Schatten-IT

Der Begriff Schatten-IT beschreibt IT-Systeme, -Prozesse und -Organisationseinheiten, die in den Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind.^[1]

Teilaspekte

Unter dem Oberbegriff Schatten-IT können verschiedene Teilaspekte unterschieden werden^[1]:

• Die Nutzung von Social Software, zur Kommunikation von Benutzern über arbeitsrelevante Themen. Teilweise werden über diesen Kanal auch vertrauliche Informationen verteilt.^[2]
• Die Verwendung von IT-Services, die von Dienstleistern außerhalb des Unternehmens angeboten werden. Dazu können Webmail-Services zählen sowie komplexe Angebote wie Software as a Service oder Cloud Services.^[2]
• Die Entwicklung und der Betrieb von Applikationen durch Fachabteilungen in eigener Regie. Dies beinhaltet zum Beispiel den recht häufigen Fall einer eigenentwickelten Excel- oder Access-basierten Anwendung^[3]; in den letzten Jahren sind zudem eigenentwickelte Business Intelligence Anwendungen^[4] hinzu gekommen.
• Die Einbindung von Hardware, die nicht in den offiziellen IT-Katalogen enthalten ist. Dazu zählen beispielsweise PCs, Drucker oder Router, die von der Fachabteilung direkt im Einzelhandel beschafft werden.
• Die Einbindung privater Smartphones und Tablet-PCs inklusive der entsprechenden Apps in die Unternehmensnetzwerke.^[5]
• Aufbau eigener Supportstrukturen in den Fachabteilungen, wenn sich beispielsweise Kollegen untereinander bei Hard- und Softwareproblemen unterstützen (Hey-Joe-Prinzip).

Ursachen

Grundsätzlich entsteht Schatten-IT, wenn die von der IT-Abteilung angebotenen Services nicht den Anforderungen der Fachabteilungen genügen.^[6] Die Ursachen für diese Lücke können folgendermaßen aussehen^[1]:

Probleme in der Abstimmung von IT und Fachabteilung:

• Schlechte organisatorische Abstimmung von IT und Fachabteilung: Wenn keine eindeutigen Verantwortlichkeiten bei der Betreuung der Fachabteilungen durch die IT existieren^[7], sehen sich diese dazu veranlasst eigene Lösungen zu entwickeln.
• Unangebrachte Koordinationsmechanismen bei der IT-Steuerung, wie z.B. zu starre Budgets oder unzureichende Transparenz bei den IT-Verrechnungspreisen, führen dazu, dass die offizielle IT durch Schatten-IT in den Fachabteilungen ersetzt wird.
• Eine zu geringe Formalisierung der Zusammenarbeit zwischen IT und Fachabteilung kann zu einem Eigenleben in den Fachabteilungen führen, durch welches die Entwicklung von Schatten-IT hervorgeht. Auf der anderen Seite kann eine zu hohe Formalisierung dazu führen, dass die Anwender sich den rigiden Prozessen des IT Demand Managements entziehen^[8] und eigene Lösungen erstellen.
• Bei einer unzureichenden Gestaltung des IT-Outsourcings kann durch die Schaffung von Schatten-IT ein verdecktes Insourcing stattfinden.

Kontextfaktoren in der IT:

• Durch personelle oder finanzielle Ressourcenengpässe in der IT werden oft Projektanfragen aus den Fachbereichen zurückgestellt. Dies gilt auch für den Fall, wenn in der IT das notwendige Know-how fehlt. Häufig behelfen sich Fachabteilungen in diesen Fällen mit der Eigenentwicklung der Leistungen.
• Neue IT-Technologien (z.B. Cloud-Computing) erleichtern den Zugang zu Software-Anwendungen außerhalb des offiziellen IT-Bereichs.

Kontextfaktoren in den Fachabteilungen:

• Eine hohe Autonomie in den Fachabteilungen kann sich auf den Bereich der IT ausdehnen.
• Mergers & Acquisitions: Unternehmen, die eine umfangreiche M&A-Historie aufweisen, haben oftmals einen geringeren organisatorischen Zusammenhalt; dadurch sind Fachabteilungen eher bereit unabhängig von der zentralen IT zu agieren.
• Dezentrale Organisationsformen: Eine räumlich stark verteilte Organisation führt naturgemäß zu Einschränkungen im IT-Support. Hierdurch wird die informationstechnische Eigeninitiative gefördert, die sich in Schatten-IT niederschlagen kann.
• Externe Einflüsse aus dem Unternehmensumfeld: Unternehmen können z.B. durch Hausbanken, Kunden oder Lieferanten, dazu gezwungen sein, IT-Systeme Dritter zu verwenden. Häufig erfolgt dies allein durch die Fachabteilungen ohne Unterstützung des IT-Bereichs.
• Die steigende Technologie-Affinität der Mitarbeiter (Digital Natives) fördert die Entwicklung von Schatten-IT.^[9]

Auswirkungen

Mit Schatten-IT sind positive und negative Auswirkungen verbunden^[1]:

Risiken:

• Probleme im Hinblick auf Datensicherheit, -integrität und -schutz durch eine oftmals weniger professionell durchgeführte Entwicklung.^[6]
• Compliance-Konflikte: Schatten-IT kann zur Etablierung von Prozessen führen, die bestehende Compliance-Regeln verletzen. Außerdem stellt Schatten-IT selbst ein Verstoß gegen unternehmensinterne Regeln dar.
• Schatten-IT Anwendungen sind häufig technologisch betrachtet qualitativ schlechter als professionell entwickelte Systeme und besitzen somit eine geringe Zukunftsfähigkeit.
• Der geringe Grad an Professionalität führt oftmals zu einer wirtschaftlichen Ineffizienz der Prozesse und Systeme.
• Sourcing-Entscheidungen werden durch die Schaffung von Schatten-IT untergraben: Offiziell ausgewählte Outsourcing-Partner werden übergangen, was ein hohes Risikopotenzial hinsichtlich von Vertragsstrafen birgt.
• Die Beschäftigung von Mitarbeitern in den Fachabteilungen mit IT-Themen kann negative Auswirkungen Gesamtperformance des Unternehmens haben, da sich diese Mitarbeiter nicht mit ihren Hauptaufgaben beschäftigen.

Chancen:

• Hohe IT-Innovationsrate: Die Auseinandersetzung der Fachbereiche mit den Chancen von IT und die Erkennung eines zusätzlichen Nutzens für ihre Prozesse, führt sie unter den entsprechenden Rahmenbedingungen zur Entwicklung von Schatten-IT. Für die IT-Abteilungen hingegen ergeben sich aufgrund ihrer Distanz zum operativen Geschäft, Probleme dieses Innovationspotenzial aufzudecken. Folglich finden Innovationen über Schatten-IT sehr schnell ins Unternehmen.^[4]
• Die Schatten-IT Lösungen sind sehr aufgabenorientiert und haben eine starke Fokussierung auf die internen Prozesse der Fachabteilung. Dies kann zu einer Verbesserung der Prozesse führen.
• Schatten-IT Lösungen führen durch ihre Nähe an den Bedürfnissen der Anwender zu einer wachsenden Benutzerzufriedenheit mit der IT-Unterstützung im Unternehmen insgesamt.^[10]

Einzelnachweise

1. ↑ ^{a b c d} Christopher Rentrop, Oliver van Laak, Marco Mevius: Schatten-IT: ein Thema für die Interne Revision? In: Revisionspraxis, April 2011
2. ↑ ^{a b} Worthen, Ben: User Management - Users Who Know Too Much and the CIOs Who Fear Them. CIO, 11. Februar 2007
3. ↑ Sherman, Rick: Shedding Light on Data Shadow Systems. In: Information Management Online, 29. April 2004.
4. ↑ ^{a b} Raden, Neil: Shadow IT: A Lesson for BI. In: BI Review Magazine, 1. Oktober 2005
5. ↑ Zeitler, Nicolas: iPad & Co. am Arbeitsplatz: Strategie gegen die Schatten-IT. CIO, 15. November 2010
6. ↑ ^{a b} Spafford, George: The Dangers that Lurk Behind Shadow IT. 4. Februar 2004
7. ↑ Schaffner, Mike: IT Needs To Become More Like "Shadow IT". 12. Januar 2007
8. ↑ Wolff, Holger: Das Management komplexer Unternehmensarchitekturen. In: Objektspektrum.de, 2010 Heft 1
9. ↑ RSA: The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk. 2007
10. ↑ Behrens, Sandy: Shadow Systems: The Good, The Bad and the Ugly. In: Communications of the ACM, 2009 Nr. 2