Schatten-IT – versteckte IT erkennen und wirkungsvoll eindämmen

Management Summary

  • Zu Schatten-IT zählen alle IT-Lösungen, welche die Fachbereiche autonom einsetzen und die damit nicht in das Servicemanagement der zentralen IT eingebunden sind.
  • Schatten-IT ist in Unternehmen ein zweischneidiges Schwert. Zum einen unterstützt es effiziente und innovative Geschäftsprozesse, zum anderen stellt es ein rechtliches und sicherheitstechnisches Risiko dar und sorgt für Ineffizienzen.
  • Schatten-Daten sind eine Sonderform von Schatten-IT. Dabei handelt es sich um Daten, die auf einem (Cloud-basierten) IT-System vergessen wurden und oft für Dritte öffentlich einsehbar sind.
  • Die Ursachen für Schatten-IT liegen bei der IT, den Fachbereichen sowie dem Zusammenspiel beider Organisationseinheiten.
  • Durch IT-Governance und Enterprise Architecture Management lässt sich die Ausbreitung von Schatten-IT eindämmen, ihr Risiko reduzieren und IT-Effizienzpotentiale heben.

Application Landscape Management

 

In einer IT-Systemlandschaft stecken 2 Mio. Dollar Optimierungspotential.
Wie viel können Sie realisieren?

Bestimmen Sie in weniger als 8 Minuten mit 14 Einzelfragen die Optimierungshebel im Management Ihres Applikationsportfolios.

Was ist Schatten-IT?

Schatten-IT umfasst alle IT-bezogenen inoffiziellen…

  • Organisationseinheiten
  • Prozesse
  • Systeme (inkl. Daten)
  • Infrastrukturkomponenten

die in den Fachbereichen Ihres Unternehmens ohne das Wissen, die Zustimmung oder den Support der IT-Abteilung zur Anwendung kommen. Alternative Bezeichnungen für Schatten-IT (engl. Shadow IT) sind graue IT (engl. Grey IT), versteckte IT (engl. Hidden IT) oder Schlingel IT (engl. Rougue IT), wahlweise mit Bindestrich zwischen den einzelnen Worten.

Schatten-IT ist weder strategisch noch operativ in Ihrer IT eingegliedert. Damit entziehen sich Schatten-IT-Lösungen den regulären IT-Service Managementprozessen wie dem Release, Configuration oder Asset Management.

Organisation

z.B. fachliche Administratoren, Wartungsverantwortliche oder Betreiber

Prozesse

z.B. Beschaffung, Konfiguration oder Weiterentwicklung

Systeme

z.B. Kaufsoftware, Entwicklungs-Frameworks oder Cloud Dienste

Infrastrukturkomponenten

z.B. Router, Smartphones oder USB-Sticks

Wodurch entsteht Schatten-IT?

Das Phänomen Schatten-IT ist kein neues. Seit Jahrzehnten setzen Fachabteilungen auf selbstgestrickte Software-Tools, individuell beschaffte Hardware und eigenmächtig betriebene IT-Services. Einen besonderen Wachstumsschub erfuhr Schatten-IT durch die Verbreitung der Personal Computer in den 1980er- und 1990er-Jahren. Lief die Beschaffung von Hard- und Software vormals zentral über die IT-Abteilung, befeuern heute mobile Endgeräte und Cloud-basierte Webdienste die Ausdehnung der versteckten Informationstechnik.

Den emanzipierten Fachbereichen spielen zudem…

  • der vereinfachte Zugang zu Technologie mit Laptops, Smartphone und Internet,
  • das steigende Vertrauen in digitale Dienste (‚Digital Natives‘),
  • die geringen Anschaffungskosten für Speicher, Endgeräte und Apps,
  • die wachsende Verbreitung von Software-as-Service Angeboten samt Freemium Geschäftsmodellen sowie
  • externe Einflüsse, welche die Fachanwender zwingen IT-Lösungen von Dritten einzusetzen

als Pull-Gründe für eine Schatten-IT in die Karten.

Schatten-IT entsteht immer dann, wenn die seitens der IT-Abteilung angebotenen Dienste in Funktion und Qualität nicht den Anforderungen der Fachbereiche genügen. Anders ausgedrückt: Die Bedarfe des Business sind nicht mit dem Angeboten der IT abgestimmt. Es kommt zum Business-IT-Non-Alignment. In Folge dieser Diskrepanz reagieren die Fachabteilungen in Notwehr und nutzen ihr Budget selbst Tools zu beschaffen.

Unterschiedliche Push-Gründe gegen eine zentrale IT drücken sie weg, beispielsweise…

  • hohe administrative Hürden für die Beschaffung und Nutzung neuer IT-Services,
  • unflexible Budgets oder Intransparenz bei IT-Verrechnungspreisen,
  • ausbleibende IT-Unterstützung aufgrund von personellen Kapazitätsengpässen bzw. fehlendem Knowhow,
  • veraltete IT-Lösung beispielsweise aufgrund geringer Innovationsfreude der IT-Abteilung sowie
  • geringe organisatorische, geographische bzw. prozessuale Verbundenheit zwischen Fach- und IT-Seite.
„Halten Sie Finanz-, Order-to-Cash-, Nachrichten-, Personal- und Rechtssysteme unbedingt unter zentraler IT Hoheit. Gleiches gilt für Rechenzentren, Office IT, Cyberschutz Technologie sowie Speicher sensibler Kunden-, Mitarbeiter- und Lieferantendaten.“
Dr. Christopher Schulz

ClearanceJobs: What is Shadow IT? (1min)

Wie verbreitet ist Schatten-IT?

Im digitalen Zeitalter ist Schatten-IT in den meisten Organisationen zu finden. Laut dem Konstanzer Instituts für Prozesssteuerung der Hochschule Konstanz gehören 10 bis 50 Prozent einer normalen IT-Systemlandschaft zu Schatten-IT. Der Lehrstuhl um Professor Rentrop untersuchte dazu 30 Unternehmen angefangen vom gehobenen Mittelstand mit 2.000 Mitarbeitern bis zum Konzern mit 40.000 Angestellten.

Das Marktforschungsunternehmen IDC befragte im Jahr 2014 insgesamt 260 IT-Fach- & -Führungskräfte aus Unternehmen in Deutschland mit mindestens 100 Mitarbeitern. Laut den Befragten nutzen 32 Prozent der Fachabteilungen teilweise und zwölf Prozent sogar sehr umfangreich Public-Cloud-Lösungen, ohne dabei die IT-Abteilung einzubeziehen.

Gemäß einer McAfee Umfrage aus 2019 geben 53 Prozent der befragten IT-Leiter zu Protokoll, dass über die Hälfte der Mitarbeiter in ihrem Unternehmen Anwendungen einsetzt, von denen die IT-Abteilung nichts weiß. Immerhin 14 Prozent der Fachnutzer wissen dabei nicht, ob die Anwendungen, die sie nutzen, von der IT-Abteilung genehmigt wurde oder nicht.

Schließlich konstatiert die Prüfungs- & Beratungsgesellschaft PricewaterhouseCoopers (PwC) in der 2015 Global Digital IQ® Survey, dass 68 Prozent der Technologieinvestitionen außerhalb der IT-Abteilung außerhalb der Kontrolle des Chief Information Officers getätigt werden.

„Dezentralisieren Sie hingegen die Kerntechnologie von Produkten und Dienstleistungen sowie Marketing-, Verkaufs- und Lieferkettensysteme. Sorgen Sie mit Abgabe an die Fachabteilungen für schnelle IT Innovation, Nähe zum Kunden sowie starke Integration in die Geschäftsabläufe.“
Dr. Christopher Schulz

Was sind Schatten-Daten?

Eine Sonderform von Schatten-IT sind Schatten-Daten, gelegentlich auch vergessene Daten genannt. Dabei handelt es sich um Daten, die auf einem Computer-System vergessen bzw. übersehen ohne Verantwortlichen vor sich hin schlummern. Oft handelt es sich bei Schatten-Daten um Kopien gültiger Daten, entstanden beim Testing einer Software, Backup eines Systems oder Migration von Daten von Vorgänger- zu Nachfolger-Applikation. Speziell die Verbreitung von Cloud-Speicherlösung hat das Phänomen von Schatten-Daten seit den 2010er Jahren befördert.

Schatten-Daten werden für ein Unternehmen zu einem Problem, falls sie sensible Informationen enthalten (z.B. Kreditkarten-Nummern/Prüfziffern, Login-Daten, persönliche Profile, Zugriffsprotokolle) und der Zugriff auf das speichernde System von Außen durch Dritte einfach und schnell erfolgen kann. Im schlimmsten Fall ziehen Angreifer die Schatten-Daten ab und missbrauchen sie.

Gegenstrategien zu Schatten-Daten sind…

  • das Löschen aller temporär entstandener Daten bei Backups.
  • die Durchführung von Software-Tests in eigens geschützten Netzbereichen.
  • das Aufstellen und Einhalten von Regelwerken für die Datenlöschung nach Testende.
  • der Einsatz von Tools zum Aufspüren von Schatten-Daten.

Wie lässt sich Schatten-IT reduzieren?

Schatten-IT aktiv managen

Ein grundlegendes Verbot von Schatten-IT im Unternehmen ist nicht zu empfehlen. Fachbereiche würden in ihrer Wertschöpfung gebremst werden, auch erschweren die zahlreichen technischen Möglichkeiten die Durchsetzung einer flächendeckenden Untersagung.

Vielmehr sollten Sie Schatten-IT aktiv managen. Disziplinen wie das Enterprise Architecture Management sowie die IT Governance helfen dabei, Schatten-IT in Ihrem Unternehmen gezielt zu steuern.

Phase 1: Schatten-IT identifizieren

Zu Beginn steht die Identifikation der versteckten IT entlang der Geschäftsprozesse. Gehen Sie hier auf mehreren Ebenen vor:

  • Setzen Sie auf technische Hilfsmittel. Tools für Netzwerk-Monitoring und Geräte-Scanning helfen ein Teil der nicht registrierten Informationstechnik aufzuspüren. Zudem bieten Configuration Management und IT Asset Lösungen ausgereifte Agenten-Module an, mit denen sich installierte Softwareprodukte aufdecken und inventarisieren lassen.
  • Sprechen Sie mit den Prozessverantwortlichen und Kernnutzern der Fachbereiche. Strukturierte Befragungen, Serieninterviews und Sensibilisierungsworkshops gepaart mit dem Aufzeigen des Transparenzgewinns sorgt für Unterstützung.
  • Werten Sie die im Helpdesk aufgelaufenen Incident & Service Request Tickets aus. Falls ein bestimmter Tickettyp ausbleibt, obwohl am zugehörigen System nichts geändert wurde, ist das ein Hinweis auf Schatten-IT. Umgedreht deutet eine plötzliche Zunahme an Tickets bei unveränderter IT-Landschaft ebenfalls auf die Nutzung verdeckter IT-Lösungen.
  • Vergleichen Sie die Budgets, welche die IT-Abteilung direkt verwaltet mit den IT-Ausgaben des Fachbereichs (z.B. Drucker, Smartphones, Softwarelizenzen). Die Differenz ist ein Indikator für Schatten-IT.

Sammeln Sie alle gewonnen Informationen über die Schatten-IT zentral an einer Stelle, beispielsweise in der Configuration Management Database (CMDB), im Enterprise Architecture Tool oder im IT Asset Management Software.

Phase 2: Schatten-IT bewerten

Beurteilen Sie die aufgedeckte Schatten-IT entlang definierter Kriterien. Hierzu mehrere Vorschläge aus unserer Praxis:

  • Die fachliche Relevanz reflektiert die Wichtigkeit einer Schatten-IT-Instanz für die Anwender. Indikatoren sind beispielsweise die Nutzeranzahl, die Anwendungsfrequenz, die Datenmenge oder die Kritikalität der unterstützen Geschäftsprozesse.
  • Die technische Qualität zeigt den Professionalisierungsgrad mit dem die versteckte IT betrieben, gewartet und weiterentwickelt wird. Gleichsam darunter zu verstehen sind die Güte der Systemeigenschaften sowie die Datenqualität.
  • Der Parallelität illustriert den Grad, zu welchem eine offiziell verfügbare IT-Lösung die Aufgaben der Schatten-IT-Instanz teilweise bis vollständig übernehmen könnte.

Weitere Parameter sind das Innovationspotenzial, das Risiko für Business und IT (sowohl Schadensausmaß als auch Eintrittswahrscheinlichkeit) sowie der Ersetzungsaufwand.

Halten Sie den Dialog mit den Fachbereichen unbedingt aufrecht. Spätestens wenn es um die Überführung der Nutzdaten aus der schattenbehafteten in eine offizielle Lösung geht, benötigen Sie erneut den fachlichen Beitrag.

Phase 3: Schatten-IT kontrollieren

Schließlich bereinigen Sie in einem letzten Schritt alle Schatten-IT-Ausprägungen mit großer fachlicher Relevanz, geringer technischer Qualität sowie einem hohen Parallelitätsgrad. Erneut bieten sich Sie Ihnen mehrere Konsolidierungsoptionen:

  • Legalisieren durch Umbau bzw. Erneuerung der Schatten-IT-Lösung samt Überführung der Verantwortlichkeiten in die zentrale IT
  • Abschalten von redundanter Schatten-IT mit oder ohne der Bereitstellung einer Ersatzlösung
  • Bewusstes Belassen und enge Betreuung der nun offengelegten Schatten-IT als fachliche Nischenlösung

Um das Aufkeimen neuer Schatten-IT in der Zukunft zu begrenzen, sollten Sie zudem geeignete IT-Governance-Strukturen aufsetzen. Die gemeinsam erarbeiteten Abläufe, Regeln und Prinzipien adressieren dabei insbesondere die unternehmensindividuellen Ursachen für die versteckte IT. Das Maßnahmenbündel beginnt beim IT Architecture Review und endet bei der Veto-Macht der zentralen IT-Abteilung

Achten Sie darauf, dass jede Schatten-IT-Lösungen einem fachlichen Verantwortlichen zugewiesen wird. Sensibilisieren und Schulen Sie zudem Ihre Fachbelegschaft. Wer weiß, wie das System zu nutzen ist, kümmert sich nicht um eine vermeintlich bessere Ersatzlösung und hat auch ein Auge auf nachgelagerte Themen wie Datenschutzanforderungen, Backup-Mechanismen, Notfallpläne sowie Rollen- & Berechtigungsfunktionen.

Veranlassen Sie Fach- und IT-Abteilungen gleichermaßen standardisierte Systemschnittstellen aufzusetzen und diese zentral zu dokumentieren. Eine Inter-System-Kommunikation ist nur über diese Application Programming Interfaces (API) möglich.

Setzen Sie technisch zudem ein zentrales Service Portal auf über den sich die Fachbereiche zu jeder Zeit über die angebotenen IT Services informieren und diese ordern können. Das Portal fungiert als einziger Zugangspunkt und steuert den Zugriff auf die technischen Ressourcen. Die IT fungiert im Hintergrund als Broker, orchestriert intern und extern verfügbare Technologielösungen und steht beratend zur Verfügung.

Worin bestehen die Stärken & Schwächen von Schatten-IT?

Anders als der Name suggeriert, besitzt Schatten-IT für ein Unternehmen auch handfeste Vorteile. Nachfolgend eine Gegenüberstellung.

Vorteile

  • Schatten-IT verbessert fast immer kurzfristig die Geschäftsprozesse der Fachbereiche. Die selbst gewählten und betriebenen IT-Lösungen leiten sich aus direkt aus den fachlichen Bedürfnissen ab.
  • Schatten-IT sorgt für Innovation direkt in der Wertschöpfung. Digitale Chancen werden ergriffen, neue Technologien durch die Fachbereiche rasch adoptiert.
  • Schatten-IT ist in der Regel hochgradig flexible und anpassbar. Die Erweiterung und Änderungen der versteckten IT erfolgt unmittelbar und ohne langwierige koordinative Abstimmungsschleifen.
  • Schatten-IT genießt bei Fachabteilungen einen hohen Identifikations- und Akzeptanzgrad, Stichwort Ikea Effekt. Die Anwender haben sich ‚ihre Lösung‘ selbst ausgewählt, konfiguriert und eingeführt.

Nachteile

  • Schatten-IT fußt häufig auf fehlenden oder nur rudimentär ausgeprägten Serviceprozessen. Diese werden von den Fachkollegen ‚nebenbei zum Tagesgeschäft‘ mehr oder weniger professionell erbracht.
  • Schatten-IT entzieht sich der kontinuierlichen Weiterentwicklung des IT-Portfolios bzw. kann diese sogar erschweren.
  • Schatten-IT stellt ein potentielles Risiko für Compliance Vorgaben dar, beispielsweise bei Informationssicherheit, Urheberrechtsschutz, Lizenzrecht, Datenschutz und Aufbewahrungspflichten. Auch vergrößert es die Angriffsfläche gegenüber Cyber-Attacken. Tritt eine technische Panne auf, so können die Auswirkungen für das Unternehmen verheerend sein.
  • Schatten-IT sorgt für Ineffizienzen in der Organisation. Verschiedene Abteilungen führen die gleiche IT-Aufgabe doppelt aus, für einen Geschäftsprozess existieren mehrere redundante technische Lösungen, Softwarelizenzen werden doppelt bezogen, bestehende IT-Systeme werden durch die versteckte IT negativ beeinträchtigt oder selbstgebastelte Insel-Tools konterkarieren die Sourcing Entscheidungen.
„Low-Code bzw. No-Code Entwicklungsplattformen erlauben Fachabteilungen in der Rolle des Citizen-Developers ihre IT-Systeme selbst zu entwickeln. Setzen Sie Prototypen dieser Softwarebaukästen auf und messen Sie den Erfolg dieser ‚Das Beste aus zwei Welten Lösungen‘ aus Business- und IT-Perspektive.“
Dr. Christopher Schulz

Fazit

Einerseits können Sie Schatten-IT als praktikzierte Kritik der Fachbereiche verstehen, deren technischen Anforderungen nicht nachgekommen wird und welche sich deswegen selbst behelfen.

Anderseits ist Schatten-IT auch ein Ausdruck der Innovationsbereitschaft und Fortschrittlichkeit fachlicher Anwender.

Die Kunst besteht in der Balance zwischen zugelassenem hochgradig an die Bedarfe der Fachabteilung ausgerichteten Schatten-IT-Instanzen sowie zentral bereitgestellten Standardlösungen. Mit Low- und No-Code Entwicklungsplattformen entstehen interessante Möglichkeiten diesen Spagat hinzubekommen.

Gerne unterstützen wir Sie dabei die Schatten-IT bei Ihnen systematisch zu identifizieren, objektiv zu bewerten und dauerhaft zu reduzieren.

Ebenfalls interessant 

Leseempfehlungen

Sie möchten Ihre Schatten-IT eindämmen? Gerne unterstützen wir Sie!

Sie sind unsicher, welches palladio Beratungspaket für Sie das Richtige ist? Fordern Sie jetzt eine kostenlose Erstberatung an.

Dr. Christopher Schulz

Dr. Christopher Schulz

Business Analyst, Enterprise Architect & Projektmanager

Bitte akzeptieren Sie unsere Datenschutzerklärung.

13 + 9 =