Schluss mit Schatten-IT: Die Fachabteilung ist gefragt!

Prof. Dr. Rentrop

Christopher Rentrop ist Professor für Wirtschaftsinformatik und Controlling an der HTWG Konstanz und Leiter des Konstanzer Instituts für Prozesssteuerung. Sein Fokus liegt auf Themen des strategischen IT-Managements und der IT-Governance. In seiner langjährigen Forschungs- und Beratungstätigkeit hat er sich auf die unternehmerische Führung der IT im Unternehmen spezialisiert. Vor seiner Tätigkeit an der Hochschule war er als Controller und später Kaufmännischer Leiter einer Tochtergesellschaft in einem Aufzugsunternehmen tätig.​

Lücken in der IT-Infrastruktur eines Unternehmens werden häufig durch eigene Systeme und Software der einzelnen Bereiche gefüllt – die sogenannte Schatten-IT. Fachbereiche wie die Finanz- oder Einkaufsabteilung wollen lange Diskussionen mit der IT und langwierige Anschaffungsprozesse vermeiden und somit eine höhere Flexibilität erlangen. Allerdings ist hier Vorsicht geboten. Denn die Konsequenzen einer fragmentierten IT-Infrastruktur wirken sich auch negativ auf die Ziele der Fachbereiche aus.

Gemeinsam mit meinen Kollegen am Konstanzer Institut für Prozesssteuerung (kips) haben wir im Jahr 2010 begonnen, uns mit dem Phänomen Schatten-IT zu beschäftigen, und eine Methodik entwickelt, wie Unternehmen mit Schatten-IT steuern können. Dabei geht es nicht darum, Schatten-IT auszumerzen und den Fachbereichen Handlungsspielraum zu nehmen, sondern darum, diese Vorgänge in einem geregelten Rahmen verlaufen zu lassen. Die Methodik wurde zwischen 2012 und 2014 in 4 großen Fallstudien in der Praxis getestet. Aus den fast 400 Schatten-IT-Praxisbeispielen konnten wir wertvolle Erkenntnisse gewinnen. Seitdem haben wir die Methode auch in weiteren Unternehmen angewendet und die Ergebnisse bestätigen können.

Schatten-IT – Formen, Verbreitung, Risiko und Nutzen

Doch zunächst nochmal zurück zu der Frage, was Schatten-IT eigentlich ist und welche Formen unterschieden werden. Als Schatten-IT werden alle geschäftsprozessunterstützenden Systeme und Anwendungen in den Fachabteilungen bezeichnet, die nicht in das IT-Management des Unternehmens integriert sind. Für die Anschaffung gibt es keine Planung und keine bewusste Entscheidung, der Betrieb erfolgt nicht professionell und unkontrolliert. Die Formen der Schatten-IT gehen von selbst angeschaffter Hardware über Server und Systeme bis hin zu Anwendungen. Typische Ausprägungen sind selbsterstellte Excel- und Accessfiles oder die autonome Nutzung von Cloud-Diensten.

Das Phänomen der Schatten-IT ist weit verbreitet. Bei unseren Feldstudien wurden kein Bereich und kein Prozess ohne Schatten-IT gefunden.Bei der Frage nach der Bedeutung dieses Phänomens, also dem Einsatzgebiet der Schatten-IT in Unternehmen, wird die Problematik schnell deutlich.
In über 50% der untersuchten Schatten-IT Systeme ist der Geschäftsprozess von der Schatten-IT abhängig. Das gefährdet die Stabilität und Ordnungsmäßigkeit der Prozesse, insbesondere wenn die maximal erlaubte Ausfallzeit für den Prozess sehr kurz ist. Problematisch wird es überdies, wenn die Anwendung viele Nutzer hat. Ein Extrembeispiel aus der Praxis ist eine Accessdatenbank mit 2500 Anwendern.

Die Einbindung von eigens angeschafften oder erstellten Anwendungen erfolgt in den Fachbereichen in der Regel manuell oder höchstens halbautomatisch. Schnittstellen zu bestehenden IT-Systemen können nicht gebaut werden, d.h. Daten werden zum Beispiel aus ERP-Systemen heruntergeladen und dann manuell übertragen. Das erzeugt nicht nur einen sehr hohen Arbeitsaufwand, sondern ist auch äußerst fehleranfällig. Gleichzeitig bildet diese Schatten-IT in ca. 40 % der untersuchten Fälle die Grundlage für Entscheidungen und istbei 15% sogar rechnungslegungsrelevant.

Auf der anderen Seite ist Schatten-IT in den meisten Fällen ein Innovationstreiber, denn Innovation setzt ein tiefes Verständnis der Prozesse und den damit verbundenen Anforderungen voraus und kommt daher in aller Regel aus den Fachabteilungen. Doch auch der eigenständige innovative Einsatz von IT birgt hohe Risiken.

Das Risiko durch Schatten-IT ist hoch, aber wie ist es eigentlich um die Qualität bestellt? Unsere Feldstudien ergaben, dass die Qualität der Schatten-IT dann am besten ist, wenn externe Unterstützung herangezogen wird, also in erster Linie bei Cloud Services. Excel- und Access-Files haben eine deutlich geringere Qualität, sind aber sehr stark verbreitet. 
In Summe ist festzustellen, dass die Qualität zu gering ist, um das hohe Risiko in Kauf zu nehmen. Folglich müsste die Schatten-IT verboten werden; häufig wird versucht, dies durch das Verhindern des eigenmächtigen Einkaufs von IT-Leistungen durch Fachabteilungen umzusetzen. Problem: Durch ein solches Verbot wird nicht Schatten-IT verhindert, sondern Eigenentwicklungen in Excel oder Access werden gefördert. Außerdem funktioniert ein Verbot in Form von Sperren bestimmter Websites, Services, Administratorrechten und ähnlichem nicht, da oft Ausnahmen gemacht werden müssen und sich Parallelstrukturen aufbauen, die nicht kontrolliert werden können.
Fakt ist: Schatten-IT existiert. Also wie soll mit diesem Phänomen am besten umgegangen werden? Wie werden Risiken minimiert und gleichzeitig die Flexibilität für die Fachabteilungen sowie Raum für Innovationen erhalten?

Steuerung der Schatten-IT

Die kips-Methodik managt Schatten-IT in vier Schritten:

  • Erheben: Wie viel Schatten-IT gibt es und welche Formen?

  • Bewerten: Wie ist das Verhältnis von Qualität und Risiko? Wie innovativ ist die Schatten-IT? Wie gut passt sie zur IT-Infrastruktur des Unternehmens?

  • Steuern: Wenn die Schatten-IT relativ hohe Qualität aufweist und nur wenig geschäftsrelevant ist, muss sie lediglich registriert, d.h. in das IT-Servicemanagement aufgenommen werden. Bei einer höheren Relevanz erfolgt eineVeränderung der Aufgabenverteilung zwischen Fachabteilung und IT, auch „Koordinieren“ genannt, oder das Renovieren, sprich die vollständige Erneuerung der Schatten-IT.

  • Verstetigen: In diesem Schritt geht es um die Transformation der Schatten-IT zur Business Managed IT. Die Verantwortung für Anwendungen und Systeme wird zwischen Fachabteilung und IT adaptiv geteilt und Leitlinien für den Betrieb erstellt, um Flexibilität zu erhalten.

Unsere Feldstudien haben gezeigt, dass sich je nach Branche durchaus die Arten der Schatten-IT unterscheiden. Wann und wie häufig welche Maßnahmen zur Steuerden müssen, unterscheiden sich jedoch nicht. In nur einem Drittel der Fälle kann alles so bleiben, wie es ist. Das betrifft am ehesten die prozessbegleitende Schatten-IT. Ist sie prozessentscheidend, muss deutlich häufiger renoviert werden. Reicht es aus zu koordinieren, können mit einfachen Mitteln schnell Ergebnisse erzielt werden.

Voraussetzung für das erfolgreiche Management der Schatten-IT ist die Kooperation zwischen Fachbereichen und IT-Abteilung. Um Schatten-IT auch langfristig steuern zu können, muss sie kontinuierlich erhoben werden. Dazu werden in den Fachabteilungen definierte Prozesse und Werkzeuge, aber auch eine entsprechende Kultur, benötigt. Die IT muss ihrerseits eine höhere Flexibilität an den Tag legen. Die IT-Abteilung ist heute nicht mehr nur Betreiber der Systeme und Anwendungen, sondern als Dienstleister und Berater gefragt. Frei nach dem Motto: Wir müssen nicht alle IT-Services betreiben, sondern dem Fachbereich helfen, gute IT-Services zu betreiben. Dieses Umdenken und eine entsprechende Umorganisation hat jedoch noch nicht flächendeckend stattgefunden.

Zusammenfassung

  • Schatten-IT ist weit verbreitet

Unsere Feldstudien haben gezeigt, dass es keinen Bereich ohne Schatten-IT gibt. Eine hohe Anzahl an Schatten-IT Systemen ist jedoch kritisch für das Unternehmen.

  • Schatten-IT wird nicht durch bestehende Kontrollsysteme aufgedeckt

Wird Schatten-IT nicht aufgedeckt, ist die Stabilität der Abläufe sowie Reifegrade z.B. im Risk Management gefährdet.

  • „Falsche“ Kontrollsysteme verschärfen das Problem

Statt Schatten-IT auszumerzen, wird sie verstärkt aufgebaut. Anwender flüchten in die individuelle Datenverarbeitung.

  • Richtiges Management ist notwendig

Dazu gehört zum einen das Schaffen eines Bewusstseins für die Risiken und die Wichtigkeit der Zusammenarbeit zwischen Fachbereich und IT. Zum anderen muss eine Business Managed Application-Strategie entwickelt werden, die das kontinuierliche Erheben, Bewerten und Steuern der Schatten-IT beinhaltet.

Treten Sie aus dem Schatten und arbeiten Sie mit Ihrer IT-Abteilung zusammen.

Für Fragen rund um die Serviceleistungen von Basware kontaktieren Sie uns ganz einfach
hier.

Profil des Gastautors