Kaizen 2 go 092 : Schatten-IT



Ursachen, Folgen und der Umgang mit Schatten-IT

Im Gespräch mit Melanie Huber vom Konstanzer Institut für Prozesssteuerung über verschiedene Aspekte von Schatten-IT, den zugehörigen Prozessen in den Fachabteilungen. Wir unterhalten uns über die Folgen in der IT-Abteilung und den Fachabteilungen.
 

Inhalt der Episode

  • Was ist Schatten-IT?
  • Wo tritt sie auf?
  • Was sind die Ursachen?
  • Was sind die Folgen?
  • Wie kann man sie vermeiden bzw. damit umgehen?
  • Wo sollte man beginnen?

Notizen zur Episode


Mitmachen?

Wenn Sie selbst ein interessantes Thema für eine Episode im Umfeld von Geschäftsprozessen haben, können Sie mir das auf dieser Seite mit Vorbereitungsfragen vorschlagen.

Ich freue mich darauf!

Ihnen hat der Inhalt gefallen? Dann bewerten Sie die Episode bitte bei iTunes.
Jetzt eintragen und Artikel zukünftig per eMail erhalten.

(Teil)automatisiertes Transkript

Episode 92 – Schatten-IT

Herzlich willkommen zu dem Podcast für Lean Interessierte, die in ihren Organisationen die kontinuierliche Verbesserung der Geschäftsprozesse und Abläufe anstreben, um Nutzen zu steigern, Ressourcen-Verbrauch zu reduzieren und damit Freiräume für echte Wertschöpfung zu schaffen. Für mehr Erfolg durch Kunden- und Mitarbeiterzufriedenheit, höhere Produktivität durch mehr Effektivität und Effizienz. An den Maschinen, im Außendienst, in den Büros bis zur Chefetage.

Heute habe ich Melanie Huber bei mir im Gespräch. Melanie Huber arbeitet am Konstanzer Institut für Prozesssteuerung (KIPS) an der Hochschule in Konstanz für Technik, Wirtschaft und Gestaltung an der Fakultät Informatik. Hallo Melanie.

Melanie Huber: Hallo Götz, schön, dass es geklappt hat.

Götz Müller: Ja, prima. So erzähl doch mal so zwei-drei Sätze zu dir, was ihr da macht. Wir werden’s nachher natürlich auch sicher ein bisschen in unserem Gespräch vertiefen.

Melanie Huber: Genau, also kurz zu mir. Ich arbeite hier in Konstanz an der Hochschule als wissenschaftliche Mitarbeiterin und das ungefähr seit 2014, hab vorher auch schon als HiWi gearbeitet und hab’ auch meinen Master hier gemacht. Also gibt’s einen Master, wo man eben als BWL- oder Informatikstudent noch nachholen kann und dann den ganz normalen Wirtschaftsinformatik-Master machen kann. Und das habe ich eben gemacht, nachdem ich im Bachelor BWL studiert hab. Und dann bin ich irgendwie so in dieses Institut eben gekommen und arbeite eben dort seit 2014 und wir beschäftigen uns vor allem mit Forschung im Thema, in der Richtung IT-Management, IT-Governance, IT-Strategie und besonders mit dem Thema Schatten-IT.

Götz Müller: Genau, und das ist ja auch heute unser Thema. Ich habe dich ja kennengelernt auf dem Barcamp in Stuttgart, da hast du eine Session dazu gehalten und das hat mich irgendwo gleich angezündet und deshalb habe ich dich angesprochen. Und deshalb vielleicht zum Einstieg, was versteht man denn überhaupt unter Schatten-IT, Schattenprozessen?

Melanie Huber: Ja, genau, also der Begriff geistert ja schon eine längere Weile durch verschiedenste Fachzeitschriften und wenn man jetzt eine Definition sich anschaut, hat es eigentlich drei Elemente. Nämlich einmal sind Schatten-IT Systeme oder Anwendungen, die von den Fachbereichen eben selbst gekauft und entwickelt sind. Das ist einmal das eine. Dann sind eben auch nicht integriert in irgendwelche IT-Management-Prozesse, das bedeutet also so klassische Dinge wie, also Sourcing wird eben nicht gemacht, sondern die Fachbereiche machen es eben selber. Es ist auch nicht eingebunden ins Architektur-Management, solche Dinge. Und zum Dritten ist es eben auch, diese Anwendungen werden genutzt für Geschäftsprozesse, also zur Unterstützung von Geschäftsprozessen. Bedeutet eben auch in Abgrenzung dazu, dass persönliche Anwendungen, die gekauft werden um, keine Ahnung, die eigene Urlaubsplanung zu machen, sind eben nicht Teil dieser Definition, sondern eben Anwendungen, die selbst von den Fachbereichen eingekauft werden.

Götz Müller: Jetzt hast du gerade schon ein paar Bereiche genannt, wo sowas auftritt. Gibt es irgendwelche Bereiche, wo man sagen kann: Die sind eben besonders besonders betroffen von dem Thema?

Melanie Huber: Also grundsätzlich wir haben hier am Institut vier Fallstudien durchgeführt, die wir auch dann in Publikationen verwertet haben und wir haben aber eigentlich gesehen, dass alle Branchen und alle Bereiche betroffen sind. Und wir haben durchschnittlich acht bis über fünfzig Anwendungen pro Fachbereich gefunden. Das heißt, das kann man nicht sagen. Was man aber doch sagen kann, ist, dass es je nach Branche unterschiedliche Ausprägungen gibt, was an Schatten-IT eben da ist. Bei der Bank haben wir eben eher viel EDV, also individuelle Datenverarbeitung, also so Excel und Access und sowas gefunden und Anwenderprogramme und in der Industrie auch viele kombinierte Lösungen, also wo die Fachbereiche sich selber auch Server gekauft haben und es irgendwie mit einer Datenbank kombiniert haben. Genau, also man kann eher sagen, dass dort der Unterschied so von der Branche her ist, aber was man auch sehen kann, dass es auch eine starke Verbreitung bei Knowledge-Workern hat, also wenn man jetzt einfach Mitarbeiter hat, die eine sehr gute Ausbildung haben, aber auch sehr innovativ sind, keine Ahnung, Physiker, Ingenieure und so weiter, da ist es eigentlich auch stärker verbreitet.

Götz Müller: Die basteln sich da schnell mal irgendwas zusammen wahrscheinlich. Gut, wenn man jetzt von außen draufschaut, wie erkennt man Schatten-IT, Schatten-Prozesse? Man kann jetzt die drei Stichworte nehmen, die du genannt hast. Da geht man ja wahrscheinlich eher mit der Lupe durch. Gibt es irgendwelche anderen Mechanismen, wo man fast schon mit der Nase drauf gestoßen wird, da hab ich was?

Melanie Huber: Also, man kann natürlich unterscheiden einerseits, wenn man selber der Anwender ist, dann hat man vermutlich Schatten-IT entwickelt, wenn man halt vorher nicht mit der IT darüber gesprochen hat, weil man sich einfach selbst aus seinem Budget des Fachbereichs was gekauft hat oder auch wenn man sich eine Excel entwickelt, ohne dass man groß mit IT darüber spricht. Und als IT ist es oft so, dass da irgendwas ist, aber man weiß nicht so recht, was da da ist. Man kümmert sich auch nicht drum und die User haben oft sehr spezielle Fragen, weil sie eben Technologien nutzen, mit denen die IT-Abteilung sich sonst nicht auseinandersetzt. Und wenn halt jemand anruft und sagt: „Hey, kannst du mir mal erklären, wie ich den und den Fehler behebe zu einer Technologie, die die eben sonst nie einsetzen, dann ist es auch ein Indiz eben dafür, dass Schatten-IT da ist.

Götz Müller: Du hast vorhin schon ein paar Beispiele genannt, jetzt eher so, sagen wir mal, auf der Applikationsebene Excel oder Access. Was sind denn so typische Beispiele von den Anwendungen, also von dem, wie der einzelne Anwender das nutzt? Was machen die Menschen denn mit der Schatten-IT?

Melanie Huber: Also oft sind es halt spezielle Bedürfnisse, die irgendwie auftauchen und die dann halt schnell irgendwie gestillt werden müssen. Also wenn man jetzt in einer Bank ist und dann möchte man die Finanzdaten, die man eben hat, auf eine ganz neue und spezielle Art eben analysieren, dann ist es eben oft so, dass eben einfach Excel genutzt wird. Also es ist eher so eine ad-hoc-Sache bzw. eine Reaktion auf ein Bedürfnis, was eben auch auftritt. Aber ein anderes Ding ist eben auch, in der Cloud, also das Beispiel, was sehr oft auch genannt wird, ist Dropbox, weil es einfach eine Lösung ist, die sehr flexibel ist und die sehr, teilweise schneller geht, als Dateien anders zu teilen. Oder innovative, so Cloud-Lösungen wie Salesforce werden auch gerne von Marketing-Abteilungen eben genutzt.

Götz Müller: Ja, Dropbox begegnet mir auch immer mal wieder, wo ich dann nur frage: Da wird so ein großer Terz darum gemacht wegen Datenschutz und dann bastelt man sich da eben mal was mit einer Dropbox zusammen.

Melanie Huber: Ja, genau. Datenschutz ist da auf jeden Fall ein großes Thema.

Götz Müller: Gut. Du hast ein bisschen angedeutet, ich möchte es noch weiter vertiefen. Was würdest du denn sagen, sind so die klassischen Ursachen von Schatten-IT?

Melanie Huber: Ja, also Ursachen. Man kann also einerseits so die Treiber anschauen, also dass Fachabteilungen eine hohe Autonomie haben. Teilweise sind es auch Unternehmen, wo eine große M&A-Historie ist, also wo das Unternehmen oft aufgekauft wurde, wo einfach noch alte Lösungen da herumschwirren. Dann aber auch das Thema Consumerization, das ist auch ein großer Treiber, also die Nutzer sind einfach gewohnt, dass sie in ihrem privaten Bereich IT nutzen, aber sie wollen das halt auch im Unternehmen haben. Also, wenn sie zuhause coole Apps haben, wollen sie nicht im Unternehmen an einem Uralt-Rechner sitzen, wo sie ewig brauchen, bis irgendwelche Dinge passieren. Also es sind so verschiedene Treiber, die es gibt. Im Business, aber natürlich auch Treiber in der IT, also dass die IT eine hohe Auslastung hat, sich also gar nicht so um die speziellen Bedürfnisse von den Fachabteilungen kümmern kann und auch, wie ich es schon angesprochen habe, keine Kompetenz hat, teilweise für ganz bestimmte Technologien, die die Nutzer halt in den Moment gerade haben wollen. Und oft ist es aber auch so, dass die Tools, die es halt gibt, das ERP-System zum Beispiel, dass es den Usern also einfach nicht passt. Es passt halt so ein bisschen, aber nicht genau auf die Problemstellung, die sie eben gerade haben und dann versuchen sie das eben irgendwie zu umgehen. Was jetzt aber tatsächlich die Ursache ist, wenn man das jetzt mal von einer wissenschaftlichen Seite betrachtet, sind es eigentlich die Transaktionskosten, also sprich: Der Fachbereich hat halt das Gefühl, es geht schneller und auch besser, wenn ich es alleine mache, weil wenn ich zur IT-Abteilung gehe, dann dauert es viel zu lange und möglicherweise kommt gar nicht das dabei raus, was ich eigentlich haben will.

Götz Müller: Im Grunde steckt ja schon eine positive Absicht dahinter. Man hat irgendein Problem und man will es lösen.

Melanie Huber: Auf jeden Fall, also wir haben nie gesehen, dass es irgendwie aus Boshaftigkeit entwickelt wird, sondern eher aus einer Not heraus, aus einer Notwehr, weil sie in dem Moment halt irgendwas brauchen, was es gerade nicht gibt.

Götz Müller: Jetzt wäre es ja nicht weiter dramatisch, wenn die Sachen nicht Folgen hätten. Da kann man jetzt zwei Teile wieder anschauen. Gucken wir uns zuerst mal vielleicht die IT-Abteilung an. Was sind denn so klassische Folgen, die sich daraus ergeben? Für die IT-Abteilung?

Melanie Huber: Ja, für die IT-Abteilung. Negative Folgen sind natürlich, die haben eigentlich keine Kontrolle darüber, wie sich die Systemlandschaft eben entwickelt. Das heißt, man kann eine schöne Strategie fahren, wie sich alles entwickeln soll, aber wenn die Nutzer eben kommen und ihre eigenen Sachen basteln ist es dann schwierig, das dann in die richtige Richtung zu leiten. Es ist auch schwierig, einfach Risiken zu erkennen, die eben bestehen. Datenschutzrisiken oder generell Prozessausfallrisiken, weil man eben nicht weiß, was eigentlich da ist. Und dann gibt es auch verschiedene Help-Desk-Anfragen natürlich zu unbekannten Systemen, wo man dann auch eine Unzufriedenheit im Fachbereich erzeugt, weil man diese natürlich auch nicht zu deren Zufriedenstellung dann beantworten kann. Und auch so Themen wie Digitalisierung sind auch schwierig, mit Schatten-IT auch gut umzusetzen, weil Schatten-IT auch oft einen hohen manuellen Anteil hat und dadurch diese Anwendungen auch nicht skalieren und dadurch diese Prozesse dadurch auch nicht beschleunigt werden können. Das sind so die negativen Folgen. Aber andererseits gibt es natürlich auch positive, weil Innovationen viel schneller ins Unternehmen kommen, weil die Nutzer auch näher dran sind an ihren eigenen Bedürfnissen und so teilweise auch sehr coole Lösungen entwickeln, die möglicherweise auch ausgerollt werden können.

Götz Müller: Wenn wir jetzt mal die Seite wechseln. Was ist euch begegnet, was sind so die Folgen, für die, die es im Grunde in die Welt setzen, die Schatten-IT.

Melanie Huber: Also zunächst mal hat es für die Fachbereiche eigentlich positive Folgen, also sie haben irgendwie … Da kommt ein Problem, sie können es schnell lösen, sie sind flexibel, das Tool passt natürlich auch super auf ihre Bedürfnisse. Aber teilweise ist es eben auch so, dass … es ist oft so, dass eine Lösung klein und harmlos anfängt, dann wird sie immer größer und irgendwann wächst es den Fachabteilungen auch irgendwann über den Kopf, sodass sie es eigentlich gar nicht mehr haben wollen und auch gern wieder abgeben würden.

Götz Müller: Ja, ich hatte es bei einem Kunden vor kurzem, ja so einem halben Jahr, sowas erlebt. Da war auch eine Excel-Anwendung, die hatte den Namen des Entwicklers, aber der war schon gar nicht mehr da und die standen dann schon vor der Herausforderung: Ja, wie tune ich das jetzt an die jetzt schon wieder fortgeschrittenen, oder sich weiterentwickelnden Anforderungen?

Melanie Huber: Ja, das ist tatsächlich auch oft so, dass es sehr abhängig ist von Einzelpersonen, also dass dann da teilweise ein Passwortschutz ist. Dann geht der Mitarbeiter aus dem Unternehmen und dann weiß man plötzlich nicht mehr, wie man diese Lösung überhaupt ändert. Das ist dann schon ein Problem auch oder teilweise, was den Fachabteilungen auch oft nicht klar ist, und was dann über Interviews auch irgendwie rauskommt, dass sie Datenschutzverstöße machen, obwohl sie es eigentlich gar nicht wollen, sondern es ist ihnen auch gar nicht klar, was da für Risiken einfach auch sind.

Götz Müller: Gut, jetzt geht es natürlich auch irgendwann auch irgendwie um die Ursachen, das heißt, darüber nachzudenken: Wie kann ich die Ursachen, die wir ja auch schon besprochen haben, beseitigen, damit Schatten-IT erst gar nicht auftritt? Was ist da euch bisher begegnet? Was kann man da tun? Wahrscheinlich eher seitens der IT-Abteilung, weil die Benutzer machen’s halt.

Melanie Huber: Ja, das stimmt. Also einerseits kann man sagen, dass IT im Fachbereich wird es halt immer geben. Man darf also als IT-Abteilung da nicht rangehen und glauben, das wird’s irgendwann nicht mehr geben oder existierten. Das ist einfach nicht so, weil manche Fragestellungen sind einfach viel zu spezifisch, als dass die IT-Abteilung die übernehmen können sollte und auch müsste. Aber man kann halt versuchen das Alignment von Business und IT einfach zu erhöhen, besser zu machen. Dadurch dass man eben klare Verantwortlichkeiten festlegt, also dadurch dass man sagt: Ok, die Fachseite sollte für die und die Betriebsprozesse zuständig sein und die IT-Abteilung für irgendwelche anderen Prozesse und dadurch wird die Schatten-IT nicht mehr Schatten-IT, sondern eher eine Fachbereichs-IT und man muss sich dann eben halt auch fragen, ob man eben diese klassische Trennung, dass es bestimmte Prozesse gibt, für die die IT immer verantwortlich ist und bestimmte andere Prozesse, für die die Fachbereiche verantwortlich sind, ob das eben verloren geht und ob man eher auf eine Art adaptive Governance dann eben zurückgreift. Bestimmte Schatten-IT braucht einfach unterschiedliche Regelungen. Also bei manchen kann die Fachabteilung eben mehr machen und bei anderen nicht so viel.

Götz Müller: Wenn man sich jetzt, der ein oder andere hört vielleicht zu, IT-Leiter oder eben verantwortlich für IT, wenn ich jetzt sowas wahrnehme, zum Abschluss, was kann ich tun? Jetzt nicht unbedingt, um es einzudämmen, aber halt um die Kontrolle, und dann zum Schluss den Nutzen und die negativen Folgen für das Unternehmen zu minimieren. Wie startet man am besten, um mit dem Thema umzugehen?

Melanie Huber: Erstmal stellt sich die Frage: Will man jetzt eben nur diese eine Lösung anschauen oder will man die ganze Landschaft, den ganzen Bereich anschauen für den man verantwortlich ist. Dann kann eben versuchen, entweder durch gemeinsame Interviews, was eben gemacht haben eben mit Fachbereichen einfach aufzudecken, was existiert, um einfach ein breites Wissen darüber zu bekommen, was es gibt und welche Risiken auch da sind. Oder eben durch eine Self-Assessment-Initiative, also dass man eben eine Abfrage macht, wo man eben verschiedene Parameter hat, wo man dann halt auch weiß, wie risikohaft und wie innovativ sind eben die Lösungen. Und wenn man eine hat, dann muss man sich halt anschauen: Was ist das Risiko, das von dieser Anwendung ausgeht und wie ist die Qualität? Und je nachdem wie diese zwei Parameter halt zueinander stehen, muss man eben unterschiedliche Sachen tun. Also es gibt eigentlich so drei verschiedene Wege oder drei verschiedene Kategorien, was halt passieren kann: Nämlich einmal die harmlosen Lösungen, da ist das Risiko relativ gering für das Unternehmen, aber die Qualität von der Anwendung ist eigentlich ziemlich gut. Dann muss man halt einfach sagen: Ok, wir wissen halt, dass es existiert und es ist alles in Ordnung. Wenn das Risiko halt sehr hoch ist, also der Prozess kann eben ausfallen, wenn die Schatten-IT nicht da ist oder der Prozess selbst ist eben sehr wichtig, es hat irgendwie auf den Jahresabschluss oder auf Compliance oder so. Wenn das Risiko sehr hoch ist und die Qualität sehr niedrig, also die Technologie ist eben nicht angemessen, es gibt keine Dokumentation, kein Testion, keine Versionierung oder eben eine Abhängigkeit von einer Einzelperson, dann muss man auf jeden Fall schneller handeln oder auch darüber nachdenken, ob man diese Lösung nicht komplett übernimmt und auch nachbaut. Dann gibt’s eben so diese Kategorie dazwischen, also dass man eben sagt, ok, das Risiko ist jetzt nicht so hoch, aber auch nicht super niedrig, Qualität ist eigentlich auch ok und da muss man mittelfristig versuchen eben Verantwortlichkeiten klarer zu definieren und so Basis-Services wie IT und so oder das Betreibung von der Hardware kann halt schon noch in der IT bleiben, aber je nachdem wie spezifisch das System ist, können die anderen Prozesse schon auch im Fachbereich bleiben, um halt so mit einer adaptiven IT-Governance das besser zu regeln.

Götz Müller: Ja, da höre ich auf jeden Fall mit raus, das hatte ich auch in der letzten Episode, wo ich mit einem IT-Leiter gesprochen habe. Ich höre auf jeden Fall raus, du hast das Stichwort Interviews gesagt, dass einfach die zwei Bereiche miteinander reden. Das kann dann von außen gelingen, dass jemand von außen den Anstoß setzt, aber idealerweise, da sehe ich auch so ein bisschen die IT in der Pflicht, dass sie auf ihre Fachbereiche zugeht und sagt: Was braucht ihr denn? Wie können wir euch denn helfen?

Melanie Huber: Das ist auf jeden Fall ein Punkt. Also was wir halt festgestellt haben, die Fachbereiche sind sehr offen, die reden da auch gerne darüber, was sie haben. Also es ist nicht so, gibt es natürlich schon auch, aber der Großteil war sehr offen und hat gerne darüber geredet und sie haben sich auch gefreut, dass mal jemand auch zuhört quasi und jemand sich auch dafür interessiert und teilweise möchten sich es ja auch gar nicht betreiben und wären auch froh, wenn jemand da wäre, der eben ihnen bisschen hilft, auch vorher schon, bei der Technologie-Wahl oder halt währenddessen, wenn halt Probleme auftauchen.

Götz Müller: Gut. Fand ich spannend, der Appell, habe ich gerade schon gesagt, ich denke, miteinander reden ist ein ganz wichtiger Punkt, hat sich auch wieder gezeigt. Melanie, ich danke dir für deine Zeit.

Melanie Huber: Gerne.

Götz Müller: Ich werde dann in den Notizen, ja ich denke, ich werde dein XING-Profil mit reinnehmen. Habt ihr irgendwie vom Institut noch eine Seite, die werde ich dann mit reinnehmen.

Melanie Huber: Ja, haben wir auch.

Götz Müller: Prima, also ich danke dir.

Melanie Huber: Danke dir.

Götz Müller: Das war die heutige Episode im Gespräch mit Melanie Huber zum Thema Schatten-IT. Notizen und Links zur Episode finden Sie auf meiner Website unter dem Stichwort 092.

Wenn Ihnen die Folge gefallen hat, freue ich mich über Ihre Bewertung bei iTunes.

Ich bin Götz Müller und das war Kaizen to go. Vielen Dank fürs Zuhören und Ihr Interesse. Ich wünsche Ihnen eine gute Zeit bis zur nächsten Episode. Und denken Sie immer daran, bei allem was Sie tun oder zu lassen, das Leben ist viel zu kurz, um es mit Verschwendung zu verbringen.

Hinweis: Ich behalte mir vor, Kommentare zu löschen, die beleidigend sind oder nicht zum Thema gehören.