Schatten-IT

Der Begriff Schatten-IT beschreibt informationstechnische Systeme, Prozesse und Organisationseinheiten, die in den Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind.^[1] Schatten-IT-Instanzen sind somit weder technisch noch strategisch in das IT-Service-Management der Organisation eingebunden, das heißt weder im (IT-Asset- &) Configuration-Management noch im IT-Serviceportfolio berücksichtigt.^[2]

Teilaspekte Bearbeiten

Unter dem Oberbegriff Schatten-IT können verschiedene Teilaspekte unterschieden werden:^[1]

Die Nutzung von Social Software, zur Kommunikation von Benutzern über arbeitsrelevante Themen. Teilweise werden über diesen Kanal auch vertrauliche Informationen verteilt.^[3]
Die Verwendung von IT-Services, die von Dienstleistern außerhalb des Unternehmens angeboten werden. Dazu können Webmail-Services zählen sowie komplexe Angebote wie Software as a Service oder Cloud Services.^[3]
Die Entwicklung und der Betrieb von Applikationen durch Fachabteilungen in eigener Regie. Dies beinhaltet zum Beispiel den recht häufigen Fall einer eigenentwickelten Excel- oder Access-basierten Anwendung;^[4] in den letzten Jahren sind zudem eigenentwickelte Business-Intelligence-Anwendungen^[5] hinzugekommen.
Die Einbindung von Hardware, die nicht in den offiziellen IT-Katalogen enthalten ist. Dazu zählen beispielsweise PCs, Drucker oder Router, die von der Fachabteilung direkt im Einzelhandel beschafft werden.
Die Einbindung privater Smartphones und Tablet-PCs inklusive der entsprechenden Apps in die Unternehmensnetzwerke.^[6]
Aufbau eigener Supportstrukturen in den Fachabteilungen, wenn sich beispielsweise Kollegen untereinander bei Hard- und Softwareproblemen unterstützen.

Ursachen Bearbeiten

Grundsätzlich entsteht Schatten-IT, wenn die von der IT-Abteilung angebotenen Services nicht den Anforderungen der Fachabteilungen genügen.^[7] Die Ursachen für diese Lücke können folgendermaßen aussehen:^[1]

Probleme in der Abstimmung von IT und Fachabteilung:

Schlechte organisatorische Abstimmung von IT und Fachabteilung: Wenn keine eindeutigen Verantwortlichkeiten bei der Betreuung der Fachabteilungen durch die IT existieren,^[8] sehen sich diese dazu veranlasst eigene Lösungen zu entwickeln.
Unangebrachte Koordinationsmechanismen bei der IT-Steuerung, wie z. B. zu starre Budgets oder unzureichende Transparenz bei den IT-Verrechnungspreisen, führen dazu, dass die offizielle IT durch Schatten-IT in den Fachabteilungen ersetzt wird.
Eine zu geringe Formalisierung der Zusammenarbeit zwischen IT und Fachabteilung kann zu einem Eigenleben in den Fachabteilungen führen, durch welches die Entwicklung von Schatten-IT hervorgeht. Auf der anderen Seite kann eine zu hohe Formalisierung dazu führen, dass die Anwender sich den rigiden Prozessen des Demand Managements entziehen^[9] und eigene Lösungen erstellen.
Bei einer unzureichenden Gestaltung des IT-Outsourcings kann durch die Schaffung von Schatten-IT ein verdecktes Insourcing stattfinden.

Kontextfaktoren in der IT:

Durch personelle oder finanzielle Ressourcenengpässe in der IT werden oft Projektanfragen aus den Fachbereichen zurückgestellt. Dies gilt auch für den Fall, wenn in der IT das notwendige Know-how fehlt. Häufig behelfen sich Fachabteilungen in diesen Fällen mit der Eigenentwicklung der Leistungen.
Neue Informationstechnologien (z. B. Cloud-Computing wie Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS), Business Process as a Service (BPaaS)) erleichtern den Zugang zu Software-Anwendungen außerhalb des offiziellen IT-Bereichs.

Kontextfaktoren in den Fachabteilungen:

Eine hohe Autonomie in den Fachabteilungen kann sich auf den Bereich der IT ausdehnen.
Mergers & Acquisitions: Unternehmen, die eine umfangreiche M&A-Historie aufweisen, haben oftmals einen geringeren organisatorischen Zusammenhalt; dadurch sind Fachabteilungen eher bereit unabhängig von der zentralen IT zu agieren.
Dezentrale Organisationsformen: Eine räumlich stark verteilte Organisation führt naturgemäß zu Einschränkungen im IT-Support. Hierdurch wird die informationstechnische Eigeninitiative gefördert, die sich in Schatten-IT niederschlagen kann.
Externe Einflüsse aus dem Unternehmensumfeld: Unternehmen können z. B. durch Hausbanken, Kunden oder Lieferanten dazu gezwungen sein, IT-Systeme Dritter zu verwenden. Häufig erfolgt dies allein durch die Fachabteilungen ohne Unterstützung des IT-Bereichs.
Die steigende Technologie-Affinität der Mitarbeiter (Digital Natives) fördert die Entwicklung von Schatten-IT.^[10]

Auswirkungen Bearbeiten

Mit Schatten-IT sind positive und negative Auswirkungen verbunden:^[1]

Risiken:

Probleme im Hinblick auf Datensicherheit, -integrität und -schutz durch eine oftmals weniger professionell durchgeführte Entwicklung.^[7]
Compliance-Konflikte: Schatten-IT kann zur Etablierung von Prozessen führen, die bestehende Compliance-Regeln verletzen. Außerdem stellt Schatten-IT selbst einen Verstoß gegen unternehmensinterne Regeln dar.
Schatten-IT Anwendungen werden definitionsgemäß nicht vom IT-Service-Management betreut. Da die Fachabteilung dies nicht übernimmt und die Schatten-IT-Anwendungen häufig technologisch betrachtet qualitativ schlechter als professionell entwickelte Systeme sind, besitzen sie somit eine geringe Zukunftsfähigkeit. Eine Planung von IT-Architektur und IT-Kapazitäten ist kaum möglich.^[2]
Der geringe Grad an Professionalität führt oftmals zu einer wirtschaftlichen Ineffizienz der Prozesse und Systeme.
Sourcing-Entscheidungen werden durch die Schaffung von Schatten-IT untergraben: Offiziell ausgewählte Outsourcing-Partner werden übergangen, was ein hohes Risikopotenzial hinsichtlich von Vertragsstrafen birgt.
Die Beschäftigung von Mitarbeitern in den Fachabteilungen mit IT-Themen kann negative Auswirkungen auf die Gesamtperformance des Unternehmens haben, da sich diese Mitarbeiter nicht mit ihren Hauptaufgaben beschäftigen.
Andere IT-Services können von Schatten-IT gestört und deren Verfügbarkeit beeinträchtigt werden.^[2]
Dadurch, dass Schatten-IT nicht ins Releasemanagement eingebunden ist, können Migrationen und andere Veränderungsmaßnahmen behindert werden.^[2]
Die Benutzerzufriedenheit kann durch Folgeprobleme der Verfügbarkeit und des Supports der Schatten-IT ebenfalls negativ beeinflusst werden.^[2]

Chancen:

Hohe IT-Innovationsrate: Die Auseinandersetzung der Fachbereiche mit den Chancen von IT und die Erkennung eines zusätzlichen Nutzens für ihre Prozesse, führt sie unter den entsprechenden Rahmenbedingungen zur Entwicklung von Schatten-IT. Für die IT-Abteilungen hingegen ergeben sich aufgrund ihrer Distanz zum operativen Geschäft, Probleme dieses Innovationspotenzial aufzudecken. Folglich finden Innovationen über Schatten-IT sehr schnell ins Unternehmen.^[5]
Die Schatten-IT-Lösungen sind sehr aufgabenorientiert und haben eine starke Fokussierung auf die internen Prozesse der Fachabteilung. Dies kann zu einer Verbesserung der Prozesse führen.
Schatten-IT-Lösungen führen durch ihre Nähe zu den Bedürfnissen der Anwender zu einer wachsenden Benutzerzufriedenheit mit der IT-Unterstützung im Unternehmen insgesamt.^[11] Dadurch, dass der Bewilligungsprozess fehlt, sind Schatten-IT-Lösungen außerdem flexibel und schnell anpassbar.^[2]
Untersuchungen haben gezeigt, dass die Identifikation mit den genutzten Produkten sehr hoch sein kann, was zu steigender Motivation führt.^[2]

Literatur Bearbeiten

Steffi Haag: Shadow IT. Insights from multiple research perspectives. Frankfurt am Main 2016 (Diss.).
Stephan Zimmermann: Der Umgang mit Schatten-IT in Unternehmen – Eine Methode zum Management intransparenter Informationstechnologie. Springer-Verlag, 2018, ISBN 978-3-658-20786-1.

Einzelnachweise Bearbeiten

↑ ^a ^b ^c ^d Christopher Rentrop, Oliver van Laak, Marco Mevius: Schatten-IT: ein Thema für die Interne Revision? In: Revisionspraxis, April 2011
↑ ^a ^b ^c ^d ^e ^f ^g Stephan Zimmermann, Christopher Rentrop: Schatten-IT. (PDF; 4,2 MB) @1@2Vorlage:Toter Link/hmd.dpunkt.de (Seite nicht mehr abrufbar, festgestellt im Mai 2019. Suche in Webarchiven) Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. In: HMD Praxis der Wirtschaftsinformatik, 2012, 49, 288, S. 60–68.
↑ ^a ^b Ben Worthen: User Management – Users Who Know Too Much and the CIOs Who Fear Them. In: CIO, 11. Februar 2007
↑ Rick Sherman: Shedding Light on Data Shadow Systems. In: Information Management Online, 29. April 2004.
↑ ^a ^b Neil Raden: Shadow IT: A Lesson for BI. (Memento des Originals vom 11. Dezember 2015 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2 In: BI Review Magazine, 1. Oktober 2005
↑ Nicolas Zeitler: iPad & Co. am Arbeitsplatz: Strategie gegen die Schatten-IT. @1@2Vorlage:Toter Link/www.cio.de (Seite nicht mehr abrufbar, festgestellt im Mai 2019. Suche in Webarchiven) Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. In: CIO, 15. November 2010
↑ ^a ^b George Spafford: The Dangers that Lurk Behind Shadow IT. 4. Februar 2004
↑ Mike Schaffner: IT Needs To Become More Like “Shadow IT”. mikeschaffner.typepad.com, 12. Januar 2007
↑ Holger Wolff: Das Management komplexer Unternehmensarchitekturen. In: Objektspektrum.de, 2010, Heft 1.
↑ The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk. (Memento vom 21. November 2008 im Internet Archive; PDF; 666 kB) RSA, 2007.
↑ Sandy Behrens: Shadow Systems: The Good, The Bad and the Ugly. In: Communications of the ACM, 2009, Nr. 2.

[Rentrop-1] Christopher Rentrop, Oliver van Laak, Marco Mevius: Schatten-IT: ein Thema für die Interne Revision? In: Revisionspraxis, April 2011

[Zimmermann-2] ↑ ^a ^b ^c ^d ^e ^f ^g Stephan Zimmermann, Christopher Rentrop: Schatten-IT. (PDF; 4,2 MB) @1@2Vorlage:Toter Link/hmd.dpunkt.de (Seite nicht mehr abrufbar, festgestellt im Mai 2019. Suche in Webarchiven) Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. In: HMD Praxis der Wirtschaftsinformatik, 2012, 49, 288, S. 60–68.

[Worthen-3] Ben Worthen: User Management – Users Who Know Too Much and the CIOs Who Fear Them. In: CIO, 11. Februar 2007

[Sherman-4] Rick Sherman: Shedding Light on Data Shadow Systems. In: Information Management Online, 29. April 2004.

[Raden-5] Neil Raden: Shadow IT: A Lesson for BI. (Memento des Originals vom 11. Dezember 2015 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2 In: BI Review Magazine, 1. Oktober 2005

[Zeitler-6] Nicolas Zeitler: iPad & Co. am Arbeitsplatz: Strategie gegen die Schatten-IT. @1@2Vorlage:Toter Link/www.cio.de (Seite nicht mehr abrufbar, festgestellt im Mai 2019. Suche in Webarchiven) Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. In: CIO, 15. November 2010

[Spafford-7] George Spafford: The Dangers that Lurk Behind Shadow IT. 4. Februar 2004

[Schaffner-8] Mike Schaffner: IT Needs To Become More Like “Shadow IT”. mikeschaffner.typepad.com, 12. Januar 2007

[Wolff-9] Holger Wolff: Das Management komplexer Unternehmensarchitekturen. In: Objektspektrum.de, 2010, Heft 1.

[RSA-10] The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk. (Memento vom 21. November 2008 im Internet Archive; PDF; 666 kB) RSA, 2007.

[Behrens-11] Sandy Behrens: Shadow Systems: The Good, The Bad and the Ugly. In: Communications of the ACM, 2009, Nr. 2.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]