Viele Mitarbeiter sind von der offiziellen IT in ihrer Firma frustriert – und nutzen ohne Absprache Programme, die sie manchmal bereits als Privatnutzer kennen. Das Problem der so genannten Schatten-IT ist mit der Verbreitung von Cloud-Diensten gewachsen.
Stuttgart - Als der IT-Experte Daniel Wolf vor kurzem im Auftrag einer großen deutschen Bank überprüfen sollte, wie viele Anwendungen die Mitarbeiter ohne Genehmigung installiert haben, schätzten die Verantwortlichen die Zahl auf 30. „Dann hat einer überlegt und gemeint: Wenn es ganz schlimm kommt, dann sind es vielleicht 50“, sagt Wolf, der für die US-Firma Skyhigh Networks eine Software anbietet, die alle Cloud-Anwendungen in einer Firma scannen kann. Das Ergebnis: Am Ende fand man 1800 Varianten, mit denen die Firmen-IT umgangen wurde.
Mitarbeiter haben dafür viele Gründe. Selbst ausgewählte Programme oder Apps funktionieren besser oder die Anwender sind mit diesen schon als Privatnutzer gut vertraut. Und oft reagieren überforderte und unterfinanzierte IT-Abteilungen auf Wünsche und Anregungen zu schwerfällig. „Das Problem gab es schon immer – aber in der Internetcloud hat es sich verschärft“, sagt Bernd Länger vom Stuttgarter IT-Dienstleisters Axsos, der sich jüngst im Rahmen eines Workshops in Leinfelden mit der Thematik auseinandersetzte. Mit ein paar Klicks kann man heutzutage externe IT-Ressourcen jederzeit anzapfen. „Ein Mitarbeiter hat heute viel mehr IT-Kompetenz als früher“, sagt der Konstanzer Informatikprofessor Christopher Rentrop, der als erster in Deutschland begonnen hat, das Thema der sogenannten Schatten-IT zu untersuchen.
Die Versuchung lauert vor allem in der Cloud
Dokumente lassen sich heute über Cloud-Speicher wie Dropbox teilen, Organisationsprogramme wie Evernote versprechen effizienteres Arbeiten, selbst Power-Point-Präsentationen können mit externen Programmen wie Prezi aufgepeppt werden. Auch Kommunikationsmittel wie Skype oder soziale Netzwerke werden ohne Rücksprache mit der IT-Abteilung genutzt. Laut Rentrops Untersuchungen gehören aber selbst gebastelte Varianten für das Tabellenprogramm Excel und die Datenbank Access, beides Microsoft-Produkte, zu den häufigsten „Delikten“. Harmlos ist auch dies nicht: Dem US-Wirtschaftsprofessor Kenneth Rogoff beispielsweise flogen 2013 die gesamten, spektakulären Ergebnisse einer Studie zur Staatsverschuldung um die Ohren, weil eine Excel-Tabelle falsch programmiert war. Das kann auch mit Firmenzahlen passieren.
Rentrop hat drei Dutzend Firmen unter die Lupe genommen. In keiner Unternehmensabteilung hat er weniger als acht nicht genehmigte IT-Dienste gefunden. Mitunter waren es sogar mehr als 50. Das US-Beratungsunternehmen Gartner veröffentlichte 2014 eine Studie, wonach international etwa ein Viertel der Anwendungen in den Unternehmen außerhalb der offiziellen IT entwickelt wird. Die US-Analysefirma IDC sagt, dass ein Drittel aller Fachabteilungen sich auf eigene Faust in die öffentliche Internet-Cloud begeben. Und laut einer Umfrage der US-Beratungsfirma Frost & Sullivan und des Sicherheitsanbieters McAffee in englischsprachigen Ländern benutzen acht von zehn Mitarbeitern heute nicht genehmigte Apps. Die Profis aus den IT-Abteilungen tun das laut Studie mit zu 83 Prozent noch häufiger – etwa die Hälfte von ihnen umgeht sogar IT-Prozesse, die sie selbst programmiert haben.
Manchmal zahlen die Mitarbeiter sogar für ihre Software
Die Kreativität kennt keine Grenzen. Häufig würden beispielsweise UMTS-Karten gekauft, um sich auf eigene Faust im Internet einzuwählen, sagt Rentrop: „Wenn eine Firma dank Ihres zentralen Einkaufs glaubt, sie habe die IT unter Kontrolle, dann ist das eine Illusion.“ Eine Fachabteilung in einem von ihm untersuchten Unternehmen kaufte gleich 300 PCs an der IT-Zentrale vorbei. „Eine IT-Installation findet sich auf der Abrechnung eben als Beratungsdienstleistung wieder“, sagt Rentrop. Die Mitarbeiter sind teilweise sogar bereit, die besser funktionierenden Anwendungen aus eigener Tasche zu bezahlen.
Verbote und Drohungen seien der falsche Weg, sagt Rentrop: „Es ist sinnlos, IT-Alternativen generell zu sperren.“ Konsequent zu Ende gedacht müsste dann jeder Softwarebaustein einzeln genehmigt werden. Und gerade eine solche Bürokratie sei es, welche die Nutzer in die Arme der Schatten- IT treibe. „Es steckt meist keine böse Absicht dahinter. Die Mitarbeiter sehen es als Notwehr, um ihre Arbeit machen zu können, “ ist Rentrop überzeugt. Die selbst gestrickten IT-Lösungen funktionierten meist sehr gut. Nicht die Funktion, sondern die Sicherheit ist die Schwachstelle.
„Wir haben einen multinationalen Konzern analysiert, der hatte auf diese Weise die Spur von insgesamt 3000 Terabyte seiner Daten verloren“, sagt Daniel Wolf von Skyhigh Networks. Das entspricht der Datenmenge, die sich auf mehreren tausend PCs befindet. Oft werden in der Schatten-Software Backup- und Dokumentationspflichten missachtet oder Vorschriften zum Daten- und Persönlichkeitsschutz ignoriert. Rentrop nennt als ein Beispiel die Tatsache, dass vor der globalen Finanzkrise Mitarbeiter von US-Banken Deals mit Schrott-Hypotheken auf Excel-Dateien dokumentierten, bei denen sich im Nachhinein alle Spuren verwischen ließen.
Fahndungs-Software wie von der eingangs erwähnten Firma Skyhigh könne nur Schatten-IT aufspüren, welche die Internetcloud nutze, sagt Rentrop. Er selbst wählt lieber direkte Interviews mit Mitarbeitern, um herauszufinden, was abseits der offiziellen IT passiert. Denen wird zuvor natürlich zugesichert, dass es keine Sanktionen gibt. Der Konstanzer Experte plädiert für einen pragmatischen Ansatz. Bei einem Drittel der inoffiziellen Anwendungen brauche man gar nichts tun, weil sie harmlos seien. Ein Viertel sei aber so riskant, dass man sie nicht ohne grundlegende Anpassungen nutzen könne. Dennoch könnten Unternehmen von der Schatten-IT sogar profitieren: „Viele selbstgestrickte Lösungen funktionieren besser als das, was die Firma anbietet.“
Was ist Schatten-IT?
Definition – Als Schatten-IT bezeichnet man Software oder ganze Prozesse im Bereich der Informationstechnologie, die von Fachabteilungen oder einzelnen Mitarbeitern in Unternehmen auf eigene Faust eingesetzt werden. Das offizielle IT-Management weiß nichts davon. Und so werden Software und Daten in dieser Schattenzone nicht nach dem offiziellen Firmenstandard beaufsichtigt und gewartet. Auch in der offiziellen Kostenrechnung für die IT taucht dieser Bereich nicht auf.
Grauzone – Das Spektrum reicht von der privaten App auf dem Smartphone, die auch für dienstliche Belange genutzt wird, über nicht autorisierte Varianten der Firmensoftware bis hin zu ganzen Verträgen mit IT-Anbietern, von denen die Verantwortlichen nicht in Kenntnis gesetzt werden. Je strenger die Richtlinien eines Unternehmens beispielsweise bezüglich Sicherheit oder Datenschutz sind, umso problematischer ist diese unregulierte, und vor allem wegen der steigenden Zahl an leicht zu buchenden Cloud-Angeboten, immer weiter gewachsene Grauzone.