Bauen und transformieren Sie Technologielandschaften, unterstützen Sie Business-Strategien und rücken Sie die Innovationskraft ins Zentrum Ihrer Betriebsabläufe
Mehr erfahrenDas LeanIX-Partnerprogramm passt sich flexibel Ihrem Geschäftsmodell an, damit keine Marktchance an Ihnen vorbeizieht
Mehr erfahrenNutzen Sie unsere vielfältigen Informationsmaterialien und bilden Sie sich kontinuierlich weiter
Alle InhalteWas genau ist die Schatten-IT?
In diesem Guide wird auf die Risiken, Kosten und Vorteile eingegangen sowie anhand detaillierter Beispiele beschrieben, wie die Schatten-IT aufgedeckt und verwaltet werden kann.
der SaaS-Landschaft ist den Unternehmen unbekannt und wird nicht zentral verwaltet.
Kompromittierte Unternehmensdaten und Sicherheitsinformationen sind die beiden am häufigsten genannten Risiken, denen sich Unternehmen beim Einsatz nicht autorisierter Technologien stellen müssen.
der SaaS-Ausgaben entstehen durch nicht ausreichend oder gänzlich ungenutzte Applikationen, überflüssige Lizenzen oder überteuerte Software.
gehen davon aus, dass die Schatten-IT bis zum Jahr 2025 ein noch größeres Problem werden wir, wenn sich Unternehmen dieses Missstandes nicht rechtzeitig annehmen.
aller IT-Experten sind der Meinung, dass ihre Unternehmen von Lösungen zur Verwaltung der Schatten-IT profitieren könnte.
geben an, dass Mitarbeiter produktiver sind, wenn sie die von ihnen bevorzugten Technologien nutzen dürfen.
Mit der Annäherung der Informationstechnologie an den Verbraucher (consumerization) und den stetig steigenden Nutzungsraten Cloud-basierter Services ist die Schatten-IT zu einem wichtigen Thema geworden, mit dem sich Unternehmen früher oder später auseinandersetzen müssen.
Aktuelle Trends zeigen, dass einzelne Mitarbeiter für 50% aller Cloud-Applikationskäufe verantwortlich sind – davon fallen 35% auf einzelne Unternehmensabteilungen und nur 15% auf IT-Teams. Das bedeutet, dass die Mehrheit der Applikationskäufe ohne das Wissen der IT- oder Security-Abteilung von Unternehmen geschieht.
In diesem Guide erfahren Sie, welche Risiken, Kosten, aber auch Vorteile mit der Schatten-IT einhergehen und wie Sie erfolgreich Software ermitteln und verwalten können, die bis dato unentdeckt geblieben ist.
Schatten-IT beschreibt die Beschaffung und Nutzung IT-bezogener Hardware und Software ohne die explizite Genehmigung der IT-Abteilung. Darunter fallen Hardware, Standardsoftware, aber vor allem Cloud-Services (einschließlich Software-as-a-Service und Infrastructure-as-a-Service).
Auch wenn sich das Konzept der „nicht verwalteten Applikationen“ auf viele Zustände beziehen kann, liegt der Fokus bei Unternehmen heutzutage besonders auf der Zunahme von SaaS-Applikationen, die von der IT-Abteilung nicht genehmigt worden sind. Mitarbeiter laden immer häufiger Applikationen oder Services herunter, die ihnen ihren Arbeitsalltag erleichtern.
Dieses relativ neue Phänomen hat natürlich auch Risiken und Herausforderungen im Gepäck, aber auch ungeahnte Möglichkeiten, darunter gesteigerte Produktivität, geringere Bottlenecks, und sofortige Problemlösung. Es stellt eine Lücke zwischen Business und IT her. Damit die geschäftsorientierte IT als Innovations- und Produktivitätstreiber fungieren kann, braucht es einen ausgereiften Managementansatz, der sich auf Effizienz, Produktivität und Sicherheit stützt. Deswegen verdient die Schatten-IT nicht den negativen Ruf, der ihr branchenübergreifend zuteilwird.
Die meisten SaaS-Applikationen, die von einzelnen Mitarbeitern gekauft werden und zur Schatten-IT beitragen, fallen in eine der drei folgenden Kategorien: Produktivität, Kommunikation und Zusammenarbeit. Da ständig neue Anbieter und Applikationen mit unzähligen neuen Features auf den Markt kommen, suchen sich Mitarbeiter die Apps aus, die ihre Bedürfnisse am besten erfüllen und aktualisieren die Software dann, wenn es ihnen gerade passt. Im Folgenden haben wir einige Applikationen zusammengefasst, die als Paradebeispiel für die Schatten-IT angeführt werden können.
Produktivität: Applikationen, die in diese Kategorie fallen, beziehen sich häufig auf die Verbesserung des Projektmanagements wie Trello oder Hive. Mit diesen Applikationen können Mitarbeiter Ausgaben zuweisen und den Überblick über den Projektzeitrahmen und -fortschritt behalten. Andere Produktivitätsapplikationen fokussieren sich eher auf das Social Media Management wie Hootsuite oder helfen Mitarbeitern bei der Qualitätsprüfung von Content wie bspw. Grammarly.
Kommunikation: Durch die steigende Bedeutung von Remote Work sind Kommunikationstools wichtiger denn je. SaaS-Applikationen wie Slack ermöglichen eine einfache Kommunikation und Videokonferenzapplikationen wie Zooom oder Webex helfen remote arbeitenden Teams bei der Durchführung von Videokonferenzen und bieten nützliche Funktionalitäten wie etwa Screen Sharing.
Zusammenarbeit: Da große Dateiformate nicht immer per Mail verschickt werden können, nutzen die meisten Teams File-Sharing-Tools wie Dropbox oder OneDrive, um Dokumente zu teilen und gemeinsam zu bearbeiten. Und natürlich gibt es eine ganze Reihe von SaaS-Tools, die auf die Verbesserung der Zusammenarbeit abzielen – das beste Beispiel ist hier wohl GoogleDocs. Es gibt aber auch zahlreiche Applikationen, die die Workflows optimieren und Diskussionsplattformen sowie Echtzeitbenachrichtigungen bieten.
Typische Hardware, die die Schatten-IT ausmachen, sind bspw. Server, PCs, private Laptops, Tablets, Smartphones oder USB-Sticks.
Es gibt einige Gründe, warum jedes Unternehmen über eine Schatten-IT verfügt. Einer dieser Gründe ist direkt mit dem schnellen Wachstum von Cloud-Services- oder Software-as-a-Service verbunden, auf die alle Mitarbeiter schnell und einfach zugreifen können.
85% aller Cloud-Applikationskäufe werden von Mitarbeitern durchgeführt, die nicht der IT-Abteilung angehören. Zudem wird der Durchschnittsmitarbeiter technisch immer versierter und wartet meist nicht auf die Genehmigung seitens der IT-Abteilung für eine Lösung, mit dem die Mitarbeiter effizienter und produktiver arbeiten können.
Außerdem fehlt es den meisten Unternehmen an Entwicklern. Das bedeutet im Umkehrschluss, dass die Teams die Sache selbst in die Hand nehmen, anstatt auf die viel beschäftigten IT-Experten zu warten, die intern eine Lösung für ein Problem entwickeln.
Häufig herrscht auch ein Ungleichgewicht zwischen der Business- und IT-Seite. Viele Applikationen wurden für Entwickler gestaltet und ziehen die Businessaspekte nicht genügend in Betracht, wodurch das Management und ihre Teams nach schnellen Lösungen für ihre Bedürfnisse Ausschau halten.
Seitdem sich das Thema Schatten-IT beinahe auf jeder Unternehmensagenda befindet, steigt auch die Anzahl von Untersuchungen, die ihre Nutzung und Auswirkungen auf Unternehmen auf der ganzen Welt analysieren. Im Folgenden finden Sie fünf aktuelle Statistiken zur Schatten-IT, die Sie vielleicht überraschen werden.
Den Daten zufolge ist die Schatten-IT nur schwer zu kontrollieren und für die meisten Unternehmen noch ein blinder Fleck. Dennoch sollte auch ein Blick auf die positiven Seiten geworfen werden: Die Schatten-IT hat das Potenzial, die Mitarbeiterproduktivität zu steigern und ihnen mehr Freiheiten einzuräumen. Nichtsdestotrotz sollten Sie sich über die spezifischen Risiken informieren, die mit der Schatten-IT verbunden sind.
Wenn man bedenkt, wie viele Mitarbeiter SaaS-Applikationen ohne vorherige IT-Genehmigung beschaffen, ist es nicht verwunderlich, dass mit der Ausbreitung der Schatten-IT auch die damit bezogenen Risiken zunehmen. Wenn die IT-Abteilung und Führungskräfte jedoch um diese Herausforderungen wissen, können sie fundierte Entscheidungen treffen und Probleme direkt beheben.
Im Folgenden sind die fünf größten Risiken aufgelistet, die durch eine unkontrollierte Schatten-IT entstehen:
Sicherheitsprobleme: Da mehr als die Hälfte aller Unternehmen die Schatten-IT in ihren IT-Risikobewertungen nicht berücksichtigen, führt die Schatten-IT zwangsläufig zu neuen Sicherheitslücken in jedem Unternehmen. Während einige Applikationen harmlos sein mögen, könnten andere hingegen zu schwerwiegenden Datenverlusten führen Deswegen sollten die IT-Abteilungen jederzeit wissen, welche File-Sharing-Applikationen genutzt werden.
Verstoß gegen Compliance-Vorgaben: Zum Schutz ihrer Kunden, Klienten und Geschäftspartner unterliegen Unternehmen strengen gesetzlichen Compliance-Richtlinien. Bei Nichteinhaltung dieser Richtlinien können Unternehmen mit hohen Geldstrafen rechnen – etwa, wenn nicht genehmigte Software für die Verarbeitung sensibler Daten genutzt wird oder die IT-Abteilung dahingehend nicht benachrichtigt wird.
Konfigurationsmanagement: IT-Abteilungen investieren viel Zeit in die Gestaltung eines perfekten IT-Workflows und bedienen sich dafür einer Configuration Management Database (CMDB). Die Schatten-IT wird nicht von der CMDB unterstützt, da die richtigen Personen (ergo die IT-Abteilung) nicht um deren Existenz wissen. Dies könnte zu einer Unterbrechung des bestehenden Systemworkflows führen.
Ineffiziente Zusammenarbeit: Wenn Teams auf unterschiedliche Applikationen zurückgreifen, um ihre Arbeit zu erledigen, kann dies die Zusammenarbeit beeinträchtigen. Ein Beispiel: Wenn ein Team Google Drive als File-Sharing-Lösung verwendet und ein anderes Team auf Dropbox zurückgreift, werden Dokumente mehrfach hoch- und heruntergeladen und bearbeitet.
Fehlende Transparenz: Die Schatten-IT macht ihrem Namen wirklich alle Ehre – die IT-Abteilung tappt wortwörtlich im Dunkeln, da sie nicht weiß, wie viele Applikationen ohne ihre vorherige Genehmigung beschafft worden sind. Auch wenn SaaS-Applikationen in der Regel nicht viel Platz benötigen, können sie die Bandbreite beeinträchtigen oder einfach kaputt gehen. Wenn sich ein Team stark auf eine defekte Applikation verlässt, von der die IT-Abteilung jedoch nichts weiß, sind schnelle Problembehebungen nur schwer möglich.
Auch wenn die Schatten-IT viele Risiken und Herausforderungen birgt, bietet sie doch auch zahlreiche Vorteile, von denen Unternehmen profitieren. Einer dieser Vorteile ist etwa die Produktivitätssteigerung. Wenn Mitarbeiter feststellen, dass die derzeitigen Lösungen ihren Bedürfnissen nicht entsprechen, werden sie sich früher oder später nach geeigneteren SaaS-Applikationen umschauen. Auf diese Weise können sie die Tools nutzen, die sie bevorzugen, und gleichzeitig ihre Produktivität verbessern.
Es wird auch häufig darauf hingewiesen, dass die Mitarbeiterzufriedenheit viel wichtiger als die Mitarbeiterproduktivität sei. Schwerfällige Genehmigungsverfahren seitens der IT können zu viel Frustration und einem Motivationstief führen. Wenn die Mitarbeiter jedoch dazu befähigt werden, ihre eigenen Lösungen zu finden, steigt ihre Zufriedenheit und letztendlich auch ihre Arbeitsqualität. Hinzu kommt, dass neue Technologietrends viel schneller angenommen werden, wenn jeder Mitarbeiter ein Auge auf neue Tools hat.
Dennoch sollten Sie jedem Mitarbeiter die Risiken der Schatten-IT nahebringen und die IT-Teams neue Lösungen unvoreingenommen bewerten lassen.
Es ist nicht verwunderlich, dass die bereits beschriebenen IT-Risiken auch eine finanzielle Belastung für Unternehmen darstellen. Es können an unterschiedlichen Stellen Kosten entstehen, wenn die Nachteile der Schatten-IT die Vorteile überwiegen. Aber was ist die Ursache dieser Kosten? Die meisten lassen sich einer der beiden folgenden Kategorien zuordnen:
Sicherheitskosten: Wenn die IT-Abteilungen keinen Überblick mehr über ihre IT-Landschaft haben, können Sicherheitslücken und Ransomware-Angriffe viel häufiger auftreten. Im schlimmsten Fall kosten diese IT-Vorfälle die Unternehmen mehrere Millionen Dollar. In den USA kostet eine Datenschutzverletzung im Schnitt 8,19 Millionen Dollar. Hinzu kommen auch noch die Compliance-Kosten: Unternehmen, die in Branchen mit hohen Sicherheitsauflagen agieren, können besonders hohe Strafen für die Nutzung nicht autorisierter Applikationen erwarten.
Betriebskosten: Die Schatten-IT kann langfristig ausgelegte IT-Strategien behindern und zu höheren Betriebskosten führen. Der Grund dafür sind nicht nur doppelte und überteuerte Lizenzen, sondern auch solche, die nicht ausreichend genutzt werden. Außerdem ist die Wahrscheinlichkeit groß, dass die Schatten-IT nicht richtig integriert ist. Dies führt zu unnötigen Kompatibilitätskosten und beeinträchtigt die teamübergreifende Produktivität.
Je stärker Ihr Unternehmen auf „Cloud-first“ setzt, desto intensiver werden Sie sich mit der Schatten-IT befassen müssen. Das bedeutet jedoch nicht, dass Sie sich ausschließlich mit den Herausforderungen und den damit verbundenen Kosten auseinandersetzen müssen. Um die Risiken zu reduziere und die Vorteile dieses Trends vollumfänglich nutzen zu können, muss die Schatten-IT ermittelt und angemessen verwaltet werden.
Im Folgenden beschreiben wir den Prozess, mit dem Sie alle Applikationen Ihrer Schatten-IT entdecken, kategorisieren und bewerten können.
In diesem ersten Schritt müssen Sie zunächst ermitteln, was sich überhaupt in Ihrer Umgebung befindet. Entdecken Sie alle Applikationen Ihres Software-Portfolios mithilfe von Enterprise Architecture-, SAM- oder SaaS-Management-Plattformen. Manuelle Entwicklungsmethoden erweisen sich als unzureichend und zeitaufwendig.
Nachdem Sie die Bestandsaufnahme Ihrer IT-Landschaft beendet haben, können Sie für jede einzelne Applikation eine Reihe von Merkmalen speichern, z.B. die Anzahl der Lizenzen, Benutzer, Gesamtausgaben, Beschaffungsart, Verlängerungszeitraum, etc. All diese Informationen ermöglichen es Ihnen, Verantwortlichkeit für Ihre Applikationen zu etablieren.
Entsprechen die Applikationen Ihren Unternehmensstandards? Mit einem transparenten Blick auf Ihre Applikationslandschaft können Sie eine Risikobewertung für alle Applikationen durchführen, die Sie im ersten Schritt bereits ermittelt haben. Sie können zudem herausfinden, ob eine Applikation mit einer kürzlich aufgetretenen Sicherheitsverletzung in Verbindung steht. Für die effiziente Risikobewertungen von Applikationen, die Sie nicht verantworten, sollte die Evaluierung basierend auf folgenden Kriterien automatisiert werden:
Im nächsten Schritt können Sie auf die Integrationen und API-Konnektoren zurückgreifen, um die Nutzungsmuster der Applikationen nachzuverfolgen und nicht ausreichend genutzte Software zu ermitteln. Es wird empfohlen, Applikationen in der folgenden Reihenfolge zu untersuchen:
Die Informationen, die in den vorangegangenen Schritten ermittelt worden sind, dienen Ihnen als Entscheidungsgrundlage bei der Rationalisierung von Applikationen. In dieser Phase müssen Unternehmen ihre Bedürfnisse definieren und Maßnahmen zur Optimierung nützlicher oder Abschaffung ungenutzter Software ergreifen. Best Practices für die Bewertung und Rationalisierung von Applikationen lauten:
Mit einem geschärften Bewusstsein für die Applikationsnutzung und -beschaffung können Unternehmen ihren SaaS-Beschaffungsprozess optimieren. Best Practices für diesen Schritt umfassen die folgenden Punkte:
Da die Cloud-Welt immer in Bewegung ist und es ständig neue Entwicklungen gibt, müssen Sie Ihre IT-Umgebung konstant überwachen und Ihr Applikationsinventar pflegen. Außerdem werden viele SaaS-Applikationen täglich aktualisiert, sodass Sie auch den Überblick über alle Richtlinienänderungen behalten sollten.
Dank automatisiertem Monitoring können Applikationen rationalisiert werden, ohne dabei übermäßige Eingriffe in das Unternehmen vorzunehmen. Mit regelmäßigen Reviews wird sichergestellt, dass:
In unserer heutigen Zeit kann die Schatten-IT als Begleiterscheinung von Cloud-basierten Umgebungen angesehen werden und lässt sich nur schwer vermeiden. Deshalb sollten Sie sich auf die Vorteile der Schatten-IT konzentrieren und gleichzeitig die damit verbundenen Risiken effektiv verwalten.
Sobald Sie verstehen, was genau die Schatten-IT ist und wie sich diese auf Ihr Unternehmen auswirkt, können Sie Herausforderungen proaktiv angehen und eine Unternehmenskultur etablieren, in der Sie Ihre Mitarbeiter befähigen, Verantwortung für Software zu übernehmen und zudem einen Beitrag zur Produktivitätssteigerung leisten. Dafür müssen Sie die Schatten-IT strategisch ermitteln, auf die Unterstützung aller Abteilungen zählen sowie auf Offenheit für neue technische Innovationen in Ihrem Unternehmen bauen können, auch wenn diese den Status quo zunächst stören könnten.
Die Zufriedenheit der Mitarbeiter schlägt sich unmittelbar in einer besseren Produktivität nieder, was sich wiederum positiv auf Ihre Produkte, Kunden und das Gesamtwachstum des Unternehmens auswirkt.
Was ist Schatten-IT
Schatten-IT beschreibt die Beschaffung und Nutzung IT-bezogener Hardware und Software ohne die explizite Genehmigung der IT-Abteilung. Darunter fallen Hardware, Standardsoftware, aber vor allem Cloud-Services (einschließlich Software-as-a-Service und Infrastructure-as-a-Service).
Welche Risiken entstehen durch Schatten-IT?
Die häufigsten Risiken, die durch Schatten-IT entstehen, lauten:
Welche Beispiele gibt es für Schatten-IT?
Als Paradebeispiele für Schatten-IT können Projektmanagement-Tools wie Trello oder Hive, Kommunikationstools wie Zoom oder Webex und File-Sharing-Tools wie Dropbox oder OneDrive angeführt werden.
Warum nutzen Mitarbeiter Schatten-IT?
Es gibt einige Gründe, warum jedes Unternehmen über eine Schatten-IT verfügt. Einer dieser Gründe ist direkt mit dem schnellen Wachstum von Cloud-Services- oder Software-as-a-Service verbunden, auf die alle Mitarbeiter schnelle und einfach zugreifen können.
Die meisten Mitarbeiter nutzen Schatten-IT, um produktiver und effizienter zu arbeiten. Außerdem möchten sie nicht auf die viel beschäftigten IT-Experten warten, die interne eine Lösung für ein Problem entwickeln, sondern nehmen die Sache selbst in die Hand und suchen sich eine Software, die ihre Bedürfnisse deckt.
Wie kann man Schatten-IT aufdecken?
Man kann Schatten-IT aufdecken, indem man Surveys durchführt und jeden einzelnen Mitarbeiter fragt, welche Applikationen sie nutzen. Diese Informationen können dann entweder in einer Tabelle erfasst oder mithilfe automatisierter Tools wie EA-, SAM, oder SaaS-Management-Plattformen zusammengetragen werden.
Wie Unternehmen mit der Schatten-IT umgehen, hängt stark von der Unternehmensgröße und der Branche ab. Je größer das Unternehmen ist, desto wichtiger werden automatisierte Entdeckungsmethoden.
Wie kann die Schatten-IT geprüft werden?
Die Schatten-IT wird entweder mithilfe einer EA-, SAM, oder SaaS-Maangement-Plattform geprüft, das das gesamte Applikationsportfolio von Unternehmen samt aller Softwareinformationen ermittelt.
Die Prüfung der Schatten-IT beginnt mit der umfassenden Ermittlung des Applikationsportfolios. In diesem Schritt wird die Anzahl der Lizenzen, der Benutzer, die Gesamtausgaben, die Beschaffungsart und der Verlängerungszeitraum für jede Applikation bestimmt.
Mit einem vollständigen Applikationsportfolio kann eine Risikobewertung für jede einzelne Applikation durchgeführt und solche rationalisiert werden, die nicht oder nicht ausreichend genutzt werden.