Proact Blog

Ihr Problem ist nicht die Schatten-IT, sondern Kommunikation

Die Schatten-IT ist ein kontroverses Thema; bei Diskussionen darüber muss zuerst definiert werden, was sie eigentlich ist, bevor man über die Auswirkungen reden kann. Wenn wir mit Schatten-IT Dinge meinen wie die rücksichtslose Nutzung von Mitarbeiter-Geräten, die muntere Umgehung von Sicherheitssystem, den unverantwortlichen Download von nicht genehmigten Cloud-Anwendungen – kurz gesagt, die Untergrabung aller Bemühungen des Unternehmens, seine Daten und Systeme zu schützen, dann sind wir selbstverständlich dagegen.

Aber wenn wir mit Schatten-IT Dinge meinen wie den sinnvollen Gebrauch von Technologie für effizientere Abläufe, die Nutzung des Potenzials der Cloud für bessere Tools und Software, die Möglichkeit, Mitarbeitern Zugang zu Systemen zu bieten, mit denen sie bessere Arbeit leisten können, dann sind wir natürlich dafür.

Es ist eine polarisierende Debatte. Manche, wie z.B. David Rosewell, Head of Strategy bei Fujitsu, behaupten, ein Verbot der Schatten-IT sei „nicht nur sinnlos, sondern auch ein Verbot für Innovation“; andere, darunter Brian Lowans von Gartner, warnen vor unerlaubten Cloud-Services, die das Risiko von Datenschutzverletzungen und erheblichen finanziellen Schaden erhöhen.

Wer hat Recht?

Eine Waffe für Gut oder Böse?
Man kann Führungskräften nachsehen, dass sie die Schatten-IT für ein reines Übel halten. Schlagzeilen wie „Aufwachen! Die Schatten-IT ist ein Risiko“ und „Apps der Schatten-Cloud bergen ungeahnte Risiken“ sind unmissverständlich negativ.

Niemand zweifelt an, dass die Schatten-IT eine starke Waffe ist; aber wie bei Schusswaffen hängt die Gefahr auch hier davon ab, von wem bzw. unter welchen Umständen und wessen Aufsicht sie benutzt wird. Ihre möglichen Risiken bringen ein Risiko, aber zugleich auch unvorstellbare potenzielle Vorteile mit sich.

Niemand kann verleugnen, dass eine unsachgemäße und nicht von der IT-Abteilung überwachte Schatten-IT erhebliche Herausforderungen für Sicherheit und die Konformität darstellt. Wenn Angestellte verschiedene Cloud-Services herunterladen und nutzen, kommen dabei natürlich Bedenken auf, vom Datenschutz und der DSGVO-Konformität bis hin zu ungesicherten Geräten und der firmenspezifischen Sicherheitspolitik.

Andererseits müssen wir anerkennen, warum Mitarbeiter den Drang dazu haben, die Vorschriften der firmenspezifischen IT-Politik zu umgehen. Der Hauptgrund dafür ist, dass sie sich die Freiheit wünschen, die Geräte, Anwendungen und Cloud-Plattformen zu nutzen, mit denen sie am besten umgehen können. Es ist die alte Debatte „Design gegen Nutzererfahrung“: Die IT-Abteilung kann noch so sehr versuchen, Nutzer dazu zu zwingen, den genehmigten Weg einzuhalten, aber die Nutzer werden Abkürzungen nehmen, die das Leben einfacher machen.

Reden wir über die Schatten-IT
Ob sie es mögen oder nicht, die Schatten-IT wird bleiben. Laut Intel sagen mehr als zwei Drittel der Unternehmen, dass sie eine Form der Schatten-IT nutzen. Tatsächlich haben Forscher herausgefunden, dass Unternehmen damit rechnen können, dass mehr als 35 % aller SaaS-Apps des Unternehmens außerhalb der Überwachung gekauft werden. Leider verharren beide Seiten bei dieser Debatte so sehr auf ihrer Meinung, dass wir das Problem scheinbar niemals lösen werden. Was wir dringend brauchen ist ein wenig Feingefühl, ein bisschen Verständnis – und vor allem Kommunikation.

Die Schatten-IT ist weder gut noch böse: Die viel wichtigere Frage ist, ob ein Unternehmen eine Kultur schaffen kann, in der die Wünsche der Mitarbeiter mit der Sicherheitspolitik des Unternehmens zu vereinbaren sind. Dazu müssen beide Seiten – innerhalb gewisser Grenzen – Kompromisse eingehen.

Unternehmen müssen bei dieser Herausforderung zuerst verstehen, was überhaupt von der IT verlangt wird, und dann aktiv ihre Politik so anpassen, dass diese Technologien akzeptiert und effektiv kontrolliert werde können.

Nicht „Schatten“, sondern „sicher“
Bei Diskussionen zur Schatten-IT werden Mitarbeiter oft wie Kinder behandelt, die mit Zündhölzern spielen: mit anderen Worten werden sie als echte Gefahr für die allgemeine Sicherheit gesehen. Wenn wir bei dieser Analogie bleiben, was ist dann wohl die richtige Vorgehensweise: ihnen die Zündhölzer wegzunehmen, oder sie über die potenziellen Gefahren zu informieren und durch Aufsicht und Schulung sicherzustellen, dass sie den vernünftigen Umgang damit lernen?

Dies ist – allgemein formuliert – die richtige Herangehensweise an die Herausforderung der Schatten-IT; nicht zuletzt deshalb, weil der Umfang innerhalb der Unternehmen oft größer ist, als sie selbst wahrnehmen. Der durchschnittliche CIO glaubt, dass in seinem Unternehmen 30 bis 40 Cloud-Apps verwendet werden, aber Symantec schätzt die tatsächliche Zahl auf weit über tausend. Die einzige realistische Herangehensweise ist also, nicht einfach zuzulassen, dass die von Mitarbeitern gesteuerte Technologie sich im Schatten vermehrt, sondern dass sie abgesichert wird.

Dies ist grundsätzlich die Frage einer guten Führung. Die Schatten-IT sollte einfach in jede gut angepasste Führungsstruktur hineinpassen. Bei der aktuellen Geschwindigkeit des digitalen Wandels verschwimmt die Grenze zwischen der operativen Unternehmensseite und der IT immer mehr. Unternehmen müssen deshalb ein viel besseres Verständnis dafür entwickeln, wie die IT das Geschäft fördern kann und das Problem mit ihren Angestellten besprechen, damit die IT auch wirklich ihre Versprechen erfüllen kann.

Wenn Unternehmen eine solide Führungsstruktur aufbauen, können Mitarbeiter und die IT-Abteilung ein vernünftiges Gespräch darüber führen, wie sie das Gleichgewicht zwischen ihren jeweiligen Wünschen finden: einerseits für die Agilität und Zusammenarbeit, andererseits für die Sicherheit.

Lenken wir unseren Blick also ab von der Bedeutung des Begriffs „Schatten-IT“ und konzentrieren wir uns eher darauf, ein Arbeitsumfeld zu schaffen, in dem die besten Tools auf die sicherste Art und Weise genutzt werden.

Sign-up to our eNewsletter!