Image: Public-Cloud-Services fordern IT zum Loslassen aufFERCHAUFERCHAU
TechnikSchatten-IT

Public-Cloud-Services fordern IT zum Loslassen auf

Lesezeit ca.: 5 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Immer mehr Fachabtei­lungen beschaffen sich Anwendungen in der Cloud. Dieses eigenmäch­tige Handeln birgt zum einen Sicherheits­ri­siken und verwässert die IT-Budgets. Zum anderen bedeutet das für IT-Abteilungen Kontroll­ver­lust. Welche Lösungsmög­lich­keiten gibt es?

05. Oktober 2015

Die Nutzung von Cloud-Services steigt – insbeson­dere von privaten Cloud-Diensten wie Dropbox, Prezi, Doodle oder Evernote. Aber auch Marketing- und Vertriebs-Tools sowie ERP- oder CRM-Software, etwa Workday oder Salesforce, gelangen via Fachabtei­lung ins Unternehmen. „Na und?“, sagt der Laie. „Das geht so schön einfach: drei Klicks im Web und: meins.“ Für viele IT-Abteilungen ist das allerdings die Herausfor­de­rung Nummer eins.

Durch Cloud Computing, speziell Public Cloud, entsteht in Unternehmen eine so genannte Schatten-IT, wie Mark Alexander Schulte, Consultant beim Marktfor­schungs­un­ter­nehmen IDC, erklärt. Kurz: „Fachabtei­lungen versorgen sich im Alleingang mit Cloud-Services, ohne dass diese Applikationen durch die Unterneh­mens-IT professio­nell gemanagt werden.“ Das Analysten­haus hat im vorvergan­genen Jahr 260 IT-Fach- und Führungs­kräfte aus Unternehmen in Deutschland mit mindestens 100 Mitarbei­tern befragt. Die Ergebnisse: 32 Prozent der Fachabtei­lungen setzen Public-Cloud-Services teilweise und 12 Prozent sogar sehr umfangreich ein, ohne die IT-Abteilungen einzubeziehen. Tendenz steigend.

„Fast die Hälfte der Befragten (46%) befürchtet, dass durch den Einsatz von Cloud-Services die IT-Umgebung wesentlich komplexer wird und damit auch das IT-Service-Management“, sagt Schulte. Zudem bildeten sich erneut „IT-Inseln“, die wiederum verhinderten, Geschäfts­pro­zesse über Unterneh­mens­be­reiche hinweg zu automati­sieren.

Jäger der Schatten-IT

Christopher Rentrop ist Professor an der Hochschule Konstanz und dem Phänomen Schatten-IT seit Jahren auf der Spur – schon lange vor der Cloud-Ära. Er und sein Team helfen Unternehmen, Schatten­ap­pli­ka­tionen auf die Schliche zu kommen. Schatten-IT, da ist Rentrop streng, sind „alle Anwendungen, die ohne die IT beschafft und nicht im Rahmen von IT-Service-Management (ITSM) betrieben werden“. Ohne Service-Level-Agreements (SLAs), Datensiche­rung, Patch-Management, User-Support, Helpdesk etc.

Für IT-Service-, Risiko- oder Compliance-Management können durch Schatten­sys­teme gravierende Probleme entstehen. Falsche oder keine Standards, lückenhafte Datensicher­heit, fehlende Tests und unzureichende Dokumenta­tionen vergrößern jene Risiken, die eigentlich durch eine standardi­sierte IT und professio­nelles Service-Management eingedämmt werden sollen.

Licht ins Dunkel bringen, ist heikel

Und die Kosten? „Sie sind zwar schwer zu erfassen“, sagt Rentrop. Aber bei seinen Nachforschungen in den IT-Landschaften von Unternehmen im Rahmen des Forschungs­pro­jekts „Schatten-IT“ ist er auf Tools gestoßen, deren Nebenkosten sich auf 90.000 Euro belaufen – pro Tool, pro Jahr. „Zwischen zehn und 50 Prozent einer normalen Systemland­schaft sind Schatten-IT“, so seine Erkenntnisse. „Bei unseren Untersuchungen von rund 30 Firmen sind wir auf insgesamt an die 300 Instanzen gestoßen, die ohne Kenntnis der IT betrieben werden“, zitiert Rentrop den Projektbe­richt. Instanzen sind für ihn einzelne Excel- oder Word-Dateien bis hin zu ausgewach­senen Anwendungen, auf die mehrere User Zugriff haben.

Licht ins Dunkel zu bringen, ist allerdings ein heikles Unterfangen, wie Hendrik Lührs, Senior Business Consultant des Beratungs­hauses „direkt gruppe“, erläutert. „Welche IT-Abteilung lässt sich schon gerne in die Karten gucken und gesteht ein: ‚Ja, wir haben ein paar blinde Flecken und damit vielleicht auch ein Problem’?" Um sich selbst ein Bild vom Ausmaß der eigenen Schatten-IT zu machen, könne man auf einen simplen Trick zurückgreifen. „Vergleichen Sie die Budgets, welche die IT direkt verwaltet, mit den Zahlen für IT-Ausgaben, die im Einkauf auflaufen – iPads, Smartphones, Drucker, Belege für monatliche Mieten etwa für Speicher oder Projektma­nage­ment-Tools.“ Das Delta könne ein Indikator für Schatten-IT sein.

Vogel-Strauß-Mentalität ist nicht angesagt

Besondere Herausfor­de­rungen würden an die Integration von Cloud-Services (Private/Public) in herkömmliche IT-Umgebungen gestellt sowie an das Monitoring der Service-Level-Agreements (SLAs) in gemischten IT-Umgebungen, die aus Private- und Public-Cloud-Systemen bestehen. „Die Anforderungen an heutige ITSM-Werkzeuge im Hinblick auf die Einhaltung der Compliance und der transparenten Darstellung von SLAs in gemischten IT-Umgebungen sind stark gestiegen“, führt Schulte aus.

Ob 10, 25 oder 50 Prozent der Anwendungen und Infrastruktur Schatten-IT sind, ob Excel-Datei oder Web-Kalender: „Es nützt nichts wegzuschauen. Vogel-Strauß-Mentalität aus Sicht der IT ist nicht angesagt“, führt Professor Rentrop aus. Die IT müsse akzeptieren, dass der Bedarf da ist. Sie sollten die Systeme kennen und deren Weiterent­wick­lung im Blick haben. Schließlich hätte nur eine der 300 von ihm untersuchten Schatten­an­wen­dungen keinen betriebli­chen Mehrwert gebracht. „Also aus Spaß machen die Fachbereiche das nicht – es ist schlicht Notwehr, sich Schatten­sys­teme zuzulegen, weil viele IT-Organisa­tionen zu langsam sind“. Sie könnten die Bedürfnisse der Nutzer nach schlanken und passgenauen Lösungen häufig nicht erfüllen.

Abschalten ist auch keine Lösung

„Systeme aus der Cloud grundsätz­lich abzuschalten, ist auf jeden Fall kontrain­di­ziert“, erklärt direkt gruppe-Manager Lührs. Die IT könne von Cloud-Anbietern vielmehr profitieren, ihr eigenes Image verbessern und sich als Berater auf Augenhöhe positionieren. „Dazu muss sie von den Vorzügen lernen, die Cloud-Software heute bietet.“ Simple, intuitive Bedienung, einfache Konfigura­tion und sofortige Verfügbar­keit, um einige zu nennen. Die IT solle zum Beispiel selbst eine den Anwender­be­dürf­nissen entsprechende unterneh­mens­weite Filesharing- und Collabora­tion-Lösung auf die Beine stellen, regt er an. Dann habe sich das Thema Dropbox oder Projektma­nage­ment-Tool aus der Cloud schnell erledigt, ist sich Lührs sicher. Wichtig sei aus seiner Sicht weiterhin, dass insgesamt das IT-Service-Management agil entwickelt und betrieben werde. Dies sei eine Herausfor­de­rung für die traditio­nelle IT, jedoch unumgäng­lich.

Kontrolliert loslassen

Die IT müsse lernen, dass sie nicht mehr alles selber managen muss, und dem Fachbereich vermitteln, dass man ihnen nichts wegnehmen wolle, lautet der Rat von Schatten­jäger Rentrop. Dann klappt es auch mit der Zusammen­ar­beit. Aber in einem Punkt lässt er nicht locker: „Selbst wenn die Fachabtei­lung eigene Systeme betreibt, die Inventur in der Konfigura­ti­ons­da­ten­bank und im Serviceport­folio muss vollständig und aktuell sein.“ Die Devise: Loslassen, aber bitte kontrolliert – damit aus den Schatten kein Tal der Finsternis wird.