Schatten-IT
Phänomen, Herausforderung, Ursache, Lösung
Steffi Haag, Friedrich-Alexander-Universität Erlangen-Nürnberg
Schatten-IT – Informationstechnologie (IT), die Mitarbeitende ohne Genehmigung oder Wissen des Unternehmens einsetzen – verbreitet sich immer mehr in Unternehmen. Entgegen der häufig propagierten Meinung lässt sich Schatten-IT nie vollends kontrollieren oder unterbinden – vielmehr zur digitalen Transformation nutzen durch Akzeptanz, Bildung und Vertrauen.
Machine-Learning-Anwendungen in der Cloud ermöglichen zum Beispiel Vertriebsangestellten, Feedback der Kundschaft vollautomatisch auszuwerten und zu verarbeiten. Projektteams können anfallende Aufgaben beispielsweise über Trello oder Asana organisieren, untereinander via WhatsApp kommunizieren, große Dateien via weTransfer oder Dropbox teilen und ihre Ideen auf virtuellen Whiteboards, wie Mural, sammeln. Mit Shopify können Marketing-Managerinnen und -Manager den eigenen Online-Shop komplett selbst erstellen. Die Möglichkeiten, mit denen digitale Technologien, insbesondere Cloud-Dienste, Mitarbeitende beim Erledigen ihrer täglichen Arbeitsaufgaben unterstützen können, sind vielfältig – und das meist ganz ohne Programmierkenntnisse, einfach zugänglich via Web-Browser oder App. Schon 2019 wurden in einem durchschnittlichen Unternehmen fast 2.000 Cloud-Dienste eingesetzt – 90% davon jedoch ohne Wissen der IT-Abteilung. Diese Technologien, die Angestellte ohne Wissen oder ausdrückliche Genehmigung der IT-Abteilungen einsetzen, werden als Schatten-IT bezeichnet.
Die Nutzung von Schatten-IT sorgt für Ineffizienzen, etwa wenn zig verschiedene Filesharing-Services innerhalb einer Firma zum Einsatz kommen, und stellt für Unternehmen ein (datenschutz-)rechtliches und sicherheitstechnisches Risiko dar. Jedes fünfte Unternehmen hat bereits einen IT-Sicherheitsvorfall erlebt, der auf Schatten-IT zurückzuführen ist – was 2021 ein deutsches Unternehmen im Durchschnitt über 4 Millionen Euro kostete. Nicht zuletzt deshalb streben die meisten Unternehmen danach, die Nutzung von Schatten-IT durch technische oder organisatorische Restriktionen zu kontrollieren oder gänzlich zu unterbinden.
Unsere Erforschung von mehr als 85 Schatten-IT-Fällen zeigt jedoch, dass die Nutzung von Schatten-IT oft in solchen restriktiven Unternehmenspraktiken selbst begründet ist. Insbesondere dann, wenn sich Mitarbeitende einer Sackgasse gegenübersehen, die sie vom Erreichen ihrer Ziele abhält. Sei es, weil sie in ihrem Unternehmen auf taube Ohren stoßen, was neue digitale Lösungen betrifft; sei es, weil der Einsatz neuer digitaler Technologien nur eingeschränkt möglich ist, wie etwa Tablets, deren Nutzung auf bestimmte Apps begrenzt ist; oder sei es, weil Unternehmen zum Beispiel aufgrund von rechtlichen Vorgaben, wie etwa der DSGVO, den Bedürfnissen ihrer Mitarbeitenden nicht vollends nachkommen können. Was immer das Empfinden einer Sackgasse hervorruft, Schatten-IT bietet Mitarbeitenden einen Ausweg.
Entgegen der weit verbreiteten Meinung lässt sich die Nutzung von Schatten-IT nicht vollends kontrollieren oder unterbinden. Zu viele neue digitale Technologien werden kontinuierlich entwickelt, die Mitarbeitende direkt ohne IT-Support einsetzen könnten. Unternehmen müssen deshalb die wachsende Verbreitung von Schatten-IT akzeptieren. Sie können jedoch das Auftreten von Sackgassen reduzieren, indem sie statt reaktiv technische oder organisatorische Restriktionen zu erlassen, proaktiv die Kompetenzen ihrer Mitarbeitenden fördern und diesen vertrauen: Schatten-IT-Nutzende, die hinsichtlich eines sicherheitsbewussten Umgangs mit neuen digitalen Technologien und sensiblen Unternehmensdaten gebildet sind, handeln meist kooperativ und im Sinne der Unternehmensziele.4 Durch einen solchen Umgang mit Schatten-IT, der auf Bildung und Vertrauen basiert, können Unternehmen die Kreativität, Innovationskraft und Leistungsstärke ihrer Mitarbeitenden besser auszunutzen und somit das Potenzial von Schatten-IT für ihren Weg der digitalen Transformation gezielt einsetzen.
Steffi Haag, Friedrich-Alexander-Universität Erlangen-Nürnberg
Quellenangaben:
1 McAfee (2019) Cloud Adoption and Risk Report 2019. https://cloudsecurity.mcafee.com/cloud/en-us/forms/white-papers/wp-cloud-adoption-risk-report-2019-banner-cloud-mfe.html?source=MFE_Website&lsource=MFE_Website; Zugriff erfolgt am 15.09.2021.
2 Orr, D. (2019) Perception Gaps in Cyber Resilience: Where Are Your Blind Spots? The Hidden Risks of Shadow IT, Cloud and Cyber Insurance, Forbes insights, https://www.forbes.com/forbes-insights/our-work/perception-gaps-in-cyber-resilience/; Zugriff erfolgt am 15.09.2021.
3 Ponemon Institute and IBM Security (2021) Cost of a Data Breach Report 2021. https://www.ibm.com/security/data-breach; Zugriff erfolgt am 15.09.2021.
4 Haag, S., Eckhardt, A., Venkatesh, V. (im Erscheinen) Deviant Affordances: When Tensions, Deadlocks, and Nonconformance Generate Performance. MIS Quarterly.
