TechnikSchatten-IT

Public-Cloud-Services fordern IT zum Loslassen auf

Lesezeit ca.: 5 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Immer mehr Fachabteilungen beschaffen sich Anwendungen in der Cloud. Dieses eigenmächtige Handeln birgt zum einen Sicherheitsrisiken und verwässert die IT-Budgets. Zum anderen bedeutet das für IT-Abteilungen Kontrollverlust. Welche Lösungsmöglichkeiten gibt es?

05. Oktober 2015

Die Nutzung von Cloud-Services steigt – insbesondere von privaten Cloud-Diensten wie Dropbox, Prezi, Doodle oder Evernote. Aber auch Marketing- und Vertriebs-Tools sowie ERP- oder CRM-Software, etwa Workday oder Salesforce, gelangen via Fachabteilung ins Unternehmen. „Na und?“, sagt der Laie. „Das geht so schön einfach: drei Klicks im Web und: meins.“ Für viele IT-Abteilungen ist das allerdings die Herausforderung Nummer eins.

Durch Cloud Computing, speziell Public Cloud, entsteht in Unternehmen eine so genannte Schatten-IT, wie Mark Alexander Schulte, Consultant beim Marktforschungsunternehmen IDC, erklärt. Kurz: „Fachabteilungen versorgen sich im Alleingang mit Cloud-Services, ohne dass diese Applikationen durch die Unternehmens-IT professionell gemanagt werden.“ Das Analystenhaus hat im vorvergangenen Jahr 260 IT-Fach- und Führungskräfte aus Unternehmen in Deutschland mit mindestens 100 Mitarbeitern befragt. Die Ergebnisse: 32 Prozent der Fachabteilungen setzen Public-Cloud-Services teilweise und 12 Prozent sogar sehr umfangreich ein, ohne die IT-Abteilungen einzubeziehen. Tendenz steigend.

„Fast die Hälfte der Befragten (46%) befürchtet, dass durch den Einsatz von Cloud-Services die IT-Umgebung wesentlich komplexer wird und damit auch das IT-Service-Management“, sagt Schulte. Zudem bildeten sich erneut „IT-Inseln“, die wiederum verhinderten, Geschäftsprozesse über Unternehmensbereiche hinweg zu automatisieren.

Jäger der Schatten-IT

Christopher Rentrop ist Professor an der Hochschule Konstanz und dem Phänomen Schatten-IT seit Jahren auf der Spur – schon lange vor der Cloud-Ära. Er und sein Team helfen Unternehmen, Schattenapplikationen auf die Schliche zu kommen. Schatten-IT, da ist Rentrop streng, sind „alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT-Service-Management (ITSM) betrieben werden“. Ohne Service-Level-Agreements (SLAs), Datensicherung, Patch-Management, User-Support, Helpdesk etc.

Für IT-Service-, Risiko- oder Compliance-Management können durch Schattensysteme gravierende Probleme entstehen. Falsche oder keine Standards, lückenhafte Datensicherheit, fehlende Tests und unzureichende Dokumentationen vergrößern jene Risiken, die eigentlich durch eine standardisierte IT und professionelles Service-Management eingedämmt werden sollen.

Licht ins Dunkel bringen, ist heikel

Und die Kosten? „Sie sind zwar schwer zu erfassen“, sagt Rentrop. Aber bei seinen Nachforschungen in den IT-Landschaften von Unternehmen im Rahmen des Forschungsprojekts „Schatten-IT“ ist er auf Tools gestoßen, deren Nebenkosten sich auf 90.000 Euro belaufen – pro Tool, pro Jahr. „Zwischen zehn und 50 Prozent einer normalen Systemlandschaft sind Schatten-IT“, so seine Erkenntnisse. „Bei unseren Untersuchungen von rund 30 Firmen sind wir auf insgesamt an die 300 Instanzen gestoßen, die ohne Kenntnis der IT betrieben werden“, zitiert Rentrop den Projektbericht. Instanzen sind für ihn einzelne Excel- oder Word-Dateien bis hin zu ausgewachsenen Anwendungen, auf die mehrere User Zugriff haben.

Licht ins Dunkel zu bringen, ist allerdings ein heikles Unterfangen, wie Hendrik Lührs, Senior Business Consultant des Beratungshauses „direkt gruppe“, erläutert. „Welche IT-Abteilung lässt sich schon gerne in die Karten gucken und gesteht ein: ‚Ja, wir haben ein paar blinde Flecken und damit vielleicht auch ein Problem’?" Um sich selbst ein Bild vom Ausmaß der eigenen Schatten-IT zu machen, könne man auf einen simplen Trick zurückgreifen. „Vergleichen Sie die Budgets, welche die IT direkt verwaltet, mit den Zahlen für IT-Ausgaben, die im Einkauf auflaufen – iPads, Smartphones, Drucker, Belege für monatliche Mieten etwa für Speicher oder Projektmanagement-Tools.“ Das Delta könne ein Indikator für Schatten-IT sein.

Vogel-Strauß-Mentalität ist nicht angesagt

Besondere Herausforderungen würden an die Integration von Cloud-Services (Private/Public) in herkömmliche IT-Umgebungen gestellt sowie an das Monitoring der Service-Level-Agreements (SLAs) in gemischten IT-Umgebungen, die aus Private- und Public-Cloud-Systemen bestehen. „Die Anforderungen an heutige ITSM-Werkzeuge im Hinblick auf die Einhaltung der Compliance und der transparenten Darstellung von SLAs in gemischten IT-Umgebungen sind stark gestiegen“, führt Schulte aus.

Ob 10, 25 oder 50 Prozent der Anwendungen und Infrastruktur Schatten-IT sind, ob Excel-Datei oder Web-Kalender: „Es nützt nichts wegzuschauen. Vogel-Strauß-Mentalität aus Sicht der IT ist nicht angesagt“, führt Professor Rentrop aus. Die IT müsse akzeptieren, dass der Bedarf da ist. Sie sollten die Systeme kennen und deren Weiterentwicklung im Blick haben. Schließlich hätte nur eine der 300 von ihm untersuchten Schattenanwendungen keinen betrieblichen Mehrwert gebracht. „Also aus Spaß machen die Fachbereiche das nicht – es ist schlicht Notwehr, sich Schattensysteme zuzulegen, weil viele IT-Organisationen zu langsam sind“. Sie könnten die Bedürfnisse der Nutzer nach schlanken und passgenauen Lösungen häufig nicht erfüllen.

Abschalten ist auch keine Lösung

„Systeme aus der Cloud grundsätzlich abzuschalten, ist auf jeden Fall kontraindiziert“, erklärt direkt gruppe-Manager Lührs. Die IT könne von Cloud-Anbietern vielmehr profitieren, ihr eigenes Image verbessern und sich als Berater auf Augenhöhe positionieren. „Dazu muss sie von den Vorzügen lernen, die Cloud-Software heute bietet.“ Simple, intuitive Bedienung, einfache Konfiguration und sofortige Verfügbarkeit, um einige zu nennen. Die IT solle zum Beispiel selbst eine den Anwenderbedürfnissen entsprechende unternehmensweite Filesharing- und Collaboration-Lösung auf die Beine stellen, regt er an. Dann habe sich das Thema Dropbox oder Projektmanagement-Tool aus der Cloud schnell erledigt, ist sich Lührs sicher. Wichtig sei aus seiner Sicht weiterhin, dass insgesamt das IT-Service-Management agil entwickelt und betrieben werde. Dies sei eine Herausforderung für die traditionelle IT, jedoch unumgänglich.

Kontrolliert loslassen

Die IT müsse lernen, dass sie nicht mehr alles selber managen muss, und dem Fachbereich vermitteln, dass man ihnen nichts wegnehmen wolle, lautet der Rat von Schattenjäger Rentrop. Dann klappt es auch mit der Zusammenarbeit. Aber in einem Punkt lässt er nicht locker: „Selbst wenn die Fachabteilung eigene Systeme betreibt, die Inventur in der Konfigurationsdatenbank und im Serviceportfolio muss vollständig und aktuell sein.“ Die Devise: Loslassen, aber bitte kontrolliert – damit aus den Schatten kein Tal der Finsternis wird.