unternehmen? Also Informationstechnik, die unter der Flughöhe der IT-Abteilung Geschäftsprozesse unterstützt und durch die Fachbereiche betrieben wird? Schatten-IT ist ein zweischneidiges Schwert. Auf der einen Seite wirkt sie als Innovationsbeschleuniger und genießt in Nutzerkreisen einen hohen Akzeptanzgrad. Auf der anderen Seite ist Schatten-IT auch immer ein Sicherheitsrisiko und vergrößert den Wildwuchs an eingesetzter Technologie. Doch wie viel Schatten-IT ist denn nun sinnvoll? Und was ändert sich im digitalen Zeitalter?
Diese und weitere Fragen besprachen wir mit Thomas Allweyer, Professor an der Hochschule Kaiserslautern und Unternehmensberater für IT-Management, Geschäftsprozessmanagement und Automatisierung.
Hallo Prof. Thomas Allweyer: In unserem Interview dreht es sich um die Schatten-IT. Für ein gemeinsames Verständnis: Was verstehen Sie unter diesem Begriff?
Schatten-IT umfasst sämtlichen IT-Einsatz, der sich unterhalb des Radars der offiziellen IT-Organisation abspielt. Fachabteilungen stricken Anwendungen auf Basis von Excel, betreiben eigene Server mit selbst beschaffter Software oder nutzen auf eigene Faust öffentliche Cloud-Dienste.
IT-Abteilungen sehen dies zumeist sehr ungern. Die Schatten-IT ist nicht in die IT-Landschaft integriert, führt zu Insellösungen, entspricht nicht den Unternehmensstandards und durchläuft nicht die vorgegebene Qualitätssicherung. Vor allem aber können gravierende Sicherheitsrisiken und Compliance-Verletzungen entstehen, von denen die IT-Abteilung nichts weiß.
Auf der anderen Seite ist es sehr begrüßenswert, wenn Fachabteilungen über engagierte, IT-affine Mitarbeiter verfügen, die kreative Problemlösungen schaffen und IT auf intelligente Weise einsetzen. Sie sind nah an den Anwendern, weshalb die Lösungen in der Regel einen sehr konkreten Bedarf befriedigen und die Arbeit verbessern. In vielen Fällen handelt es sich auch um Reaktionen auf Defizite und lange Entwicklungszeiten der offiziellen IT. Anstatt monatelang darauf zu warten, dass Änderungsanträge umgesetzt werden, macht man es eben selbst.
„In vielen Fällen handelt es sich auch um Reaktionen auf Defizite und lange Entwicklungszeiten der offiziellen IT. Anstatt monatelang darauf zu warten, dass Änderungsanträge umgesetzt werden, macht man es eben selbst.“
Das Phänomen von versteckter Informationstechnik ist kein neues. Was ändert sich im Zeitalter von Digitalisierung, Generation-Z-Arbeitnehmern und Pandemien?
Die heutige Generation ist mit Smartphones aufgewachsen. Für sie ist es normal, viele Aspekte des täglichen Lebens mit Hilfe von intuitiv bedienbaren Apps zu organisieren, die jederzeit nach Bedarf installiert und ausprobiert werden können.
Es wird erwartet, dass die IT-Nutzung im Beruf genauso einfach und intuitiv wie im Privatleben ist. Und wenn im Unternehmen etwa die IT-Unterstützung für die Teamarbeit unkomfortabel ist, dann liegt es nahe, auch beruflich über den privat genutzten Messenger-Dienst zu kommunizieren oder einen der zahlreichen Cloud-Dienste zur Team-Kollaboration zu abonnieren. Über die damit möglicherweise verbundenen Sicherheits- und Datenschutzrisiken macht man sich wenig Gedanken.
In der Pandemie mussten viele Teams von heute auf morgen komplett virtuell zusammenarbeiten. Da hat man sich im ersten Schritt mit allem beholfen, was verfügbar war. Auf der anderen Seite sind in dieser Situation viele IT-Abteilungen fast über sich hinausgewachsen und haben in Rekordzeit eine flächendeckende Ausstattung für mobiles Arbeiten aufgebaut, mit allen erforderlichen Diensten für Videokonferenzen, Teamkollaboration usw. Vieles davon wäre schon früher für die Arbeit im Home-Office oder unterwegs benötigt worden. Die Pandemie hat hier als Katalysator gewirkt. Dort, wo die IT-Abteilung alles Notwendige bereitstellt, sinkt auch die Notwendigkeit, sich außerhalb des offiziellen Angebots umzusehen.
Im Zuge der Digitalisierung sind zahlreiche Technologien entstanden, die es den Fachabteilungen erleichtern, ihre eigenen Lösungen zu entwickeln. Dazu gehören Low-Code-Plattformen und Robotic-Process-Automation (RPA). Low-Code-Plattformen ermöglichen es auch Mitarbeitern, die nicht programmieren können, kleinere Anwendungen selbst zu erstellen. Ähnlich ist dies bei RPA: Mitarbeiter, die mit verschiedenen Anwendungssystemen arbeiten, können Teile ihrer Arbeit automatisieren, indem sie einen Bot anlernen. Hierzu müssen sie im einfachsten Fall lediglich die betreffenden Aktionen einmal durchführen und aufzeichnen lassen.
Da die Einführung derartiger Tools recht unkompliziert ist, kann es leicht zu neuem Wildwuchs kommen. Manche Unternehmen mussten feststellen, dass in den vergangenen Jahren ein Durcheinander aus zahlreichen unterschiedlichen RPA-Plattformen entstanden ist.
Andererseits können mit diesen jungen Technologien nicht nur fachbereichsinterne Probleme gelöst werden. Vielmehr bieten sie das Potenzial für eine umfassende Automatisierung durchgängiger Prozesse und die Entwicklung umfassender Anwendungen. Dieses Potenzial wird aber nicht genutzt, wenn jede Fachabteilung unabgestimmt ihre eigenen Automatisierungstools auswählt.
Machen wir es konkret. Angenommen ich bin IT-Leiter eines Maschinenbauers in der Pfalz. Wie viel Schatten-IT sollte ich in meinem Unternehmen zulassen?
Mittelfristig sollte es möglichst keine Systeme mehr geben, von denen die IT-Abteilung überhaupt nichts weiß und die sämtlichen IT-Governance-Regelungen entzogen sind.
Sehr sinnvoll ist es hingegen, den Fachbereichen Freiheiten für individuelle IT-Aktivitäten zu geben. Hierdurch wird es ermöglicht, innovative Ideen auszuprobieren, neue Technologien zu evaluieren und dort, wo die IT-Abteilung keine Lösung anbietet, selbst etwas zu entwickeln.
Dies sollte jedoch innerhalb eines festgelegten Rahmens erfolgen. So gibt es regulatorische Anforderungen, die eingehalten werden müssen, weil dem Unternehmen sonst untragbare Risiken entstehen. Zudem sollten erprobte Technologie-Stacks und Entwicklungsplattformen zur Verfügung stehen, die vorrangig zu nutzen sind.
Aufgabe der IT-Abteilung ist es, einen solche Rahmen zu definieren und die entsprechenden Voraussetzungen zu schaffen. Stellt die Unternehmens-IT den Fachbereichen beispielsweise Cloud-Speicher zur Verfügung, so brauchen die Fachbereiche ihre Daten nicht mehr bei externen Cloud-Anbietern zu speichern. Damit laufen sie auch nicht mehr Gefahr, Sicherheitsrisiken zu verursachen oder Datenschutzregeln zu verletzen.
„Sehr sinnvoll ist es hingegen, den Fachbereichen Freiheiten für individuelle IT-Aktivitäten zu geben. Dies sollte jedoch innerhalb eines festgelegten Rahmens erfolgen.“
Inwieweit haben Sie Muster in Prozessen, Technologie oder Organisationen observiert, mit denen sich Schatten-IT wirkungsvoll eindämmen lässt?
Zunächst kann der Aufbau eines wirksamen IT-Sicherheitsmanagementsystems einen wichtigen Beitrag zur Eindämmung von Schatten-IT leisten. Wenn durch organisatorische und technische Maßnahmen sichergestellt wird, dass es nicht ohne weiteres möglich ist, einen neuen Server ins Netzwerk zu bringen oder eine beliebige Software zu installieren, dann werden bereits viele Schatten-IT-Aktivitäten erschwert – insbesondere solche, die zu Sicherheitsrisiken führen.
Vor allem aber muss das Bewusstsein für die Risiken geschärft werden. Mitarbeiter, die mal eben so unternehmenskritische Daten zu einem unbekannten Cloud-Dienstleister hochladen, machen sich wahrscheinlich nicht klar, welche fatalen Folgen ein Datenleck haben kann oder welche Strafen auf eine Verletzung der Datenschutzgrundverordnung stehen. Wer sich dieser Risiken bewusst ist, wird sich zweimal überlegen, ob er durch sein Verhalten möglicherweise für einen riesigen Schaden verantwortlich sein will.
Noch wichtiger aber ist es, die Ursachen für Schatten-IT zu beseitigen. Schatten-IT entsteht beispielsweise, weil Fachabteilungen ihre Anforderungen in der offiziellen IT nicht berücksichtigt sehen, oder weil der offizielle Weg zur Umsetzung von Anforderungen als zu langsam empfunden wird. Wenn die IT-Abteilung den Ruf hat, dass sie die Umsetzung neuer Ideen eher verhindert, dann werden kreative Fachabteilungsmitarbeiter einfach selbst aktiv.
Wenn die IT-Abteilung hingegen – wie bereits oben angesprochen – explizit die Möglichkeit für individuelle Entwicklungen anbietet und die Fachabteilungen dabei unterstützt, können diese Entwicklungen in geordnete Bahnen gelenkt werden. Zu einer derartigen Unterstützung kann es gehören, die Fachabteilungen zu beraten und zu schulen, Qualitätssicherungsmaßnahmen durchzuführen und Cloud-Anbieter auf ihre Eignung zu überprüfen.
Häufig gewünschte Cloud-Services sollten die Fachabteilungen direkt von der eigenen IT-Abteilung erhalten können. Diese kann die Services selbst erbringen oder von einem sorgfältig ausgewählten Anbieter beziehen.
Stellt die IT-Abteilung eine gemeinsame Low-Code-Entwicklungsplattform zur Verfügung, so können die Fachabteilung ihre individuellen Entwicklungen mit dieser Plattform durchführen. Auf diese Weise ist sichergestellt, dass eine einheitliche Infrastruktur genutzt wird und grundlegende Sicherheitsanforderungen erfüllt sind.
Wenn eine gemeinsame Plattform genutzt wird, ist es leicht möglich, interessante Entwicklungen auch anderen Abteilungen zur Verfügung zu stellen. Besonders interessante und nützliche Individual-Lösungen können ggf. unter Einbeziehung der IT-Abteilungen zu offiziellen Standardlösungen für das gesamte Unternehmen weiterentwickelt werden.
Generell erfordert die zunehmende Digitalisierung eine andere und engere Art der Zusammenarbeit zwischen Fachabteilungen und IT. Digitale Innovationen werden vielerorts von interdisziplinären Teams entwickelt, wobei die jeweiligen Fachabteilungen die treibende Rolle spielen. Als technologische Basis zur Unterstützung der Kernprozesse werden leistungsfähige Digitalisierungsplattformen eingesetzt, die auch die erwähnte Low-Code-Entwicklung unterstützten. Dass diese Plattformen – wie oben beschrieben – auch für kleinere, abteilungsindividuelle Entwicklungen genutzt werden können, ist dann eher ein angenehmer Nebeneffekt. Die von der Digitalisierung getriebene enge Zusammenarbeit zwischen Fach- und IT-Experten kann wesentlich dazu beitragen, die Problematik der Schatten-IT zu reduzieren.
„Generell erfordert die zunehmende Digitalisierung eine andere und engere Art der Zusammenarbeit zwischen Fachabteilungen und IT.“
Letzte Frage: Wenn Sie ein Buch für modernes IT-Management neben dem Ihren empfehlen würden: Welches sollte es sein?
Einige sehr empfehlenswerte Bücher zu dem Thema, wie z. B. von das Handbuch IT-Management von Ernst Tiemeyer oder IT-Management im Zeitalter der Digitalisierung von Urbach und Ahlemann, sind auf Ihrer Website bereits erwähnt worden.
Daher möchte ich auf ein Buch hinweisen, dass sich weniger mit dem IT-Management im herkömmlichen Sinne beschäftigt, sondern die Potenziale der ‚Hyperautomation‘ aufzeigt, also dem intelligenten Zusammenspiel von Technologien wie KI, Low-Code, RPA und Cloud-Computing. Es handelt sich um das englischsprachige Buch Intelligent Automation von Bornet, Barkin und Wirtz.
Das Interview mit Prof. Thomas Allweyer führte Christopher Schulz per E-Mail am 26. März 2021.
Zur Person Prof. Thomas Allweyer
Prof. Thomas Allweyer
Hochschulprofessor und Berater für IT-Management und Geschäftsprozessmanagement
Thomas Allweyer befasst sich schwerpunktmäßig mit den Themen IT-Management, Geschäftsprozessmanagement und Automatisierung. Zu seinen zahlreichen Veröffentlichungen gehören ein Buch zur Einführung in das IT-Management sowie ein Lehrbuch über die Prozessmodellierungsnotation BPMN.
Neben seiner Professur an der Hochschule Kaiserslautern ist er auch beratend tätig. In seinem Weblog www.kurze-prozesse.de beschäftigt er sich mit aktuellen Entwicklungen im IT- und Geschäftsprozessmanagement.
Bornet, Barking & Wirtz: INTELLIGENT AUTOMATION (Buchtipp von Prof. Thomas Allweyer)
Learn how to harness Artificial Intelligence to boost business & make our world more human
Lulu.com | 2020 | 432 Seiten | Print-ISBN: 978-1716519765
Ebenfalls interessant
ArchiMate® Certification – Exam Preparation, Exercise Tips & Practice Tests
How to ace the ArchiMate® 3 Part 1 Exam and obtain a ArchiMate® Foundation Certification? All you need to obtain the ArchiMate® 3 Foundation badge from The Open Group.
TOGAF® Zertifizierung – Prüfungsvorbereitung, Übungstipps & Probetests
Was erfordert die TOGAF Zertifizierung? Alles zur Prüfungsvorbereitung, Praxistipps & Übungstests für das TOGAF Enterprise Architecture Exam.
IT-Vision – ein attraktives Zielbild für die Organisation kreieren
Was ist eine gute IT-Vision? Wie grenzt sich diese zur IT-Mission ab? Entwicklung, Beispiele & Vorlagen für das Zielbild der IT-Organisation.