Nur wenn die Verantwortlichen in der IT-Abteilung mit den Kollegen aus den Fachabteilungen offen kommunizieren und aufmerksam zuhören lassen sich die Risiken der Schatten-IT reduzieren.

Schatten-IT sind alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT-Service-Management (ITSM) betrieben werden, also beispielsweise ohne Service-Level-Agreements (SLAs), Datensicherung, Patch-Management, User-Support und Helpdesk.

Die AXSOS AG bietet seinen Kunden, die vornehmlich aus dem Mittelstand kommen, in Partnerschaft mit dem Institut für Prozesssteuerung (kips) für angewandte Wissenschaften der Hochschule Konstanz, eine vollständige Schatten-IT-Analyse aller relevanten Bereiche an. Auf Basis der Ergebnisse werden dann entsprechende Maßnahmen zur Reduzierung der Risiken und zur weiteren Gestaltung des Business-IT-Alignments empfohlen.

Prof. Dr. Rentrop ist sehr an einer Kooperation mit Unternehmen gelegen und arbeitet daher eng mit dem IT-Dienstleister aus Stuttgart zusammen, der eine langjährige Expertise in Sachen Sicherheit, IT-Governance und IT-Compliance aufweisen kann.

Frank Müller, der Vorstand der AXSOS AG und Prof. Dr. Christopher Rentrop trafen sich vor kurzem zu einem Gespräch in der Unternehmenszentrale des Stuttgarter IT-Dienstleisters.

Herr Prof. Rentrop, der Begriff Schatten-IT ist vor 10 Jahren entstanden. Wie kann man dieses Phänomen genau definieren?

Prof. Dr. Rentrop: Der Begriff ist schon 20 Jahre alt. Ich habe damals in der Industrie auch sehr viel Schatten-IT entwickelt und eingeführt. Es kann sich hierbei um die klassische Excel-Tabelle handeln oder genutzte Cloud-Dienste. Manchmal ist es auch ein kleiner Server unterm Schreibtisch. Es sind Prozesse, die von Einzelpersonen entwickelt wurden, weder getestet, noch von der IT gelenkt werden. Schatten-IT ist in den Fachbereichen angesiedelt, meistens überhaupt nicht oder unzureichend dokumentiert. Es fehlt jegliche Transparenz.

Jetzt haben Sie den Begriff klar umrissen: Interne Systeme, Excel-Tabellen, Datenbanken und versteckte Server. Aber wie gehen Sie dann eigentlich bei der Aufspürung vor?

Prof. Dr. Rentrop: Schwierig! Bei Netzwerk-Scans können Schatten-Tools identifiziert werden, aber es ist nicht erkennbar an welcher Stelle im Prozess diese eingesetzt werden. Diese Lücke schließt man nur im wirklichen Dialog mit Mitarbeitern. Fachbereich und IT müssen sich an einen Tisch setzen und klar definieren was existiert, warum wird es benötigt und wozu wird es verwendet. Abschließend kommt man dann zu einer Risikobeurteilung.

AXSOS steht für anwenderorientierte IT, im Zusammenhang mit dem Thema Schatten-IT fast ein Appell an IT-Verantwortliche, oder?

Frank Müller: Ja, kann man so verstehen. Die IT-Verantwortlichen sollten ihren Service nicht mit Tunnelblick als eine reine IT-Aufgabe ansehen, sondern anfangen zuzuhören und sich den Bedürfnissen der Fachabteilungen und Anwender zu widmen. Menschen möchten ernstgenommen werden und nicht das Gefühl vermittelt bekommen, dass sie keine Ahnung haben. Wir sprechen das gezielt bei unseren Beratungsgesprächen an.

Prof. Dr. Rentrop: Das halte ich für einen außerordentlich wichtigen Punkt. IT beinhaltet schließlich auch das Wort Information und dies geht nur durch Kommunikation! Services müssen ganzheitlich unter Berücksichtigung der technischen aber vor allem unter anwendernahen Aspekten betrachtet werden.

Frank Müller: Genau hier setzt AXSOS an, wir verstehen es auch als unsere Aufgabe den Dialog in Firmen, das heißt, zwischen den Abteilungen anzuregen. Denn um den Bedarf des anderen kennenzulernen, muss man miteinander reden und gut zuhören können. In der Branche gibt es ohnehin einen Wandel, weg vom EDVler der alten Tage hin zum IT-Manager und Manager müssen kommunizieren.

Es heißt aber auch man müsste am Bewusstsein der Geschäftsleitung arbeiten?

Frank Müller: Ja, AXSOS adressiert das Thema daher vor allem auch bei den »Business Decision Maker«, bei Vorständen und Geschäftsführern, denn Schatten-IT bedingt kurz- oder mittelfristig hohe Sicherheits-, Governance und Compliance-Risiken. Auch der Einfluss auf Geschäftsprozesse und Geschäftsentwicklung kann verloren gehen. Insgesamt leidet darunter auch die Gesamtperformance des Unternehmens.

Wie kann man die Schatten-IT eindämmen und welche Lösungsmöglichkeiten sehen Sie kurz-, mittel- und langfristig?

Prof. Dr. Rentrop: Eindämmen ist das falsche Wort. Wir wollen den Fachbereichen ja nicht vorschreiben, welche Systeme sie nutzen. Kurzfristig geht es doch vornehmlich darum Licht ins Dunkle zu bringen. Mittelfristig sollten Systeme sinnvoll, planvoll und risiko-orientiert genutzt werden. Gelenkte Prozesse müssen eingeführt werden. Langfristig werden Steuerungsprozesse und Monitoring-Systeme entwickelt.

Frank Müller: Man darf aber auch hierbei nicht die Datensicherheitsanforderungen außer Acht lassen.

Meine Herren, vielen Dank für dieses Gespräch.

 

AXSOS: Doppelstrategie gegen Schatten-IT

Aufgrund der Partnerschaft mit dem Sicherheitsanbieter Skyhigh Networks bietet AXSOS eine Fahndungs-Software, die alle Cloud-Anwendungen in einer Firma aufspüren und scannen kann, an. Eine bisher einzigartige Lösung, die in der Lage ist den gesamten Lebenszyklus eines Cloud-Services abzubilden – von der Entdeckung über die Analyse bis zur Datensicherheit des Services.

Mit dem Konstanzer Institut für Prozesssteuerung (kips) geht AXSOS dazu noch den direkteren Weg durch Interviews mit Mitarbeitern, um herauszufinden, was abseits der offiziellen IT passiert. In einer Studie wird ein Bereich des jeweiligen Unternehmens untersucht. Dabei lernen die Firmen die Schatten-IT-Methodik selbst im Einsatz kennen und erfahren gleichzeitig mehr über die spezifischen Risiken und die Möglichkeiten die Methode im eignen Unternehmen weiter selbst zu nutzen.

 

---

 

WebCast-Einladung: 10.03.2016 um 10:00 Uhr

Ein Wissenschaftler und ein Sicherheitsprofi zum Thema
„Schatten-IT – Kostenfaktor, Risiko oder Innovationstreiber?“

Anmeldung hier: https://www.worldbit.de/axsos-kips-webinar-anmeldung/

 

---

 

 

Titelbild: © ig0rzh/shutterstock.com