IT-Services Längst ist das Thema auch in mittelständischen Betrieben kein Mysterium mehr. Und doch erfährt es gerade in letzter Zeit eine nicht zu unterschätzende Renaissance, hervorgerufen allein schon durch die rasanten Entwicklungen auf dem Feld der elektronischen ‚Utensilien‘. Ob IT-Services aus dem Netz oder Mobile – häufig fackeln Mitarbeiter nicht lange und nutzen benötigte Software und Privatgeräte auf eigene Faust, einfach, weil es schneller geht als eine Anfrage über den normalen Dienstweg. Doch hinter dem unkontrollierten IT-Wildwuchs verbergen sich hohe Risiken, vor allem was das innerbetriebliche Sicherheitsmanagement angeht – ein Problem, dem sich jeder verantwortungsbewusste Administrator von Zeit zu Zeit stellen sollte, bietet sich hier doch gleichermaßen eine Chance, das hauseigene System wie auch die Anwenderbedürfnisse einmal mehr auf den Prüfstand zu stellen und eine zukunftsorientierte Ausrichtung zu erzielen.
Von Kerstin Albrecht-Aigner
Unternehmensinterne Mails auf die Privatadresse weiterleiten, wichtige Dokumente auf das eigene Tablet herunterladen, um sie dort mobiler und damit ungebundener zu lesen, oder kurz mal für unterwegs oder das Homeoffice sensible Daten in die Cloud legen – Hand aufs Herz – wer hat sich nicht schon dieser digitalen Möglichkeiten bedient? – Und sich damit im Prinzip bereits auf den Weg in die ‚Schattenwelt‘ begeben. Tatsächlich forciert auch die mittlerweile recht populär gewordene Technologie im Zeichen der Wolke das Problem mit der inoffiziellen IT: Mehreren Umfragen unter deutschen Mittelständlern zufolge verwenden Fachbereiche in stark zunehmenden Maße kostenlose Cloud-Services beispielsweise für die Bürokommunikation, das Projektmanagement, für Datenbanken oder die Kollaboration – und das, ohne die betriebseigene IT-Abteilung einzubinden.
Digitale Heinzelmännchen in geheimer Mission
Doch warum eigentlich? – Wird sich hier so mancher fragen. Was sind die Gründe dafür, was treibt Mitarbeiter und Kollegen an, die Fachabteilung und damit ausgewiesene Experten in Sachen IT zu umgehen, um vorhandenen Bedarf zu decken? Wer schon einmal selbst versucht hat, auf vorschriftsmäßigem Weg an ein benötigtes Produkt zu gelangen – sei es Hardware oder Software – der wird hier wissen warum. Denn – und das belegen aktuelle Studien – im Beschaffungsprozess mahlen Betriebsmühlen nach wie vor ziemlich langsam: Bedarfsermittlung, Bestandskontrolle, Budgetfreigabe, Lieferantenauswahl, Bestellung, ... – die nacheinander abzuarbeitenden Punkte in der operativen Abwicklung sind derer einfach zu viele. Verständlich, dass der eine oder andere hier selbst die Initiative ergreift, häufig unternehmerische Ziele vor Augen, um ein Defizit auf zwar unkonventionellem, aber doch schnellerem Wege auszugleichen.
Mangel beseitigt, Problem gelöst? – Das mag in einigen Fällen vielleicht zutreffen. Doch vielen wird wohl nicht bewusst sein, dass man hier dann im wahrsten Sinne des Wortes ohne Netz und doppeltem Boden unterwegs ist. Denn die inoffizielle hinter der offiziellen IT birgt so manches hohe Risiko: Was ist mit Lizenzrechten, wenn eine private Software plötzlich im unternehmerischen Umfeld genutzt wird? Wer haftet für Schäden, wenn ein Mitarbeiter sein privates Smartphone mit unverschlüsselten Daten verliert, und wer, wenn durch ungesicherte private Geräte Cyberattacken erfolgreich sind? So sind diese durch Schatten-IT entstehende heterogenen Systeme, gerade was ihre Sicherheit angeht, nicht mehr kontrollierbar und gefährden die gesamte Unternehmens-IT.
Vom Spiel mit offenen Karten
Mehren sich Indizien für Schatten-IT im eigenen Unternehmen und will man sie verhindern, heißt es also handeln. So gibt es denn einige Stellschrauben, an denen hier gedreht werden kann:
1. Vertrauen ist gut, Kontrolle ist besser
Tatsächlich bieten sich inzwischen Möglichkeiten, um auch auf technischer Ebene zu prüfen, ob Mitarbeiter nicht offiziell genehmigte IT-Services in Anspruch nehmen. Sie haben zwar ihre Grenzen, sind aber doch ein erster Schritt, um gegen einige Schatten anzugehen. Etwa die Auswertung von Firewall Logfiles und Reports oder der Vergleich der Budgets von IT und Einkauf zählen dazu. Will man insbesondere Cloud-Dienste unter Kontrolle halten, kommt Software in Frage, die es erlaubt, Regeln zu definieren, nach denen Mitarbeiter nur Anwendungen einsetzen können, die die IT-Abteilung zuvor freigegeben hat.
2. Sensibilisieren und schulen
Holzhammer-Methoden allein sind allerdings nie ganz so zielführend, da sie die eigentlichen Ursachen nicht in Angriff nehmen. Appellieren Sie daher lieber zunächst einmal auch an die Vernunft und Einsicht Ihres Gegenübers. Vermitteln Sie Wissen über die Gefahren und klären Sie darüber auf, welche Vorteile die kontrolliert-standardisierte IT gegenüber ‚geheimen’ Lösungen hat.
3. Motive suchen und finden
Und dann geht‘s ans Eingemachte: Überzeugen Sie durch Offenheit, zeigen Sie sich kritikfähig und dialogbereit und forschen Sie gemeinsam mit Ihrem Gegenüber nach dessen Beweggründen – denn grundlos begibt sich keiner in die Schattenwelt: Müssen oft große Dateien verschickt werden? Fehlt es an Anwenderwissen oder an wichtigen Software-Funktionen? Gehen Sie auf Motivsuche – und vor allem, kehren Sie dann Bedürfnisse nicht einfach unter den Teppich, sondern lassen Sie Taten folgen!
4. Mit Alternativen und Service punkten
Denn wenn Sie wissen, was den Mitarbeitern fehlt oder was sie sich wünschen, ist das schon die halbe Miete. Sie nehmen der Schatten-IT endgültig den Wind aus den Segeln, wenn Sie die gewünschten Tools offiziell und in abgesicherter Form zur Verfügung stellen – oder eben eine entsprechende Alternative anbieten. Und zwar zeitnah und nicht erst übermorgen. Punkten Sie, indem Sie ein Stück weit in die Rolle des IT Beraters schlüpfen, und fungieren Sie als jederzeit verfügbare Anlaufstelle für den IT-Bedarf der Fachabteilungen.
Chancen multiplizieren sich, wenn man sie ergreift
Schatten-IT ist also nicht immer nur Fluch, sondern auch eine Möglichkeit, innerbetriebliche Strukturen und Prozesse erfolgreich weiterzuentwickeln. In ihr zeigen sich nicht nur Bedürfnisse der Mitarbeiter, um im Sinne des Unternehmens effizient und effektiv arbeiten zu können. Gleichermaßen steckt darin ein Ansatzpunkt, die hauseigenen IT-Systeme auf ihre Leistungsfähigkeit und Zielorientierung zu prüfen. Daher unser Tipp: Sollten Sie in Ihrem Betrieb auf Schatten-IT treffen, machen Sie doch aus der Not eine Tugend. Gehen Sie den offensichtlichen Bedarf Ihrer Mitarbeiter nachhaltig an. Stärken Sie die Rolle Ihrer IT als kommunikationsstarken und flexiblen Business-Partner und untermauern Sie so die Produktivität und damit auch die Wettbewerbsfähigkeit Ihres Unternehmens.