„Legalize it“ – Sinnvoller Umgang mit Schatten-IT Das Dilemma der Schatten-IT und Ansätze für eine Re-Integration dieser in die IT-Landschaft

Die Aufgabenteilung zwischen der ORG/IT und den Fachbereichen ist nicht immer trennscharf, was die Entwicklung und Nutzung von IT betrifft. Fachbereiche stricken sich eigene IT-Lösungen oder nutzen Dienstleistungen aus dem Internet wie z. B. Cloud Services. Dieser Graubereich zwischen ORG/IT-Verantwortung und Fachbereichen läuft unter der Bezeichnung „Schatten-IT“. In diesem Graubereich werden IT-Systeme entwickelt, gewartet und genutzt, die außerhalb der dafür vorgesehenen Einheiten und damit nicht im Einflussbereich des CIO liegen. Trotzdem ist der CIO für diese Informationssysteme – in Bezug auf Sicherstellung IT-Compliance – verantwortlich und damit haftbar.

Beispiele für Schatten-IT

Unter anderem bestimmt durch den globalen Trend zur „Consumerization of IT“ – also der Entwicklung des IT-Marktes von einem auf Unternehmen fokussierten zu einem Endnutzer-orientierten Markt – kommen technologische Entwicklungen mittlerweile zuerst beim Endnutzer an. Insbesondere tritt dies in den Bereichen Mobilität von IT und bei Kommunikationstechnologien in Erscheinung. So dienen Anwendungen wie Cloud Computing (z. B. Dropbox für Datenaustausch) und Datenverarbeitung oder moderne Kommunikationswege über die bekannten sozialen Netzwerke und Social-Messaging-Dienste der Kommunikation unter Kollegen. Mobile Hardware wie Smartphones und Tablets haben sich bei Endanwendern inzwischen vollständig durchgesetzt.

Neben dem Trend der Konsumentenorientierung in der IT verändert sich der moderne Arbeitsplatz. Dieser war lange Zeit auf Bürozeiten und den Schreibtisch im eigenen Büro begrenzt. Allerdings verschmelzen Büro- und Heimarbeitsplatz durch Homeoffice-Tage und flexible Arbeitszeiten immer mehr. Das führt ebenfalls zu einer vermehrten Nutzung von privater Hardware für dienstliche Zwecke, wie zum Beispiel Heimdruckern, USB-Sticks und mobilen Festplatten.

Ein drittes großes Thema, das mit dem Oberbegriff „Schatten-IT“ verbunden ist, ist die individuelle Datenverarbeitung (IDV). Hierunter fallen im Fachbereich erstellte Lösungen für Kalkulationen und Auswertungen, die häufig über die einmalige Nutzung hinausgehen und integraler Bestandteil kritischer Geschäftsprozesse sind (häufig auf Basis von Excel oder Access, z. B. im BI-Umfeld). Der Vorteil aus Sicht der Fachbereiche liegt zum einen in der Einfachheit der Entwicklung für Nicht-ITler, da der Einsatzzweck meist kurzfristig entsteht, und zum anderen in der Flexibilität durch einfache Weiterverarbeitung von Ergebnissen und der Möglichkeit von Ad-hoc-Kalkulationen.

Schließlich bilden sich durch die Nutzung von der ORG/IT abgekapselter IT auch von der ORG/IT unabhängige Support-Netzwerke. In IT-Themen versierte Fachkollegen oder Schatten-IT-„Entwickler“ werden zum First Level Support.

Vor- und Nachteile

Neben dem Auftrag, leistungsfähige Lösungen bereitzustellen und Geschäftsanforderungen kosteneffizient mit IT zu unterstützen, ist der CIO für die Einhaltung aller Gesetze und Standards zur IT-Compliance und IT-Sicherheit verantwortlich. Letzteres umfasst vor allem die Erfüllung von Anforderungen aus dem Kreditwesengesetz (KWG), die in den MaRisk und den Ausführungsbestimmungen des Bundesdatenschutzgesetzes (BDSG) manifestiert sind. Besonders vor dem Hintergrund zunehmender IT-Prüfungen durch die BaFin im Rahmen des § 44 KWG, die auf die IT-Governance als Ganzes zielen, sind diese Verantwortlichkeiten ernst zu nehmen.

Aus diesem Grund stellt die Schatten-IT für den CIO ein Problem dar: Sie entzieht sich der ORG/IT-Governance. Die ORG/IT muss Erfordernissen an IT-Compliance und IT-Sicherheit nachkommen, was wiederum in Prüfungen der Aufsicht bemängelt wird und signifikante Kosten für das Institut verursachen kann.

Mit unkontrollierten Systemen ist die Einhaltung von Gesetzen, Regulatorik und Standards nicht sichergestellt und oft gar nicht vorhanden. Oft fehlt die Nachvollziehbarkeit von Funktionalität und Kalkulationsergebnissen (Historisierung und Archivierung), da dies meist einen geringen direkten Mehrwert für den Endnutzer hat. Durch abweichende oder nicht vorhandene Rollenkonzepte kann Datensicherheit nicht mehr ausreichend sichergestellt werden. Bei der Entwicklung von IDV wird häufig die nach MaRisk geforderte Trennung zwischen Entwicklungs-, Test-, und Produktionsumgebung umgangen.

Operationelle Risiken entstehen aus der Kombination von fehlender Dokumentation und hoher Komplexität der Systeme. So entstehen Kopfmonopole bzgl. Nutzung und Entwicklung der Systeme. Gleichzeitig ist die Stabilität solcher Systeme geringer und durch fehlende Spezifikation sind diese meist unvollständig und ineffizient. Darüber hinaus kann die ORG/IT auch keinen angemessenen Support bieten, da ihr die Systeme unbekannt sind oder – im Falle von Privathardware – zu vielfältig für die vorhandenen Kompetenzen sind.

Durch redundante Systeme, Infrastruktur und Ressourcen verzichtet man auf Skaleneffekte, die IT-Kosten einsparen könnten, und unter Umständen steigen die IT-Kosten sogar. Die realen IT-Kosten sind allerdings wiederum schwer nachvollziehbar, da diese Kosten nicht auf die Kostenposition IT entfallen: Die IT-Kosten werden zu einer theoretischen Größe.

Letztendlich ist die strategische Grundausrichtung der Unternehmens-IT gefährdet, da ein ganzheitliches Servicemanagement nicht möglich ist. Es besteht die Gefahr, dass durch den Transparenzverlust die offizielle IT-Architektur den aktuellen Anforderungen auch weiterhin nicht gerecht und die bestehende Diskrepanz somit noch größer wird.

Die Schatten-IT bietet allerdings auch Chancen für den CIO und die ORG/IT. Denn die Parallelwelt bildet letztlich nur das ab, was Nutzer und Fachbereich benötigen, aber durch die IT nicht bereitgestellt wird. Die Schatten-IT bieten aus Unternehmenssicht Lösungen, die die IT-Landschaft in Unternehmen verbessern können. Darüber hinaus führt die Befriedigung der Benutzerbedürfnisse zu besserer Mitarbeiterzufriedenheit, gesteigerter Kreativität, mehr Kollaboration und größerer Flexibilität. Als Gegenposition zu der fehlenden Integration und zusätzlichen Kosten kann die lokale Geschäftsprozessoptimierung als positives Merkmal gelten.

Potenzial der Schatten-IT

Wie oben bereits angedeutet werden Schatten-IT-Lösungen eingesetzt und genutzt, weil sie für den Endnutzer wahrgenommene Vorteile gegenüber von der ORG/IT bereitgestellten Lösungen haben:

  • Die Schatten-IT-Lösung ist effizienter oder einfacherer bedienbar.
  • Die Flexibilität (z. B. Anpassbarkeit an neue Gegebenheiten) der Schatten-IT-Lösung ist größer.
  • Schatten-IT-Lösungen verfügen über benötigte Funktionalitäten, die die existierenden Lösungen nicht bereitstellen.

Ebenso sind Gründe in der Arbeitsweise der ORG/IT und in der Zusammenarbeit mit den Fachbereichen zu suchen:

  • Fehlendes Vertrauen der Fachbereiche in die ORG/IT oder das Gefühl unzureichender Unterstützung seitens der ORG/IT führen zu eigenständigem Handeln der Fachbereiche.
  • Ineffiziente Prozesse in den Schnittstellen zwischen IT- und Fachabteilung lassen Fachbereiche den Weg des geringsten Widerstandes an der ORG/IT vorbei gehen.

Darüber hinaus verfügen Fachbereiche in vielen Fällen über die Ressourcen, eigene Lösungen zu erstellen und zu betreiben – sei es durch entsprechend ausgebildete Mitarbeiter oder durch langjährig intern aufgebaute Erfahrung mit bestehenden Schatten-IT-Lösungen oder über Budgethoheit. Dies macht die Fachabteilungen unabhängig von der IT-Organisation, was die Verfolgung der Projekte und die Integration in die bestehende Anwendungslandschaft umso schwieriger macht.

Lösungsansätze

Um die negativen Effekte der Schatten-IT zu minimieren und möglichst viele der positiven Effekte mitzunehmen, sollte die ORG/IT bestrebt sein, die Schatten-IT aus dem verborgenen Bereich zu holen und zu legalisieren.

Sinnvoll ist hier ein dreistufiges Vorgehen, das am Ende keine neuen Arbeitsanweisungen, Sicherheitsrichtlinien und harte Verbote schaffen soll, da diese in den meisten Instituten bereits existieren und dementsprechend ohne Aussicht auf Erfolg sind. Die Intranets der Institute sind schon heute voller Papiertiger.

1) Erkennen des Ausmaßes von Schatten-IT

Ein erster und wichtiger Schritt ist es, „Licht ins Dunkel zu bringen“. Eine vollständige Identifizierung und Erhebung der im Institut vorhandenen Schatten-IT ist Voraussetzung für jeden weiteren Umgang mit diesen Systemen.

2) Verstehen der Gründe für Schatten-IT-Lösungen

Die ORG/IT muss Bedürfnisse der Nutzer und Unzulänglichkeiten ihrer bereitgestellten Systeme verstehen, um diese in der zukünftigen Lösungsbereitstellung zu berücksichtigen. Daneben können über die aktive Befassung mit Schatten-IT-Lösungen die Vorteile der nutzergetriebenen Innovation in die ORG/IT gehoben werden, da diese nah an den tatsächlichen Prozessen der Bank und damit an den Anforderungen der Fachbereiche sind.

3) Minimale Papiertiger für die Aufsicht

Dazu gehörte neben Inventar auch gewisse schriftliche Regeln (Zuständigkeit, Verantwortlichkeit, Versionierung, Wartbarkeit, sog. Funktionstrennung, Produktion, Zugriff, Datenintegrität und ein Risikoassessement (wesentlich/unwesentlich).

4) Schaffung geeigneter organisatorischer Rahmenbedingungen (Governance)

Sinnvoller als o. g. Papiertiger sind umfassende und verbindliche Spielregeln, die im Dialog zwischen allen Beteiligten unter Einbezug der rechtlichen Leitplanken entstehen. Dies erfordert eine enge und positive Zusammenarbeit von ORG/IT und den Fachbereichen, die die Bereitstellung attraktiver und „Spass machender“ Lösungen mit einer Mischung aus guter Benutzerfreundlichkeit und hoher Funktionalität entsprechend hoch priorisiert. Die Alternative ist, dass sich die User ihren eigenen Weg suchen.

Hierzu gehört die enge Zusammenarbeit von ORG/IT und Fachbereiche z. B. über Accountprinzipien, sodass gemeinsam die jeweils beste Lösung für alle Anspruchsgruppen – im Rahmen des gesetzlich möglichen und unter Risikogesichtspunkten sinnvollen – entwickelt wird.

Für den Einsatz der mobilen Endgeräte hat sich so z. B. das Konzept des „bring your own device“ (BYOD) in einigen Instituten bereits etabliert. Dies ermöglicht den Mitarbeitern, innerhalb eines grundsätzlichen Rahmens private Endgeräte für die Arbeit zu nutzen. Das gibt den Mitarbeitern die Freiheit, ihre üblicherweise moderneren, ihren Ansprüchen genügenden Geräte zu nutzen und Privates und Berufliches nicht über zwei Geräte trennen zu müssen. Gleichzeitig ist den grundsätzlichen Ansprüchen an Sicherheit und Compliance aus Sicht des Unternehmens Genüge getan.

Für Schatten-IT in Form der individuellen Datenverarbeitung in Excel bieten sich als Lösungsansatz z. B. modulare Rechenkerne an. Diese modularen Systeme bieten Teilkalkulationen als Bausteine an, die wieder neu zusammengesetzt werden können. Hierdurch können sie eine ebenso hohe Flexibilität und finanzmathematische Funktionalität bieten wie Excel, und die fachlichen Problemstellungen können durch Nicht-ITler modelliert werden. Gleichzeitig wird die Redundanz in Kalkulationen nahezu komplett verhindert, und der Source-Code der einzelnen Module liegt offen. Diese Eigenschaften erhöhen die Transparenz, reduzieren die Komplexität und Fehleranfälligkeit des Systems und lösen das Problem der Kopfmonopole auf. Die MaRisk-Compliance ist somit wieder hergestellt.

Mit BankingHub keinen Trend verpassen

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

Philipp Dirding

Manager Office Münster

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach. Sie können den Newsletter jederzeit wieder kündigen.