Warum Unternehmen Schatten-IT nicht fürchten müssen

Vier Tipps gegen Kreditkarten-IT

| Autor / Redakteur: Michael Kleist, Novell* / Elke Witmer-Goßner

Mitarbeiter zücken schon mal vorschnell ihre Kreditkarte und schaffen ungefragt selbst einzelne Anwendungen an, was die Unternehmens-IT vor arge Probleme stellen kann.
Mitarbeiter zücken schon mal vorschnell ihre Kreditkarte und schaffen ungefragt selbst einzelne Anwendungen an, was die Unternehmens-IT vor arge Probleme stellen kann. (Bild: Contrastwerkstatt, Fotolia)

Der Begriff der Schatten-IT ist mittlerweile so bekannt wie die Cloud und ebenso verbreitet – dazu ein beliebtes Thema von Fachpresse und Tagungen. Doch was genau ist Schatten-IT und was hat sie mit Kreditkarten zu tun? Michael Kleist, Managing Director Central Europe bei Novell, hat dafür eine Erklärung und vier Tipps für IT-Abteilungen:

Die Universität Konstanz definiert Schatten-IT als „IT-Systeme, IT-Serviceprozesse und IT-Mitarbeiter in den Fachabteilungen (…), die weder technisch noch strategisch in das IT-Servicemanagement der Organisation eingebunden sind“. Die Einführung von Salesforce durch die Vertriebsabteilung fällt somit schon unter den Begriff Schatten-IT, wenn diese Entscheidung nicht vorab mit der IT-Abteilung abgesprochen wurde. Heißt das im Umkehrschluss also, dass die IT die Einführung von solchen cloud-basierten CRM-Tools verhindern muss?

Nein, denn nicht die Tools sind das Problem, sondern die Art der Einführung. In der Regel gibt es einen bestimmten Grund, warum die IT-Abteilung bei der Anschaffung nicht hinzugezogen, sondern im Dunkeln gelassen wurde. Mitarbeiter suchen nach Mitteln und Lösungen, ihre Arbeit effizienter und einfacher zu gestalten. Sind ihnen dabei sperrige vorgeschriebene Lösungen im Weg oder gar überhaupt keine vorgegeben, suchen sie sich eigene Wege. Die Antwort der IT sollte daher sein, sich als Berater der Abteilungen zu etablieren; als jemand, dem man vertraut und zutraut, die eigene Arbeit zu erleichtern.

Das jedoch ist nur möglich, wenn die IT-Abteilung im Bilde ist, was im Unternehmensnetz vor sich geht. Zwar sind eigenmächtig für eine Abteilung angeschaffte Cloud-Lösungen ärgerlich, doch sind sie zu groß, um sich lange vor der IT zu verstecken. Das wirkliche Problem ist etwas, das wir Kreditkarten-IT nennen: Kleine, unauffällige Lösungen, die der Mitarbeiter schnell im App-Store für 89 Cent mit der eigenen Kreditkarte kaufen kann. Lösungen wie Dropbox oder Evernote locken mit günstigen Angeboten und Teams setzen sich immer wieder über die IT hinweg. Die Folge: Unternehmensdaten fließen unkontrolliert ab, natürlich unter Missachtung aller Compliance-Vorgaben des Unternehmens. Und – oft noch schwerwiegender im Alltag – ohne Möglichkeit einer Weitergabe an Kollegen oder zur Verknüpfung mit anderen Unternehmensdaten.

Was also tun?

Keine IT-Abteilung hat zu jeder Zeit die volle Kontrolle über alles, was im Unternehmen geschieht. Schatten-IT ist daher kein neues Phänomen und wird auch nicht verschwinden. Man kann das Haus niemals komplett ausleuchten – irgendwo findet sich immer ein Schatten – das ist jedoch kein Grund, sich auf Kerzenlicht zu beschränken. Schatten-IT lässt sich sehr wohl eingrenzen. Erkenntnis des Problems ist schon der erste Schritt zur Besserung.

Die IT-Abteilung sollte alles daran setzen, über im Umlauf befindliche Lösungen und Geräte informiert zu sein. Es geht dabei nicht darum, etwas zu verbieten, sondern es einzuschätzen und das Risiko zu bewerten. Auch wenn eine App ohne Wissen der IT beschafft wurde, kann sie harmlos sein. Auch Dropbox könnte genutzt werden – nur nicht für Unternehmensdaten. Dazu muss die IT-Abteilung die geltenden Rechte, Pflichten und Compliance-Richtlinien kennen und anwenden.

Richtlinien sind oft umständlich oder unzureichend. Um der Schatten-IT zu begegnen, ist es essenziell, Mitarbeitern eine brauchbare Richtlinie an die Hand zu geben, welche Art von Daten in welchen Anwendungen genutzt werden soll oder welche Art von Lösungen für welche Aufgaben angemessen sind. Durch diese ausführliche Aufklärung kann sich die IT vom „strengen Verbotsmann“ zum Berater wandeln, der Mitarbeitern wertvolle Anleitungen gibt. Dabei hilft eine klare Richtlinie des Unternehmens in Bezug auf Cloud Computing, sowie eine Liste geprüfter und freigegebener Anwendungen.

Die meisten Unternehmen in regulierten Branchen bevorzugen On-Premises-Lösungen. Gerade bei sensiblen Dokumenten wollen Unternehmen beim File-Sharing nicht auf die Sicherheit und Beherrschbarkeit eines lokalen Dienstes verzichten. Sollten Mitarbeiter sich selbst Cloud-Lösungen per Kreditkarte zulegen, so suchen sie einfach nach einem effizienteren Weg. Der beste Weg, sie dazu zu bewegen, Unternehmenssoftware zu nutzen, ist daher, ihnen interne Lösungen zu bieten, die ebenso einfach – besser noch einfacher – zu nutzen sind und die Arbeit genauso erleichtern wie externe Lösungen. Dadurch bekommen Mitarbeiter die Anwendung, die sie brauchen, während die benötigte Sicherheit gewährleistet wird.

Eigene Lösungen und klare Linie

Schatten-IT entsteht also, wenn Mitarbeiter externe, nicht genehmigte Lösungen einkaufen – entweder aus Unwissenheit oder aus dem Versuch heraus, ihre Arbeit effizienter zu gestalten. Mit einer klaren Linie, wie das eigene Unternehmen zu Cloud Computing steht und wie mit externen Lösungen umgegangen werden soll, können viele Unklarheiten von vorne herein vermieden werden. Wenn Mitarbeiter nicht aus Unwissen Kreditkarten-IT beschaffen, so suchen sie nach effizienten Lösungen. Wer diese intern bietet, auch On-Premises, der befriedigt die Wünsche der Mitarbeiter und gibt ihnen keinen Grund, sich nach ungeprüften und nicht integrierten Apps umzusehen – und garantiert wie nebenher auch die geforderte Sicherheit und Compliance.

Michael Kleist, Managing Director Central Europe Novell.
Michael Kleist, Managing Director Central Europe Novell. (Bild: Novell)

* Der Autor Michael Kleist ist Managing Director Central Europe bei Novell.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43107984 / Allgemein)