Was ist Shadow IT?

SCHATTEN IT IN UNTERNEHMEN: WAS IST SHADOW IT?

17.02.2021 – Dr. Eckhard Herdt

Was ist Shadow IT? Vielen Mitarbeitern in Unternehmen kann es mit dem Zugriff auf Hardware, Software oder spezielle Web-Dienste oft nicht schnell genug gehen. Das Problem der schnell verfügbaren Tools ist, dass diese in vielen Fällen noch nicht alle notwendigen Schritte der IT-Sicherheit durchlaufen haben oder gänzlich von der zentralen IT-Abteilung des Unternehmens nicht unterstützt werden.

Kommt diese Hardware oder Software trotzdem zum Einsatz, so wird diese als Shadow IT oder Schatten IT bezeichnet. Appollo Systems hat sie in diesem Artikel der Shadow IT genauer betrachtet und erklärt die Schatten IT.

Shadow IT – was ist das?

Was sind die Risiken der Shadow IT?

Die Shadow IT ist immer dann ein Sicherheitsrisiko, wenn die nicht unterstützte Hard- und Software von den Sicherheitsrichtlinien der offiziellen IT-Infrastruktur abweichen. Ferner besteht immer das Risiko, dass nicht genehmigte Konflikte in bestehenden Netzwerken ausgelöst werden. Ein weiteres Problem liegt in der Einhaltung von Vorschriften. Dadurch können Unternehmensdaten schnell in Umlauf geraten.

Shadow IT ist ein heikles Thema. Während einige den Schritt scheuen, Shadow IT zu genehmigen, aus Angst den Informationsfluss in Unternehmen zu behindern, sagen andere, dass es in der heutigen Zeit unausweichlich ist, Shadow IT anzunehmen. Eine gute Lösung, um mit der Schatten IT umzugehen, ist es Richtlinien zu erstellen, die Kontrolle schaffen und so eine sorgsame Nutzung gewährleisten.

Zur meist genutzten Shadow IT im Bereich der Hardware gehören das Smartphone, USB-Geräte und Tablets.

Bei der Shadow IT Software sind es Google Mail, Instant Messaging Dienste, Dropbox, Google Docs, Slack, Skype, Excel-Makros und Microsoft Office 365.

Warum nutzen Mitarbeiter Schatten IT?

Oft liegt hinter dem Grund für die Shadow IT der Wunsch nach mehr Effizienz. Eine RSA-Studie aus dem Jahr 2012 hatte einst ermittelt, dass rund 35 % der Mitarbeiter das Gefühl haben, dass die Sicherheitsrichtlinien des Unternehmens die Arbeiten hemmen und diese so mittels der Schatten IT andere Wege gehen müssten.

Ein Beispiel: Ein Mitarbeiter hat eine bessere Anwendung gefunden, als die offiziell erlaubte. Weil er hier seine Arbeit besser umsetzen kann, teilt er diese mit seinen Mitarbeitern in der Abteilung und das Wachstum der Anwender steigt. So hat sich im Laufe der Jahre auch die Shadow IT immer rasanter entwickelt. Das hat natürlich auch damit zu tun, dass Anwendungen wie Slack und Dropbox auch den Weg auf die persönlichen Geräte der Mitarbeiter finden, da diese heute in nur wenigen Klicks installiert sind. Wenn diese Endgeräte in die Netzwerke der Unternehmen integriert werden, spricht man von „Bring Your Own Device (BYOD)“.

IT-Abteilung können bei der Nutzung von Shadow IT keine Sicherheiten gewährleisten, denn sie wissen in der Regel nichts von der Nutzung. Gartner prognostiziert, dass bis 2020 ein Drittel der erfolgreichen Angriffe auf Unternehmen auf die Verwendung von Schatten-IT zurückzuführen ist. Dennoch ist eins klar: Shadow IT wird nicht von heute auf morgen verschwinden. Daher ist es für Unternehmen der bessere Weg das Risiko zu minimieren, indem Schulungen implementiert und Maßnahmen zur Überwachung und Verwaltung der Shadow IT ergriffen werden.

Generell lässt sich sagen, dass Shadow IT an sich nicht gefährlich ist, doch schnell können Datenlecks und Sicherheitslücken zu einem Risikofaktor werden und das betrifft nicht nur die internen Unternehmensstrukturen. Laut selbiger RSA-Studie senden rund 63 % der Mitarbeiter Arbeitsdokumente an ihre persönliche E-Mail, um von zu Hause aus zu arbeiten. So können Daten in Netzwerke gelangen, ohne dass die IT-Abteilung den Informationsfluss überwachen kann. Letztlich ist bei doppelten Lösungen auch immer der Kostenfaktor zu berücksichtigen.

Was sind die Vorteile der Schatten IT?

Die Shadow IT hat jedoch nicht nur Nachteile. Es gibt auch einige Vorteile, die zu nennen sind. Meist kann Schatten IT zu schnellen Lösungen führen und die Produktivität schon in wenigen Minuten erheblich steigern. Außerdem steigt die Akzeptanz, wenn sich die Mitarbeiter ihre Applikationen selbst aussuchen können.

Es sollte daher zwischen guter und schlechter Schatten IT unterschieden werden. Ein Mittelweg, der gut funktioniert, wenn die IT-Abteilung die Daten und Benutzerberechtigungen für die Anwendungen einfach nur noch kontrollieren muss. Weil die Mitarbeiter selbst nach Anwendungen suchen, hat die IT-Abteilung mehr Zeit sich um ihre Kernaufgaben zu kümmern.

Schatten IT und Low-Code Tools

Gleichzeitig werden Low-Code-Tools immer populärer. Sie versprechen, dass auch Nicht-Programmierer Anwendungen ohne Kenntnisse von Programmiersprache entwickeln können und so selbstständig Geschäftsanwendungen erstellen. Eine gute Möglichkeit genehmigte IT zu erstellen und die IT-Abteilung zu entlasten. Was aber, wenn Entwickler den Low-Code-Tools nicht genug Vertrauen entgegenbringen und meinen, es besser zu können? Das sorgt für Frust in den Abteilungen und der Schritt zur Shadow IT liegt nahe.

Das kann sicher zum Balanceakt werden, denn Low-Code ist eine effiziente Lösung, um die Schatten-IT einzudämmen. Wie kann das gelingen?

1. Das Vertrauen der Entwickler gewinnen

Wichtig ist, dass alle mit im Boot sitzen. Es ist daher unerlässlich das Vertrauen der Entwickler zu gewinnen. Das klappt, indem man Respekt vor ihrer Arbeit zeigt und Low-Code-Plattform mit offenen API-Zugängen integriert, die auch für fortgeschrittene Entwickler geeignet sind und die die nahtlose Integration in die bestehende Systemlandschaft gewährleisten.

2. Berechtigungen festlegen

Softwareverantwortliche müssen die Kontrolle behalten, um Shadow IT zu vermeiden. Die Berechtigungen sollen daher sehr fein verteilt in Zugriffsverwaltungsrichtlinien festgehalten werden. Viele Unternehmen neigen hier zu zwei Extremen. Entweder sie berechtigen nur IT-Anwender für Veränderungen oder setzen die IT als oberste Genehmigungsinstanz ein.

3. Zusammenarbeit und Wissensaustausch fördern

Wenn Unternehmen Low-Code-Tools einsetzen, hat das oft den Hintergrund, dass sie schnelle und anpassbare Lösungen suchen. Das scheitert jedoch oft bereits an dem Zusammenkommen verschiedener Teams im Unternehmen. Hier gilt es die Zusammenarbeit mittels einer kollaborativen Plattform für Entwickler, Anwender und Stakeholdern zu fördern. So können die Anwender direkt lauffähige Prototypen entwickeln und diese in Zusammenarbeit mit der IT weiter optimiert werden.

4. Dokumentation und Wiederverwendung

Wichtig ist es, dass alle Abteilungen die Prozesse dokumentieren und die Verwendung der Software offenlegen. Alles was nicht dokumentiert wird, ist nicht handhabbare Software. Nur mit einer Dokumentation kann die Wiederverwendbarkeit gesichert und der Umgang geschult werden. Mittels graphischer Modelle, wie z.B. mittels BPMN, DMN oder CMMN können auf einer geeigneten Low-Code-Plattform der Ablauf und die Funktionsweise der Applikation auch ohne externe Dokumentation nachvollzogen werden.

5. Dokumentation und Wiederverwendung

Unternehmen sollten Low-Code kultivieren. Je mehr Teams Low-Code beherrschen und je mehr diese gefördert werden, umso weniger wird Shadow IT zu einem Problem.

Fazit: Mit Low-Code und ohne Schatten IT Transformation vorantreiben?

Die immer schnelleren Veränderungen auf den Märkten und die aktuelle Situation um COVID-19 zwingt Unternehmen flexibel auf Entwicklung zu reagieren. Die Digitalisierung und damit eingehend die digitale Transformation sind unausweichlich. Vielen fehlt es jedoch an Entwicklern, die neue Anwendungen dafür erstellen können. Statt den Mitarbeitern die schnelle Problemlösung mit Shadow IT in die Hände zu legen, sollte das Bewusstsein rund um Low-Code gestärkt werden. Sicher ist es weiterhin wichtig, auch in breit angelegte Cloud-Technologien zu investieren, aber vor allem manuelle Prozesse lassen sich mit Low-Code oft deutlich schneller digitalisieren. Appollo hilft Ihnen dabei, praktische und direkte Lösungen zu finden, ganz ohne Shadow IT. Sprechen Sie uns gerne an!