Phänomen Schatten-IT: Wenn der Firmencomputer umgangen wird
Schatten-IT: Mitarbeiter bauen ihre eigene Infrastruktur auf (Foto: Marcel Oosterwijk, Quelle: Flickr, CC BY-SA 2.0)
Einen Drucker anschließen? Den Büro-Kalender mit dem Handy synchronisieren? Oder gar Shareware installieren? Ohne Segen der IT-Abteilung ist da in Großunternehmen nichts zu machen. Zumindest offiziell nicht. Denn die sogenannte Schatten-IT ist schon längst Realität.
Selbst programmierte Excel-Anwendungen, eigenmächtig beim Discounter gekaufte Hardware, Kommunikation mit Außendienstkollegen via Facebook-Chat oder Dateiversand über Skype: Im Schatten der offiziellen Computer-Infrastruktur blühen in Firmen kreative IT-Lösungen. Belastbare Zahlen gibt es zwar nicht – aber wer einmal ein Großunternehmen von innen gesehen hat, weiß, wie solche Schatten-IT entsteht. “Die Fachabteilung hat bestimmte Wünsche, die die IT-Abteilung des Unternehmens nicht oder nicht schnell genug erfüllen kann. Also wird die Fachabteilung selbst aktiv”, sagt der Informatiker Christopher Rentrop, der sich wissenschaftlich mit dem Phänomen beschäftigt. “Und die IT-Abteilung schweigt, weil sie keine Zeit zur Bearbeitung hätte und gegenüber den Kollegen nicht als ‘Stasi’ erscheinen möchte.”
Komplett eigene PC-Infrastruktur
Oder sie hat überhaupt keine Ahnung, was sich im Schatten abspielt. Wie in dem Fall einer Bank, die sich sich über schwere Probleme mit dem Unternehmensnetzwerk wunderte, so Rentrop. Und dann dahinter gekommen sei, dass eine Abteilung ohne Rücksprache mit der IT eine Webanwendung programmiert hatte, die das gesamte Netzwerk in die Knie zwang. Er kenne auch einen Fall, bei dem in einer Abteilung parallel zu offiziellen Unternehmensrechnern eine komplette eigene PC-Infrastruktur aufgebaut worden sei.
An der Hochschule Konstanz bereitet Rentrop eine Studie zur Schatten-IT vor. Reden will darüber aber so recht keiner. “Das kann ein Riesenfass sein, das will keiner aufmachen”, sagt er. Schon gar nicht nach außen: Von mehreren von Hyperland zur Schatten-IT befragten DAX-Konzernen hatte keiner eine passende Antwort parat.
“Verbieten bringt nichts”
Dabei sieht Forscher Rentrop in der Schatten-IT sogar Positives. Viele solcher “nutzergetriebenenen” Lösungen seien besonders innovativ und praxisnah. Aber sie können natürlich enorme Probleme in Sachen Datenschutz und Datensicherheit bergen, wenn etwa Kollegen ihre Termine öffentlich zugänglich bei Doodle abstimmen, Kundendaten zu einem Cloud-Anbieter verlagern oder Google Docs zur gemeinsamen Bearbeitung von Dokumenten verwenden. “Verbieten bringt aber nichts”, sagt Rentrop. Stattdessen gehe es darum, Schatten-IT aus dem Schatten herauszuholen, um die nötige Kontrolle zu gewährleisten.
Laut einer Studie des Marktforschers IDC nutzen Angestellte verstärkt private Geräte wie Smartphones oder Tabletts auch beruflich. Wer privat ein iPhone oder Android-Handy, bestimmte Apps oder Online-Dienste schätzen gelernt hat, kommt eher auf die Idee, wie er diese für den Job einsetzen könnte und will auf deren Komfort nicht zugunsten eines von den IT-Experten der Firma in langwierigen Prozessen abgesegneten Geräts verzichten. “Die Nutzer werden ungeduldiger”, sagt Rentrop.
Kostenersparnis für Unternehmen
Für Lutz Neugebauer vom Branchenverband Bitkom sind Sicherheitsprobleme durch Schatten-IT in Deutschland allerdings noch kein brennendes Thema. “Es gibt aber auf jeden Fall eine stärkere Vermischung zwischen beruflicher und privater Nutzung von Computern”, sagt Neugebauer. Er sieht auch Vorteile darin, die Nutzung privater Geräte zu erlauben: Die Mitarbeiter achteten besser auf ihre eigenen Geräte – und das Unternehmen spare Kosten.
Diese Rechnung ist allerdings nicht immer so simpel, wie etwa der Allianz-Konzern auf Nachfrage von Hyperland bestätigt: “Wenn zum Beispiel ein geschäftlich genutztes privates Gerät verloren geht oder gestohlen wird, müssen wir aus datenschutzrechtlichen Erwägungen heraus gewährleisten, dass die geschäftlichen Daten unverzüglich gelöscht werden können. Das bedeutet einen erheblichen Eingriff in das Eigentum der betroffenen Mitarbeiter.”
(Das ZDF ist für den Inhalt externer Internetseiten nicht verantwortlich)
10 Kommentare | 22. November 2011 | 14:51 Uhr |
| 
hi Fiete,
zu deinem Artikel will ich noch anmerken, dass die Firmen auch durch diese sogenannte “Schatten-IT” auch profitieren kann. Denn diese ITler können ihr Wissen an die Firma weitergeben.
Zum Beispiel das Wissen darüber, dass oft opensource-Anwendungen manches besser können als closed-source-Anwendungen. Und hier kennen sich viele User und Mitarbeiter in den Firmen wirklich besser aus als die Firmenbosse oder die IT-Administratoren.
Außerdem würde die Firma noch dazu über besser abgesicherte Geräte verfügen und damit würde die Firma auch ein besser abgesichertes Netzwerk haben und damit würde die Firma nicht mehr so leicht Opfer von Hackerangriffen und damit wäre auch gleich die Spionagegefahr eingedämmt.
Von daher profitieren doch eigentlich beide davon: einerseits die Firmenbosse durch hinzugewonnenes Wissen um Anwendungen und wie ich mit ihnen bares Geld spare (Firmenetat) und andererseits könnten diese sogenannten “Schatten-ITler” weiterhin ihre Anwendungen nutzen. Warum also keinen Pakt machen???
Grüße
Linuxhelfer
Sehr interessanter Artikel!! Sieht so aus, daß bisher die Vorteile zahlreicher als die Nachteile seien. Es gibt zwar auch nicht, wie in der Artikel geschrieben wurde, daß die Firma machen kann, um ihre Mitarbeiter dazu zu halten, also lieber eine gemeine Strategie entwickeln??
Das würde ich auch vorschlagen Poppy. Denn wie gesagt: die Vorteile dieser sogenannten “Schatten-IT” sind doch nicht von der Hand zu weisen….Denn wie ich geschrieben habe: jeder würde vom anderen profitieren. Es würde sich ein gegenseitiges Geben und Nehmen entwickeln.
Ich zum Beispiel kenne mich aus, wie man seinen Rechner richti8g schützt, wo man kostenlose alternative Betriebssystem wie Linux bekommt, wie man Linux installiert, wie man es anwendet im Alltag und auch mit etlichen Programmen. Denn auch ich bin – und so ehrlich bin ich nun auch hier – seit einigen Jahren fleißige Linuxuserin und kenne mich daher ziemlich gut mit open-source Software aus.
Zum Beispiel gibt es so viele Alternativen zu MS-office oder auch zu den Brennprogrammen für Windows, dann gibt es sehr gute Alternativen zu Multimedia-Programmen aus Windows… Kurzum: es wäre so viel machbar und dabei kann man bares Geld sparen. Warum? Linux kostet nichts, es gibt so eine weite Bandbreite von Distributionen die für jeden Zweck geeignet sind und Linux kann so viel….
Von daher: es wird – denke ich – höchste Zeit für so einen Pakt zwischen der Firma, den bisherigen Administratoren der IT und den sogenannten “Schatten-ITlern” so wie mir. Von daher: lasst uns an einem Pakt arbeiten, zum Gegenseitigen Nutzen für Alle.
Grüße
Linuxhelfer
Ohne closed Source gibt es kein Open Source, oder wer bezahlt dann den Unterhalt eines Open Source Entwicklers?
Grüße,
SGT
Was sagt denn google zu dem Artikel?…Hmmmmm
Herr Rentrop lehrt an der Uni Konstanz folgende Fächer:
Controlling, BWL-Grundlagen [Bachelor], Kosten und Investitionsrechnung [Bachelor], BWL [Bachelor]
Herr Rentrop ist ja gar kein Informatiker, er lehrt nur am Informatik-Lehrstuhl.
Hätte Herr Rentrop statt DAX-Konzernen die Nasdaq-Konzerne befragt, ja dann, hätte er eine Antwort auf seine Frage nach dem Umgang mit der dunklen Materie genannt “Schatten-IT” bekommen. Die Nasdaq Konzerne arbeiten an genau dem gleichen, nur halt andersrum.
Bei Citrix bekommen Mitarbeiter jedes Jahr ein Budget von 2000$. Und wer will kann seine Hardware selbst kaufen.
Herr Rentrop sollte ab und zu mal mit seinen Kollegen am Informatik Lehrstuhl reden. Schliesslich sind Controller die sich als Techniker versuchen, nicht erst seit dem BP Oil-Spin und Fukushima, geringfügig in den “Schatten” gerückt.
Und falls Herr Rentrop, in seiner Informatik-Uni, vor einem perfektem “Licht-PC” sitzt, dann ist das sehr erfreulich. Andere “Licht-PC” Benutzer berichten von dunklen “Licht-PC”s . Manchmal so dunkel, dass sie davon träumen in die Schattenwelt der “Schatten-IT” einzutauchen, da sie dort Licht sehen.
Zur Klarstellung: Herr Rentrop hat sich für seine laufende Studie nicht ausschließlich an DAX-Konzerne gewandt. Dort habe ich stichprobenartig für diesen Artikel eine Anfrage gestellt.
Was sagt denn google zur “Klarstellung”. Hmmmm……
“Fiete Stegers” Ahhhh ein Werbetreibender “Multimedia-Journalist”. Und der Fiete blättert jetzt, sicherlich aufgeregt, in seinem “social Media” Handbuch und sucht nach dem Begriff Foren.
Wenn du, oder Herr Rentrop in Zukunft keine Antwort auf eine Frage bekommt, dann solltet ihr schreiben: “hat nicht geantwortet”. Der Satz: “hatte keiner eine Antwort parat” könnte nämlich falsch verstanden werden.
Und schon klappt das mit diesem “social Media”!
@StormyNormi
Wie sind Sie denn eigentlich drauf??
Und zwar 1.) im Stil und 2.) logisch?
1.) Seit wann muß man denn Datenbanken programmieren können, um die Feststellungen im Artikel trefen zu können?
Dürfen nur Betreiber eines Schlüsseldienstes einen Einbruch feststellen?
Es scheint Sie ja sehr zu beschäftigen, daß die hier Postenden nicht auf Ihrem Niveau sind.
Gut, daß dann wenigstens Ihr Googleergebnis Ihr Posting rechtfertigt.
2.) Schön, aus den USA hört man also, daß jeder mit EDV Beschäftigte mit der Firmen-EDV machen kann, was er will.
Nur hört man aus den USA eben auch, daß zB Baupläne des neuesten Kampfflugzeuges (vermutlich aus China heraus) gehackt worden sind. Und das in Firmen, die ja nun schon technikaffin sind. Zu was mag die EDV-Landschaft dann erst zB bei Krankenversicherungen mutieren?
Aber das muß Sie ja nicht kümmern. Als alter Social-Media-Fuchs haben Sie alle Ihre persönlichen daten bestimmt schon ins Netz gestellt.
Zu 1) Ja, ein Informatiker muss eine Datenbank programmieren
Zu 2) habe Sie Alkohol getrunken?
@ StormyNormi,
was diesen Punkt 2 angeht, der von Ihnen so hart mit den Worten “haben Sie Alkohol getrunken” kritisiert wird, stimmt leider. Es ist in der Tat schon vorgekommen, dass usb-Sticks mit firmeninternen Daten aus Unternehmen gestohlen wurde (ich vermute mal Wirtschaftssionage dahinter) und auch sonst sind die us-Server extrem schlecht abgesichert.
Das kann ich deshalb sagen, weil es sogar mir – und ich bin nun wirklich keine studierte Informatikerin – es schon einmal gelungen ist, in einen us-Server (welches Unternehmen dass war, verrate ich hier lieber nicht) reinzukommen. Und das hat mich sogar erschreckt, wie extrem schlecht der gesichert war. Aber solche Zustände findet man nicht nur in den USA. Auch hier bei uns in Deutschland gibt es sowas.
Von daher: dieser Punkt ist – so hart es klingen mag – leider zutreffend. Und von daher wäre ein solcher Pakt wirklich eine sehr gute Möglichkeit und beide Seiten würden profitieren!!
Grüße
Linuxhelfer