Fachbereichs-IT, Schatten-IT, Business-managed IT. All diese Begriffe beschreiben IT, die neben den eigentlichen, regulären IT-Systemen oder -Prozessen in Unternehmen existieren und von Mitarbeiterinnen und Mitarbeitern der Fachbereiche genutzt werden. Im Fall von „Schatten-IT“ handelt es sich um IT-Systeme und -Prozesse (IT-Instanzen), die sich ohne Kenntnis der IT-Verantwortlichen etabliert haben; im Fall von „Business-managed IT“ entstehen die IT-Systeme und -Prozesse in Kenntnis der bzw. in Abstimmung mit den IT-Verantwortlichen im Unternehmen. „Fachbereichs-IT“ subsumiert Schatten-IT und Business-managed IT. Welche Ursachen führen zu solchen IT-Instanzen, welche Potenziale und Risiken haben diese IT-Instanzen und wie lassen sie sich steuern?
Fachbereichs-IT kommt in Unternehmen häufig und in vielfältigen Ausprägungen vor. Marktforscher prognostizieren, dass Fachbereiche bis zu 40 % der IT-Investitionen in Unternehmen ohne Beteiligung der IT-Organisation, d. h. der IT-Abteilung(en) im Unternehmen, tätigen [1, 2]. Darüber hinaus nutzen mehr als 70 % der Endanwender in Unternehmen Software, die nicht von der IT-Organisation freigegeben ist [3]. In einer unserer Studien haben 22 von 29 CIOs und Senior IT-Manager in ihren Unternehmen Fälle von Fachbereichs-IT bestätigt [4]. Dabei können die Ausprägungen von Fachbereichs-IT sehr vielfältig sein; beispielsweise haben Teilnehmer unserer Studien die folgenden Fachbereichs-IT-Instanzen beschrieben: (1) eine Self-Service-Integrationsplattform, die es den Fachbereichen und Anwendern ermöglicht, ihre eigenen Anwendungen zu integrieren und kontrollierten Zugriff auf Daten anderer Systeme zu haben, (2) ein Auftragsmanagementsystem mit mehreren Hundert Benutzern, das von einer Arbeitsgruppe des Fachbereichs (weiter)entwickelt wird, (3) die eigenständige Entwicklung des Web-Shop-Systems durch die E‑Commerce-Abteilung, welches heute mehr als 90 % des Auftragsvolumens verarbeitet (2,7 Mrd. € und bis zu zehn Aufträge pro Sekunde) und (4) ein Eventmanagementsystem, welches die Marketingabteilung selbstständig beschafft hat und betreibt, um die Teilnehmerdaten während einer Messe zu verwalten und diese in das Customer-Relationship-Management-System des Unternehmens zu übertragen [5].
Anzeige
Die „Offenheit“ von IT-Instanzen ist die entscheidende Abgrenzung von Schatten-IT und Business-managed IT
IT-Instanzen (Hardware, Software und IT-Services) in Unternehmen können anhand von zwei Dimensionen unterschieden werden: (1) die Beteiligung am organisationalen IT-Management (offen oder verdeckt) und (2) die Aufgabenverantwortung für IT-Instanzen (überwiegend im Fachbereich oder überwiegend in der IT-Organisation). Entlang dieser zwei Dimensionen können IT-Instanzen in drei Arten eingeordnet werden [5]:
Schatten-IT beschreibt IT-Instanzen, die verdeckt sind und für welche die Aufgabenverantwortung in den Fachbereichen liegt. Es handelt sich dabei also um IT-Instanzen, die von Fachbereichen ohne Kenntnis der IT-Organisation erstellt, beschafft und betrieben/verwaltet werden. Schatten-IT kann beispielsweise die Nutzung von Anwendungen wie WhatsApp oder Dropbox zur Kollaboration und zum Datenaustausch beinhalten, wenn dies verdeckt geschieht.
Business-managed IT beschreibt IT-Instanzen, die offen und in das organisationale IT-Management eingebunden sind und für die der Fachbereich überwiegend die IT-Aufgabenverantwortung übernimmt. Das heißt, Business-managed IT umfasst IT-Instanzen, die von Fachbereichen in Abstimmung mit der IT-Organisation oder in einem geteilten Verantwortungsmodell erstellt, beschafft und betrieben/verwaltet werden. Ein Beispiel für Business-managed IT ist ein vom Fachbereich entwickelter und betriebener Onlineshop in Abstimmung mit der IT-Organisation.
IT-verwaltete Systeme beschreiben IT-Instanzen, die innerhalb des organisatorischen IT-Managements gesteuert werden und für die ein hohes Maß an Aufgabenverantwortung in der IT-Organisation liegt. Entsprechend umfassen IT-verwaltete Systeme die traditionelle IT-Landschaft von Unternehmen, wie beispielsweise das zentrale Enterprise-Resource-Planning(ERP)-System.
Kernthese 1
Eine Unterscheidung zwischen offener Business-managed IT und verdeckter Schatten-IT ist nötig.
Abb. 1 zeigt diese Unterscheidung von IT-Instanzen in Unternehmen. Folglich stellt die Transparenz über eine IT-Instanz, die von einem Fachbereich verwaltet wird, ein Unterscheidungsmerkmal dar: Bekannte, offene Fachbereichs-IT ist Business-managed IT; verdeckte Fachbereichs-IT ist Schatten-IT. Schatten-IT, die IT-Mitarbeiter für ihren eigenen Bedarf selbst nutzen, z. B. Entwicklertools, lassen wir im Folgenden außer Acht.
Abb. 1
Konzeptualisierung der IT-Instanzen in Unternehmen. (Quelle: Eigene Darstellung, angelehnt an [5])
×
Schatten-IT und Business-managed IT können entlang von Ursachen, Potenzialen, Risiken und Steuerung bewertet werden
Für ein differenzierteres Verständnis von Schatten-IT und Business-managed IT betrachten wir deren Ursachen, Potenziale, Risiken sowie mögliche Steuerungsmechanismen. Tab. 1 fasst die Hauptursachen, -potenziale, -risiken und mögliche Steuerungsmechanismen von Fachbereichs-IT zusammen, die nachfolgenden Absätze beschreiben sie detaillierter.
Tab. 1
Hauptursachen, Potenziale, Risiken und mögliche Steuerungsmechanismen für Fachbereichs-IT. (Quelle: Eigene Darstellung)
Ursachen
IT-Organisation zu langsam oder unflexibel
IT-Organisation und Fachbereiche nicht ausgerichtet
Fehlende Restriktionen bzw. Regeln
Potenziale
Höhere Agilität/Flexibilität und Geschwindigkeit
Produktivitätsgewinn
Innovationszunahme
Risiken
Sicherheitsrisiken und fehlender Datenschutz
Synergieverlust und Ineffizienzen
Mangelhafte Integration, Dateninkonsistenzen
Steuerung
Aufstellung von Richtlinien
Adressierung von Mängeln, insbesondere
– Systemmodernisierung (zum Beispiel Cloud)
– Erhöhung der Agilität und Geschwindigkeit
– Verbesserung der Ausrichtung zwischen IT-Organisation und Fachbereichen
Co-Governance von IT-Instanzen durch IT-Organisation und Fachbereiche, insbesondere
– Unterstützung der Implementierung, Bereitstellung der Plattform/Infrastruktur und Risikomanagement durch IT-Organisation
– Implementierung der IT-Instanz durch Fachbereich
Anzeige
Die IT-Organisation und die Bedürfnisse der Fachbereiche sind nicht ausgerichtet
Viele der befragten Unternehmen haben eine große Kluft zwischen der IT-Organisation und der Fachseite beschrieben. Die IT-Organisation benötigt oft sehr viel Zeit, um Anfragen abzuarbeiten und Lösungen zu erstellen, die letztendlich eventuell doch nicht den Bedürfnissen der Fachbereiche entsprechen. Auf der anderen Seite sind die Fachbereiche mit einem dynamischen Marktumfeld konfrontiert und stellen zunehmend sogenannte Digital Natives als Mitarbeiter ein, welche hohe Erwartungen an die bereitgestellte IT-Unterstützung haben. Gleichzeitig werden IT bzw. IT-Lösungen für Fachbereiche einfacher zugänglich. Demzufolge kann die langsam und wenig agil erscheinende IT-Organisation die Anforderungen der Fachbereiche nicht mehr adäquat erfüllen. Weiterhin gibt es oft wenig Restriktionen für Fachbereichs-IT, IT, oder Restriktionen sind den Mitarbeitern in Unternehmen nicht bewusst [4, 6]. Die Nichtausrichtung der IT-Organisation an den Bedürfnissen der Fachbereiche ist eine Hauptursache für das Entstehen von Fachbereichs-IT. Denn die Fachbereiche fangen für die Erfüllung ihrer IT-Bedürfnisse an, die IT-Organisation zu vermeiden. In der Folge beginnen Fachbereiche selbst, IT-Instanzen in Form von Schatten-IT und Business-managed IT zu erstellen, zu beschaffen und zu betreiben/verwalten.
Fachbereichs-IT kann höhere Agilität und Flexibilität bieten
Schatten-IT und Business-managed IT bieten durchaus Potenziale in Form von erhöhter Agilität, vergrößerter Flexibilität und höherer Produktivität. Die hohe Umsetzungsgeschwindigkeit ist das mit Abstand größte Potenzial von Schatten-IT und Business-managed IT, das von den Teilnehmern unserer Studien genannt wurde. Die Teilnehmer haben beispielsweise Fälle mit sehr agilen, iterativen Prozessen beschrieben. Sie haben den Vorteil betont, Lösungen in Abstimmung mit Kunden und Benutzern zu gestalten, was einen effizienten Austausch von Anforderungen und Designs ermöglicht und formalistische Prozesse vermeidet. Diese agilen, iterativen Prozesse ermöglichen zudem mehr Flexibilität bei der Suche nach neuen Lösungen [4]. Die Literatur nennt als weiteres Potenzial von Schatten-IT und Business-managed IT die Förderung von Innovationen [6].
Schatten-IT kann zu Sicherheitsrisiken und mangelndem Datenschutz führen
Die Studienteilnehmer und die akademische Literatur haben zahlreiche Risiken der selbstständigen Erstellung, Beschaffung und Verwaltung von IT-Instanzen durch die Fachbereiche in Form von Schatten-IT und Business-managed IT beschrieben. Insbesondere Sicherheitsrisiken, fehlender Datenschutz, Ineffizienzen und eine fehlende Integration wurden als Risiken angeführt [4, 6]. Dabei sind sich die Teilnehmer unserer Studien und die akademische Literatur weitestgehend einig, dass Sicherheitsrisiken und mangelnder Datenschutz die größten Risiken von Schatten-IT sind. Sicherheitsstandards, Richtlinien und Berechtigungskonzepte werden oft vernachlässigt, wenn Fachbereiche IT-Instanzen ohne Einbeziehung der IT-Organisation implementieren. Weiterhin haben die Studienteilnehmer berichtet, dass Schatten-IT und Business-managed IT zu erhöhten IT-Kosten führen können. Zum Beispiel werden hohe Kosten durch Ineffizienzen, redundante Systeme und schlechte Projektabwicklung mit externen Lieferanten verursacht, die die Unerfahrenheit der Fachbereiche ausnutzen. Typischerweise fehlt auch die Integration von Fachbereichs-IT-Instanzen mit anderen Systemen, denn die IT-Organisation wird erst später hinzugezogen, um entstandene Probleme zu beheben oder Schnittstellen zu schaffen.
Kernthese 2
Schatten-IT ist tendenziell negativ für Unternehmen.
Business-managed IT ist tendenziell vorteilhaft, Schatten-IT ist eher nachteilig
Die beschriebenen Potenziale von Fachbereichs-IT können sowohl für Schatten-IT als auch für Business-managed IT realisiert werden, unabhängig von ihrer Einbindung in das organisatorische IT-Management (verdeckt/offen). Risiken von Business-managed IT können im Vergleich zu Schatten-IT allerdings besser abgemildert werden. Dies liegt an der offenen Einbindung von Business-managed IT-Instanzen in das organisationale IT-Management, durch welche die Instanzen und ihre inhärenten Risiken transparenter sind als verdeckte Schatten-IT. Insbesondere haben wir festgestellt, dass Fachbereichs-IT vorteilhaft ist, wenn sie mit der IT-Organisation abgestimmt – das heißt, als Business-managed IT ausgeprägt wird – und begrenzt auf lokale Anforderungen ist. Dies erlaubt eine Balance zwischen der von den Fachbereichen gewünschten höheren Flexibilität – getrieben durch sich ändernde Anforderungen – und unternehmensübergreifender Standardisierung. Jedoch ist Fachbereichs-IT eher nachteilig, wenn sie nicht abgestimmt – das heißt Schatten-IT ist – und für langfristige Prozesse genutzt wird [7].
Kernthese 3
Business-managed IT ist tendenziell positiv für Unternehmen.
Eine konstruktive Steuerung macht Potenziale nutzbar und managt Risiken von Fachbereichs-IT
Die Abstimmung und die Transparenz über Fachbereichs-IT muss gegeben sein, um negative Auswirkungen von Schatten-IT zu vermeiden und die Potenziale von Business-managed IT zu realisieren. Dafür ist eine Offenheit im Unternehmen für Fachbereichs-IT nötig, denn die beschriebenen Ursachen machen Fachbereichs-IT für die Erfüllung des Tagesgeschäfts notwendig. Das heißt, ein Verbot von Schatten-IT oder diesbezügliche Ignoranz ist nicht zielführend, sondern führt eher zu einer Zunahme von Schatten-IT mit ihren inhärenten Risiken. Stattdessen ist eine konstruktive Diskussion über Fachbereichs-IT im Unternehmen notwendig. Die IT-Organisation und die Fachbereiche sollten das Beste aus beiden Welten nutzen und kombinieren, insbesondere um damit sowohl lokale Agilität als auch globale Standardisierung und damit einhergehende Synergien zu erreichen. So können Fachbereiche und die IT-Organisation von der erhöhten Agilität durch lokale Implementierungen in Fachbereichen profitieren und gleichzeitig damit verbundene Ineffizienzen vermeiden. Dabei können auch Übergänge zwischen den drei Formen gezielt gesteuert werden, sodass Schatten-IT in Business-managed IT überführt werden kann und mit steigenden Anforderungen auch ein Übergang in ein IT-verwaltetes System denkbar ist. IT-verwaltete Systeme hingegen können, z. B. im Kontext neu entstehender Anforderungen, auch zu Business-managed IT gemacht werden [8].
Co-Governance ist ein möglicher Ansatz zur Steuerung von Business-managed IT
Co-Governance von IT in Unternehmen ist ein vielversprechender Ansatz zur Steuerung von Fachbereichs-IT [9]. Dieser beschreibt die Aufteilung von IT-Aufgaben zwischen der IT-Organisation und den Fachbereichen. So sollte sich die IT-Organisation um Querschnittsfunktionen kümmern, um kontrollierte Bedingungen und Skaleneffekte zu schaffen. Dies beinhaltet beispielsweise die Bereitstellung der Infrastruktur (einschließlich Plattformen, zum Beispiel Low-Code-Plattformen), die Systemintegration (insbesondere mit den Kernsystemen), das Vertrags- und Lieferantenmanagement (zum Beispiel Cloud-Verträge), das Management der Sicherheit (Bereitstellung von Fachwissen und Überprüfung) und die Schaffung von Architekturstandards (Validierung von Systemdesigns) [7, 9, 10]. Fachbereiche können hingegen – im Rahmen von vorgegebenen Standards und Richtlinien – lokale Lösungen aufbauen und in multidisziplinären Teams Business-managed IT entwickeln. Offene Business-managed IT kann die Produkt-IT (IT als Produkt oder Teil von Produkten), kleinere lokale Geschäftssysteme, neue Geschäftsmodelle und Start-ups, Proof-of-Concept-Lösungen und Prototypen sowie Reporting-Lösungen einschließen [7].
Zusammenfassung
Schatten-IT und Business-managed IT (Fachbereichs-IT) entstehen durch ungedeckten IT-Bedarf in Fachbereichen.
IT-Organisationen und Fachbereiche können die positiven Aspekte von Fachbereichs-IT nutzen.
Dafür ist es notwendig, dass Fachbereichs-IT als sogenannte Business-managed IT gestaltet wird. Das heißt, dass sie allen Stakeholdern bekannt ist und insbesondere mit der IT-Organisation abgestimmt wird. Schatten-IT, die verborgen und dadurch nicht steuerbar ist, sollte vermieden werden.
Durch Business-managed IT kann höhere Agilität erzielt werden.
Handlungsempfehlungen
Schatten-IT durch Aufstellung von Richtlinien kontrollieren
Ursachen von Schatten-IT durch eine Verbesserung der IT-Organisation und der existierenden IT-Instanzen adressieren
Business-managed IT und damit einhergehende, höhere Agilität zunutze machen
Richtlinien und Co-Governance-Modelle für den effektiven Einsatz von Business-managed IT implementieren
Fazit: Den Wandel gestalten
Der Bedarf nach schneller und gezielter Erfüllung der IT-Bedürfnisse von Fachbereichen in Unternehmen führt zu einem hohen Anteil von IT-Investitionen ohne Einbeziehung der IT-Organisation [11]. Es entsteht sogenannte Schatten-IT und Business-managed IT. Obwohl Schatten-IT und Business-managed IT zu einer höheren Agilität führen, hat insbesondere Schatten-IT inhärente Risiken. Um sowohl die Potenziale von Fachbereichs-IT nutzbar zu machen und gleichzeitig die Risiken, zum Beispiel Sicherheitsrisiken und mangelnden Datenschutz, zu reduzieren, kann die IT-Organisation folgende Ansätze verfolgen:
Es sollte ein konstruktiver Umgang mit Schatten-IT und Business-managed IT in Unternehmen etabliert werden. Dazu sollten klare Verantwortlichkeiten und Richtlinien festgelegt werden, um Kontrolle über Schatten-IT im Unternehmen zu erlangen.
Gleichzeitig sollte Business-managed IT gefördert werden, um sich die damit verbundene höhere Agilität zunutze zu machen. Richtlinien und Co-Governance-Modelle für den effektiven Einsatz von Business-managed IT können eingesetzt werden, in denen die IT-Organisation Querschnittsfunktionen übernimmt, um globale Standards sicherzustellen.
Durch eine Verbesserung der Ausrichtung der IT-Organisation mit den Fachbereichen können die Ursachen von Schatten-IT adressiert und somit die Nutzung von Schatten-IT reduziert werden.
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
WI – WIRTSCHAFTSINFORMATIK – ist das Kommunikations-, Präsentations- und Diskussionsforum für alle Wirtschaftsinformatiker im deutschsprachigen Raum. Über 30 Herausgeber garantieren das hohe redaktionelle Niveau und den praktischen Nutzen für den Leser.
BISE (Business & Information Systems Engineering) is an international scholarly and double-blind peer-reviewed journal that publishes scientific research on the effective and efficient design and utilization of information systems by individuals, groups, enterprises, and society for the improvement of social welfare.
Texte auf dem Stand der wissenschaftlichen Forschung, für Praktiker verständlich aufbereitet. Diese Idee ist die Basis von „Wirtschaftsinformatik & Management“ kurz WuM. So soll der Wissenstransfer von Universität zu Unternehmen gefördert werden.
