Schatten-IT steht für IT-Systeme und -Lösungen, die innerhalb von Organisationen ohne ausdrückliche organisatorische Genehmigung eingebracht und verwendet werden. Der Begriff wird außerdem – zusammen mit Stealth IT und Client IT – als Bezeichnung für Lösungen verwendet, die von anderen Abteilungen als der IT-Abteilung spezifiziert und eingesetzt werden.
Viele sehen in der Schatten-IT eine wichtige Quelle der Innovation, dahinter steht der Gedanke, dass solche Systeme zu Prototypen für zukünftige, dann zugelassene IT-Lösungen werden können. Auf der anderen Seite entsprechen Schatten-IT-Lösungen oft nicht den organisatorischen Anforderungen an Kontrolle, Dokumentation, Sicherheit, Zuverlässigkeit und weitere Betriebskriterien – obwohl diese Probleme natürlich gleichermaßen auch für beliebige autorisierte IT-Lösungen gelten können.
Schatten-IT ist eine Anwendung oder Übertragung von Daten, auf die sich die Geschäftsprozesse einer Organisation stützen und die gleichzeitig nicht der Zuständigkeit einer zentralen IT- oder IS-Abteilung unterliegen. Die IT-Abteilung war nicht an der Entwicklung oder Anschaffung von Shadow IT beteiligt oder aber war sich dessen nicht bewusst und unterstützt die Verwendung in einem bestimmten Kontext nicht. Dies erhöht die Wahrscheinlichkeit von „inoffiziellen“ und unkontrollierten Datenflüssen, was die Einhaltung des Sarbanes-Oxley Act (USA) und vieler anderer Compliance-orientierter Initiativen erschwert.
Typische Beispiele für den Betrieb von Schatten-IT
Beispiele für solche inoffiziellen Datenflüsse sind USB-Flash-Laufwerke oder andere tragbare Datenspeichergeräte, MSN Messenger oder andere Online-Messaging-Software, Google Mail oder andere Online-E-Mail-Dienste, Google Docs oder andere Online-Dokumentenfreigabe sowie Skype oder andere Online-VoIP-Software nebst weiterer, weniger überschaubare Produkte. Zu den letzteren zählen beispielsweise selbst entwickelte Access-Datenbanken und selbst entwickelte Excel-Tabellen und -Makros. Sicherheitsrisiken entstehen vor allem dann, wenn Daten oder Anwendungen außerhalb von geschützten Systemen, Netzwerken, physischen Standorten oder Sicherheitsdomänen verschoben werden.
Eine andere Form der Schatten-IT kommt über OAuth-verbundene Anwendungen zustande, bei denen ein Benutzer den Zugriff auf eine Anwendung eines Drittanbieters über eine sanktionierte Anwendung autorisiert. Der Benutzer kann beispielsweise seine Facebook-Anmeldeinformationen verwenden, um sich über seine Unternehmens-Cloud-App (Google G Suite oder Microsoft Office 365) bei Spotify oder einer anderen Drittanbieteranwendung anzumelden. Mit diesem Zugriff kann die Drittanbieter-App übermäßigen Zugriff auf die sanktionierte App haben, wodurch unbeabsichtigte Risiken eingeführt werden.
Gründe für den Einsatz von Schatten-IT
Das etablierte IT-Management, das mit den Herausforderungen von Legacy-Infrastruktur und -Datenmanagement zu tun hat, kann Daten nicht immer einfach über Services bereitstellen, sei es weil die Vorteile dieser Herangehensweise nicht bekannt sind beziehungsweise nicht geschätzt werden, oder weil das Budget die erfolgreiche Implementierung nicht erlaubt. Vor diesem Hintergrund kann eine IT-Abteilung allerdings auch nicht alle Businessanforderungen zu im Vergleich zu einer echten DaaS-IT-Abteilung ähnlich geringen Kosten durchführen. Diese Mängel führen oft dazu, dass ein Unternehmen IT-Lösungen implementiert, von denen man annimmt, dass sie in Anschaffung und Betrieb günstiger sind, wenngleich dadurch Risiken eingeführt werden, die man mit einem „ordnungsgemäßen“ IT-Projekt vermeiden könnte.
Mit dem Aufkommen leistungsfähiger Desktop-CPUs könnten Fachexperten beispielsweise Schatten-IT-Systeme verwenden, um komplexe Datensätze zu extrahieren und zu bearbeiten, ohne dass sie dafür extra eine Leistung von der IT-Abteilung anfordern müssen. Die Herausforderung für die IT besteht darin, diese Aktivitäten zu erkennen und die technische Kontrollumgebung entsprechend zu verbessern – oder aber das Unternehmen bei der Auswahl von Enterprise-Datenanalysewerkzeugen zu unterstützen, was die Motivation für den Einsatz solcher Schattensysteme obsolet werden ließe.
Ein weiteres Hindernis für die Übernahme von DaaS ist die Legacy-IT-Massenbereitstellung nur des „Read“ -Elements des CRUD-Modells (Create, Read, Update, Delete). Dies führt dazu, dass die IT die Notwendigkeit des „Zurückschreibens“ in den Originaldatensatz vernachlässigt, da dies vergleichsweise komplex umzusetzen ist. Die gefühlte Notwendigkeit von Shadow-IT-Benutzern, diese geänderten Daten separat zu speichern (sogenanntes „siloeing“), führt zum Verlust der Integrität von Daten innerhalb von Organisationen, oder jedenfalls zum Verlust der Hoheit über deren Integrität.
Der zu einem bestimmten Zeitpunkt existenten Shadow-IT von heute auf morgen Grenzen zu setzen kann allerdings unter Umständen die Erreichung von Kostensenkungs-Zielen negativ beeinflussen oder die organisatorischen Innovation nachhaltig abwürgen und ausbremsen. Eine Studie bestätigt, dass 35% der Mitarbeiter das Gefühl haben, dass sie mindestens eine Sicherheitsmaßnahme oder ein Protokoll umgehen müssen, um effizient arbeiten zu können. 63% senden Dokumente an ihre private E-Mail-Adresse, um die Arbeit von zu Hause aus fortzusetzen, auch wenn sie wissen, dass dies wahrscheinlich nicht erlaubt ist.
Schatten-IT kostet Zeit
Shadow IT bürdet Unternehmen versteckte Kosten auf, die hauptsächlich daraus entstehen, dass Nicht-IT-Mitarbeiter in Abteilungen wie Finanzen, Marketing, HR viel Zeit mit der Diskussion und Überprüfung der Gültigkeit bestimmter Daten verbringen. Gleiches gilt für die Einrichtung und die Verwaltung von Systemen und Software, sofern diese von Mitarbeitern, die nicht über ausreichende Erfahrung in diesem Bereich verfügen, ausgeführt wird.
Risiko Inkonsistente Geschäftslogik
Wenn eine ‚Shadow IT‘-Tabellenkalkulationsanwendung ihre eigenen Definitionen und Berechnungen beinhaltet, ist es wahrscheinlich, dass im Laufe der Zeit Inkonsistenzen durch die Anhäufung kleiner Unterschiede von einer Version zur nächsten und von einer Benutzergruppe zur anderen entstehen, da solche Tabellen häufig kopiert und modifiziert werden. Darüber hinaus werden viele Fehler, die entweder durch mangelndes Verständnis der Konzepte oder durch fehlerhafte Verwendung der Tabellenkalkulation auftreten, häufig aufgrund fehlender strenger Tests und unzureichender Versionskontrolle unerkannt bleiben.