Methodik zur Erhebung unerlaubter Systeme

Schatten-IT – nicht verbieten, professionell nachbauen

Mit dem Begriff Schatten-IT schwingt etwas Bedrohliches mit: Sicherheitsrichtlinien, die umgangen werden, Budgets, die am CIO vorbeigeschleust werden, Anwendungen, die unkontrolliert genutzt werden. Dabei erfüllen die Systeme meist wichtige Anforderungen der Fachabteilungen...

Auf Basis dieser Einsicht hat das Konstanzer Institut für Prozesssteuerung eine Methodik zur Erhebung und Bewertung entwickelt, die Optimierungspotentiale der Schatten-IT enthüllt. In Kombination mit der Software Factory von Steria Mummert Consulting entsteht eine Roadmap, mit der Unternehmen den IT-Wildwuchs eindämmen können.

Jeder kennt sie, die meisten nutzen sie: selbst erstellte Access-Datenbanken, spezielle Cloud-Dienste, das private Smartphone, auf dem Geschäftsmails bearbeitet werden. Eigentlich ist daran nichts Verwerfliches, denn die Motivation der Mitarbeiter ist, ihre Aufgaben möglichst effizient zu erledigen. Dennoch birgt diese Schatten-IT ein Risikopotential. Sie entspricht nicht den Compliance-Anforderungen, es entstehen höhere Zeitaufwände und vor allem hohe Risiken für Datensicherheit und Datenschutz.

Verbieten lässt sich das Phänomen jedoch nicht. Mitarbeiter suchen und finden Umwege, wenn die offizielle IT sie in ihrer täglichen Arbeit nicht wie gewünscht unterstützt. Und das aus gutem Grund. Daher lautet die Devise: „If you can’t beat them, join them“ – nicht bekämpfen, sondern mitspielen. Für diesen Ansatz hat das Konstanzer Institut für Prozesssteuerung (kips) eine Methodik entwickelt, die wild wuchernde IT erfasst, bewertet und anschließend Handlungsempfehlungen ausspricht, um sie zu legalisieren und in die Kernsysteme zu integrieren.

Schatten-IT wissenschaftlich bewerten

Das dreistufige Modell beginnt mit der Erhebung, in deren Rahmen in jeder Fachabteilung IT-Services und -Systeme dokumentiert werden, die die Geschäftsprozesse unterstützen, aber nicht in das IT-Servicemanagement des Unternehmens eingebunden sind. Erfahrungsgemäß reicht dies von einer Excel-Liste mit Gehaltsdaten, die zwecks Mitarbeiterstatistik manuell parallel zum Personalabrechnungssystem geführt wird, bis hin zu umfassenden Access-Datenbanken, die von 2.500 Mitarbeitern genutzt werden. Durch die Erhebung entsteht eine Karte der kompletten IT-Landschaft jeder Abteilung, die die tatsächlich genutzte IT abbildet.

Anschließend werden alle Schatten-IT Instanzen bewertet und hinsichtlich der zwei Hauptkriterien „Qualität“ und „Relevanz und Kritikalität“ auf einer Skala von niedrig bis hoch eingestuft. Weitere Kriterien, die in die Bewertung einfließen, sind Innovation, Anzahl der Nutzer, Wartungsaufwand und Parallelität zur offiziellen IT. Anhand dieser Aussagen wird jedes Schatten-IT-System auf einer Matrix verortet. Die Excel-Datei der Personalabteilung wäre beispielsweise von niedriger Qualität und hoher Kritikalität, weil sie meist ohne Passwortschutz abgelegt ist. Die Anzahl der Nutzer wird anhand der Größe der Punkte in der Matrix dargestellt.

Schatten-IT legalisieren

Mit dieser Bewertungsmethode lassen sich alle IT-Instanzen in die drei Handlungsoptionen „registrieren“, „koordinieren“ und „renovieren“ einordnen: Services, die wichtig und unkritisch sind, können weiterbetrieben werden. Sie müssen lediglich registriert werden. Andere Systeme müssen koordiniert werden, das heißt, es müssen Sicherheitsmechanismen eingeführt sowie Dokumentationen erstellt werden. Kurz gesagt: es müssen alle Maßnahmen nachgeholt werden, die zum professionellen IT-Servicemanagement gehören, von Fachabteilungen aber nicht geleistet werden können. Services und Systeme, die wie eine manuell geführte Excel-Liste sowohl ungeeignet als auch kritisch sind, müssen renoviert – ersetzt – werden.

Das Bewertungsportfolio gibt den Projektverlauf vor, mit dem Unternehmen ihrer Schatten-IT Herr werden. Es empfiehlt sich hierbei, oben rechts bei den hochkritischen, ungeeigneten Systemen anzufangen. Im nächsten Schritt können diejenigen Systeme und Services bearbeitet werden, die weniger kritisch und qualitativ hochwertiger sind. Die bereits durchgeführten Fallstudien zeigen, dass die beiden Bereiche, in denen Handlungsbedarf besteht, durchschnittlich 70 Prozent der Schatten-IT ausmacht. Bei den übrigen 30 Prozent handelt es sich um unkritische, hochwertige Systemen, bei denen eine Registrierung ausreicht. Doch die wichtigste Erkenntnis der empirischen Erhebung ist: Schatten-IT gibt es überall. Die Anzahl der inoffiziellen IT-Services und -Systeme variiert je nach Bereich zwischen 8 und 55.

Schatten-IT steht Pate für Softwareentwicklung

Der dringendste Handlungsbedarf besteht bei den ungeeigneten, hochkritischen Systemen, die ersetzt werden müssen. Für Applikationen, die in SAP-Kernsysteme integriert werden können, hat Steria Mummert Consulting eine ressourcensparende Methodik entwickelt: Die Software Factory ermittelt die Funktion, die die Schatten-IT erfüllt, und bildet diese auf SAP-Basis nach, sodass sie in die Kernsysteme integriert werden kann. Dabei ist die Entwicklungsmethodik ressourcen- und zeitschonend, denn sie erzeugt auf Knopfdruck Softwarebausteine aus sogenannten Mutterkomponenten – generischen Elementen, die bei jedem Entwicklungsprojekt benötigt werden. Dadurch spart diese Rapid-Prototyping-Entwicklung zwischen 50 und 80 Prozent der üblicherweise erforderlichen Zeit und Kosten. Im Zusammenspiel mit der vom kips entwickelten wissenschaftlicher Bewertung gelingt es Unternehmen so, Lücken, die bislang durch Schatten-IT gefüllt wurden, durch individuelle Komponenten zu ergänzen und inoffizielle Services und Systeme überflüssig zu machen.


Bildquelle: Thinkstock/ Photodisc

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok