Schatten-BI

Die dunkle Seite der Technik

Christoper Rentrop forscht über Schatten-IT. Zunehmend sind in Unternehmen inoffizielle Programme und Geräte ein Problem. Im einen Büro ist es die externe Festplatte am Firmenrechner. Auf ihr sind wichtige Informationen gespeichert, aber jeder Besucher könnte sie einfach so mitnehmen. An einem anderen Arbeitsplatz werden millionenschwere Entscheidungen auf der Basis von Tabellen mit dem Programm Excel getroffen, obwohl niemand je geprüft hat, ob das überhaupt eine sichere Grundlage ist. Im dritten Team werden technische Daten einer Neuentwicklung sorglos bei einem Anbieter im Internet gespeichert, obwohl dort jeder mitlesen kann, auch die Konkurrenz. Das alles, sagt Christopher Rentrop, sind Beispiele für Schatten-IT, also inoffizielle Informationstechnologie. Und das, ist der Professor an der Konstanzer Hochschule für Technik, Wirtschaft und Gestaltung (HTWG) überzeugt, »gibt es überall, jeder hat das irgendwo«.

Prof. Dr. Christopher Rentrop, Direktor des Konstanzer Institut für Prozessteuerung (kips)

Prof. Dr. Christopher Rentrop, Direktor des Konstanzer Institut für Prozessteuerung (kips)

Dass sich dennoch nur so wenige Forscher für das Thema Schatten-IT interessieren, verwundert den Wissenschaftler nicht. Denn Informatik-Wissenschaftler hängen sich meist an die IT-Abteilungen von Unternehmen. Und die, sagt Rentrop, »wissen in der Regel gar nicht, was alles an selbst gebastelten Systemen verwendet wird«. Denn wüssten sie es, würden sie es wohl unterbinden. So stößt Rentrops Arbeit dann auch in einen Bereich vor, über den in jeder Firma gesprochen wird und der dennoch selten offen diskutiert wird: der Machtkampf zwischen IT und Fachabteilungen, die Auseinandersetzung zwischen dem technisch Richtigen und dem unkompliziert Praktischen.

Aber was ist denn so schlimm an Schatten-IT? Ist sie nicht ein Beweis dafür, dass engagierte Mitarbeiter eigenes Wissen und eigene Phantasie einsetzen, um sich die Arbeit einfacher, schneller oder auch nur angenehmer zu machen? Alles richtig, sagt Rentrop, der schon oft über die Findigkeit in den Fachabteilungen gestaunt hat. Aber die Anwender wüssten oft gar nicht, welche Sicherheitsprobleme sie aufwerfen. Auf der anderen Seite hat er auch Firmen-Informatiker erlebt, die den Fachabteilungen sinnvolle und gute Innovationen verweigert haben, nur weil sie nicht in den großen Plan der Herren über die Computer passen wollten.

Blick auf die dunkle Seite. Und so wird für Christopher Rentrop die Schatten-IT eigentlich vor allem zu einem Handlungsfeld für sehr viel allgemeinere Fragen. Denn die inoffizielle Technik hat viel mit seinen zwei großen Themen IT-Strategie und IT-Governance zu tun, wie der HTWG-Professor feststellt.

Während es eine Strategie in vielen Unternehmen gebe, sei das Thema Governance oft ungeklärt, »dabei ist es doch so wichtig. Denn es geht im Kern darum, wer über IT entscheiden darf«. Da ist er wieder, der Machtkampf der übrigens oft auch deshalb eskaliere, weil zu wenig miteinander gesprochen werde und dieser Dialog auch gar nicht von den Unternehmensleitungen verlangt werde. Auch Wegschauen ist eine Art des Umgangs mit der Schatten-IT, aber auf die Dauer ein risikoreicher und vielleicht auch sehr teurer, ist der Konstanzer Wirtschaftsinformatiker überzeugt.

Wenn Rentrop ein Unternehmen berät, führt er zu Beginn vor allem Interviews. Sie klären, was es an offizieller und inoffizieller IT gibt. Warum diese Festplatten und Dateien benutzt werden und was sich die Anwender dabei gedacht haben. Und die Ergebnisse werden mit den Fachabteilungen und der IT gemeinsam diskutiert, um »die gewisse Sprachlosigkeit zwischen den beiden Bereichen«, wie Rentrop es nennt, zu durchbrechen. Am Ende stehen ein Kompromiss und eine Erkenntnis: »Wir raten keinem Unternehmen, Schatten-IT grundsätzlich zu verbieten. Das lässt sich sowieso nicht durchsetzen.«

Schatten-IT_grafikAuch für IT-Abteilungen kann die Auseinandersetzung mit all den Dateien irgendwo im Internet, mit unkonventionellen Programmen oder privat beschaffter Technik lohnend sein, ist Rentrop überzeugt. Denn die IT-Abteilungen in Unternehmen seien oft zu mager ausgestattet.

Am Ende, sagt Christopher Rentrop, sind alle schon einen guten Schritt weiter, »wenn es eine vernünftige Arbeitsteilung zwischen Fachabteilungen und IT gibt«. Klingt trivial? »Vielleicht ja«, so der Forscher, »aber die Paxis lehrt uns etwas anderes. Überall, wo wir hinschauen, finden wir Ungeklärtes.«

Da insbesondere Schatten-BI mit Risiken verbunden ist, sollten Unternehmen darauf abzielen diese Lösungen zu steuern. Neben der kurzfristigen Erhebung, Bewertung und Steuerung der vorhandenen Systeme benötigen Unternehmen eine Strategie für die fachbereichsgetriebene IT.

Schatten-IT. Der Begriff Schatten-IT bezeichnet allgemein Systeme zur Unterstützung der Geschäftsprozesse, ohne Einbettung in das formelle IT-Service Management. Diese Systeme werden von den Fachbereichen autonom beschafft, erstellt und betrieben. Die Schatten-IT füllt in der Regel die funktionalen Lücken der offiziellen IT-Systeme. Sie entsteht dabei in der Regel ungeplant und hat oftmals einen improvisierenden Charakter.

Beispiel zu Schatten-BI: In einem Industrieunternehmen entwickelte die Controlling-Abteilung mit einem Open Source OLAP-Werkzeug ein Planungs- und Reportingsystem. Betrieben wurde das System auf einem Server unter einem Schreibtisch der Abteilung. Nach Einführung wurde das System aufgrund von Geschwindigkeitsproblemen an die IT übergeben.

Die Ausprägungen. In den Unternehmen lassen sich in der Verwendung von Schatten-BI vier häufig vorkommende Typen identifizieren, dabei nimmt die Kritikalität der entsprechenden Systeme von oben nach unten zu.

• Berichte. Die Fachbereiche erstellen Berichte zur allgemeinen informellen Verwendung. Ein Beispiel hierfür sind Vertriebsstatistiken. Hauptmotiv ist hier oftmals die bessere optische Datenaufbereitung. Daneben werden Auswertungen für Datenvalidierungen der Kernsysteme erstellt, wenn den Daten in diesen Systemen selbst nicht vertraut wird.

• Dokumentationen. Mit Hilfe von Schatten-BI Systemen erfüllen die Fachabteilungen ihre Berichtspflichten gegenüber Verbänden und öffentlichen Institutionen. Aufgrund der Heterogenität der abzuliefernden Berichte wird die hohe Flexibilität der Schatten-IT hier geschätzt.

• Planung und Jahresabschluss. Im Rahmen der Aufgaben des externen Rechnungswesens werden häufig Reports und Berechnungen erstellt, welche die Grundlage für die Ermittlung von Finanzdaten in Planung und Jahresabschluss bilden.

• Entscheidungsunterstützung. Auf Basis von Reporting- bzw. BI-Systemen werden in Unternehmen zahlreiche Entscheidungen getroffen. Dies betrifft sowohl operative Entscheidungen wie etwa die Vergabe von Krediten als auch strategische Entscheidungen wie beispielsweise größere Investitionen.

Ursachen. Zentraler Auslöser für die Entstehung von Schatten-IT ist die Wahrnehmung des Fachbereiches über den Aufwand eine offizielle Lösung einzuführen. Wird die Zusammenarbeit mit der IT als hinderlich oder zu umständlich wahrgenommen, bevorzugen die Anwender die Eigenerstellung der Systeme. Hier stellt die hohe Flexibilität der Tabellenkalkulationen gepaart mit den immer besser werdenden Analysefunktionen einen wesentlichen Treiber für neue Schatten-BI dar.
Darüber hinaus können aber auch der Wunsch nach Autonomie im Fachbereich oder fehlende finanzielle oder personelle Ressourcen in der IT Auslöser der Entwicklung sein. Bestehen schon BI Systeme im Unternehmen spielt außerdem die Bedienerfreundlichkeit dieser Anwendungen eine große Rolle.

Chancen und Risiken. Mit der Schatten-BI sind zahlreiche Chancen und Risiken verbunden. Die Vorteile der Schatten-BI liegen in der starken Lösungsorientierung. Die Anwender denken über ihre Prozesse nach und tragen so zu einer besseren Prozessperfomance bei. Beispielsweise haben in einigen Unternehmen ursprünglich die Fachbereiche die Einführung von BI-Werkzeugen vollzogen, da in der IT teilweise noch entsprechende Kompetenzen fehlten. Ein weiterer Vorteil besteht darin, dass die Schatten-Lösungen auf die Problemstellung fokussiert sind. Überflüssige Funktionalitäten werden seltener mitentwickelt und damit können die Lösungen teilweise kostengünstiger implementiert werden.

Die Risiken der Schatten-IT resultieren grundsätzlich aus der geringeren Professionalität bei der Erstellung und dem Betrieb der Systeme. Den Fachbereichen fehlt überwiegend die Expertise bei der Auswahl der Technologien und der Implementierung.

Aufgrund des improvisierenden Charakters wird beispielsweise selten zu Beginn die Frage gestellt, ob eine Tabellenkalkulation das richtige Werkzeug darstellt. Ist die Lösung erst implementiert weisen die Fachbereiche zudem eine hohe Leidensfähigkeit hinsichtlich Unzulänglichkeiten auf. Des Weiteren erhalten Themen, die nicht unmittelbar mit der Funktionalität zusammenhängen, selten die notwendige Aufmerksamkeit; wesentliche Beispiele hierfür sind die Datensicherheit, das Testen und die Dokumentation. Dies stellt die Kehrseite der hohen Fokussierung auf die Problemstellung dar.

Beispiel: In einer Versicherung wurde ein System zur Berichterstattung von Altfällen in MS Access erstellt. Nach dem Wegfall der Lizenzen wurde dasselbe System ohne einen Versuch der Datenrettung in MS Excel neu nachgebaut.

Zielgerichtetes Management. Ausgehend von den Chancen und Risiken ergibt sich ein Bedarf für ein zielgerichtetes Management der Schatten-BI. Ein grundsätzliches Verbot der Schatten-BI ist nicht durchsetzbar, aber auch nicht sinnvoll. Der erste Schritt dafür ist die Erhebung bestehender Lösungen. Durch das Aufdecken der eingesetzten Systeme wird Transparenz geschaffen.

Die Erhebung sollte dabei vorzugsweise mit Hilfe von Interviews erfolgen. Eine technische Erfassung der Lösungen durch Scans bringt nicht genügend Informationen, da es kaum Hinweise über die Motivation der Fachbereiche und den genauen Verwendungszeck gibt. Darauf aufbauend, lassen sich die aufgedeckten Lösungen anhand ihrer Qualität und Relevanz bewerten und so riskante Systeme identifizieren. Zudem ist das Clustern von Berichten und Lösungen mit ähnlichen Funktionalitäten möglich.

Die Einordnung erlaubt die Priorisierung von Folgemaßnahmen. Für kritische Lösungen sollte ein Reengineering im Sinne einer formellen Ablösung erfolgen; die Integration von Lösungsclustern verringert Redundanzen. »Generell ist es dabei sinnvoll die Verantwortung für bestimmte Teilaufgaben, beispielweise die Reporterstellung, im Fachbereich zu belassen, um die Flexibilität aufrechtzuerhalten«, sagt Rentrop. »Nicht alle Aufgaben und IT-Lösungen müssen von der IT-Abteilung verantwortet werden. Richtlinien und eine Verbesserung der Kommunikation ermöglichen eine Verstetigung des Umgangs mit Schatten-Lösungen.«

Comments are closed.