Es geht nicht ohne Schatten-IT
Schatten-IT ist böse! Nein, Schatten-IT ist gut. Ohne würde vieles in Deinem Unternehmen nicht funktionieren. Die IT-Abteilung hätte noch mehr zu tun und die Unzufriedenheit wäre noch viel größer. Heute möchte ich Dir schwarze, graue und hellgraue Schatten-IT vorstellen. Ich möchte Dir erklären, wie Du daraus weiße Schatten-IT machen kannst. Es wird definitiv nicht einfach und Dein Unternehmen hat keine andere Wahl.
Vor einigen Wochen postete Christoph Pacher auf LinkedIn folgende beiden Sätze: „Der größte Fehler, den man als IT machen kann? Schatten-IT zulassen.“
Ich antwortete darauf mit „Nein“. Damit wir das Gleiche verstehen, dürfen wir darüber sprechen, was Schatten-IT ist.
Was ist Schatten-IT?
Meist verstehen wir darunter die IT-Lösungen im Unternehmen, von denen die IT nichts weiß. Sagen wir mal, das ist die schwarze Schatten-IT. Daneben gibt es dann noch die IT-Lösungen, von denen die IT weiß, diese aber komplett den Fachabteilungen überlässt. Sich auch nicht darum kümmern möchte. Sagen wir mal, das ist die graue Schatten-IT.
Schatten-IT ist gut. Die Fachabteilungen suchen sich die Software, mit der sie am besten ihren Job machen können. Das macht sie produktiver und das Unternehmen profitiert davon. Die machen das nicht, weil sie die IT ärgern wollen. Da es heute fast alles als SaaS im Internet gibt, braucht es nur die Abteilungskreditkarte und schon geht es los. Schnell und unkompliziert.
Ohne die vielen Werkzeuge würde es häufig stocken und die IT hätte noch viel mehr um die Ohren.
Schatten-IT ist problematisch
Dennoch ist Schatten-IT problematisch. Nicht für die IT. Für das gesamte Unternehmen. Als Unternehmen unterliegen wir Anforderungen vom Gesetzgeber, von Kunden, von Investoren, Zertifizierungen oder branchenüblichen Standards. Darunter fällt unter anderem der Datenschutz, TISAX in der Automobilindustrie, GMP in Pharmaunternehmen. Die Einhaltung dieser Regelungen und Vorgaben wird durch Schatten-IT gefährdet.
Selbstverständlich ist es aus Sicht der Informationssicherheit problematisch. Es lässt sich sehr schwer nachvollziehen, wo welche Informationen gespeichert sind. Potenzielle Sicherheitslücken bleiben unerkannt und auch die schützenswerten Daten des Unternehmens sind in Gefahr.
Dabei muss ich nicht einmal an gezielte Angriffe denken. Es reicht schon zu, wenn ich mir die Frage nach Backup und Recovery stelle. Oder was passiert, wenn die SaaS nicht verfügbar ist. Wissen die Fachabteilungen, wozu die Anbieter die gespeicherten Daten nutzen?
Sowohl für die Einhaltung der geltenden gesetzlichen Bestimmungen, dem Datenschutz, der Compliance und natürlich auch der Informationssicherheit bin ich als Geschäftsführer verantwortlich.
Ein weiterer Grund, warum Schatten-IT schlecht fürs Unternehmen ist, sind die Kosten. Es fehlt die Übersicht, wofür wie viel Geld ausgegeben wird. Vielleicht gibt es bei Dir im Unternehmen inzwischen zwei oder drei CRMs, von denen Du nur eines kennst. So etwas habe ich schon einige Male gesehen.
Wie zuvor erwähnt, Schatten-IT ist gut fürs Unternehmen. Zumindest die weiße Schatten-IT. Also die, die bekannt ist und die sich an die Regeln hält.
Warum gibt es Schatten-IT?
Bevor ich Dir das näher erkläre, lass uns bitte über die Gründe sprechen, warum es Schatten-IT gibt. Im Prinzip in vielen Fällen recht einfach – entweder, weil:
- die IT den Bedarf mit dem Angebot nicht deckt,
- es zu lange dauert, bis es eine Lösung gibt,
- die angedachte Lösung zu groß ist, oder
- das aktuelle Angebot viel zu schlecht ist und vielleicht noch eine schlechte User Experience hat.
Alles gute Gründe, das Heft in die Hand zu nehmen und schnell mal im Internet die passende Lösung zu buchen.
Du siehst, es geht um Schnelligkeit (Stichwort: time to market) und passgenaue Abdeckung der Anforderungen.
Schatten-IT zu verbieten, ist ein sinnloses Unterfangen. Meiner Meinung nach ist das in einem normalen Unternehmen nicht durchsetzbar. Dazu ist es auch noch kontraproduktiv.
Alles durch die IT zu schleusen und die IT sich darum kümmern zu lassen, erscheint mir ebenso eine nicht lösbare Aufgabe. Die meisten IT-Abteilungen sind doch schon mit der aktuellen Projektlast und dem Betrieb in ihrer Kapazität überfordert.
Wie beseitigen wir Schatten-IT?
Also bleibt nur ein schlanker und vor allem schneller Governanceansatz. Was bedeutet das? Im Prinzip geht es darum, dass Dein Unternehmen – nicht die IT! – einen Satz von Regeln aufstellt, die bei der Beschaffung oder Buchung jeglicher IT erfüllt sein müssen.
Also, alle an einen Tisch und stellt so wenig wie möglich Regeln auf. Immer das im Blick, was ich gerade genannt habe:
- gesetzliche Anforderungen wie die DSGVO und das BDSG
- Compliance-Anforderungen, die konkret für Dein Unternehmen gelten
- Informationssicherheit
- Schutz von sensiblen Daten
- Business-Continuity
- Kosten
- und wahrscheinlich noch ein paar mehr.
Aber bitte wirklich nur das, was mindestens erfüllt sein muss.
Dann brauchst Du noch den schnellen Prüfprozess. Die Fachabteilung möchte eine SaaS buchen, dann startet sie den Workflow und bekommt in einer kurzen und vor allem definierten Zeit eine konkrete Antwort. Ja oder nein.
In dem Workflow müssen alle beteiligt sein, die noch etwas manuell prüfen müssen. Wobei das bitte minimiert wird. Die Antwort kommt dann am besten noch am gleichen Tag! Na gut, wenigstens bitte in der gleichen Woche.
Dein Unternehmen braucht dann noch etwas, wo die ganzen Sachen dokumentiert werden. Vielleicht so etwas wie ein Ticketsystem und die CMDB. Daraus befüllt sich dann ein Whitelist, die im Prozess schnell sagt, das ist schon genehmigt. Wende Dich bitte an Kollegen X.
Eine andere Chance hast Du nicht!
Ich bin mir sehr bewusst, dass ich es mir einfach mache und es für Dich wahrscheinlich gerade ziemlich kompliziert aussieht. Das Problem ist, dass es so einfach und schnell sein muss, damit Dein Unternehmen eine Chance hat, aus schwarz und grau eine weiße Schatten-IT zu machen. Schraubt es auf das wirklich notwendige Minimum runter.
Es gibt noch mehr Schatten-IT
Wenn wir beide über Schatten-IT sprechen, dann dürfen wir noch über die hellgraue Schatten-IT sprechen. Die ist schon fast weiß und dennoch so problematisch wie die schwarze und graue.
Ich spreche von allem, was in Excel, Access, Makros, VBA oder neu jetzt in Low-Code stattfindet. Also Programme oder Plattformen, die vom Unternehmen bereitgestellt werden. Viele Fachabteilungen nutzen die Werkzeuge exzessiv für ihre Prozesse. Was auch gut ist, denn dafür sind sie da.
Das Problem: Die Lösungen sind nicht dokumentiert und hängen meist an genau einem Mitarbeitenden. Es ist so viel Logik und Wissen eingebaut, dass es spätestens dann kritisch wird, wenn die Kollegin oder der Kollege das Unternehmen verlassen.
In diesen Lösungen werden Daten verarbeitet und Daten erzeugt, die für die Prozesse wichtig sind. Geht die Lösung oder der Wissenstragende verloren, dann hat die Abteilung oder das ganze Unternehmen ein Problem. Das fängt schon bei der Sicherung der Dateien oder Daten an. Über Compliance, Datenschutz und so weiter, mag ich gar nicht sprechen.
Nächster Punkt: Wissen andere Menschen oder Abteilungen überhaupt, dass es diese Daten gibt? Oder werden die anderen Ortes noch einmal erzeugt? Vielleicht sogar auf anderem Weg und mit anderem Ergebnis. Die Probleme sind vielfältig, insbesondere wenn sie Grundlage für Entscheidungen sind.
Compliance & Regeln
Auch hier dürfen wir einen Weg finden, wie wir damit umgehen. Das würde diesen Podcast sprengen, deswegen nur so viel: Dein Unternehmen benötigt eine gelebte Verantwortung für die Daten. Also mindestens ein Master-Data-Management. So ist zumindest bekannt, wer, wo, wie welche Daten erzeugt und verarbeitet – egal mit welchem Werkzeug.
Diese Verantwortung ist zentral anzusiedeln. Kann in die IT, muss nicht.
Ferner benötigen wir auch klare Regeln über die Nutzung von Low Code, Makros, VBA und so weiter. Es muss im Unternehmen bekannt sein, was, wo und wie genutzt wird. Alle, die so etwas nutzen, müssen nach gleichen Vorgaben und Rahmenbedingungen arbeiten. Das stellt sicher, dass beispielsweise beim Austritt eines Mitarbeiters oder einer Mitarbeiterin, die erstellten Excels oder Low-Code-Lösungen übergeben werden. Das stellt sicher, dass alles im Backup gesichert wird.
Wie gesagt, das ist ein weiterführendes Thema, welches wir vielleicht mal in einem anderen Podcast besprechen.