Wenn Beschäftigte eigenständig Apps kaufen und installieren, muss daraus nicht zwangsläufig eine für das Unternehmen risikoreiche Schatten-IT entstehen. Beim Modell Self-Service-IT können Admins App-Käufe auch weiterhin einsehen, kontrollieren und regulieren.

Schatten-IT. Dieser Begriff lässt die IT-Verantwortlichen in Unternehmen regelmäßig erschaudern. Denn so wie ein Schatten einerseits Schutz vor grellem Sonnenlicht bietet, so steht er andererseits für das Diffuse, Unbeleuchtete. Für etwas, das nur schwer erkennbar und damit undurchsichtig ist.

Wer von Schatten-IT spricht, meint damit also Software, Hardware und sonstige Anwendungen, die von Mitarbeiter*innen genutzt werden, ohne dass die IT-Verantwortlichen davon wissen. Weil sie keine Kenntnis davon haben, können sie auch ihren Job nicht machen: Geräte und Anwendungen verwalten, kontrollieren und für eine sichere Nutzung sorgen.

Ein Beispiel: Viele Mitarbeiter*innen greifen im Homeoffice oder remote auf das eigene Laptop sowie privat genutzte Apps zurück. Werden diese Apps und Hardware nicht vom Unternehmen verwaltet, muss es zusätzlich für die Sicherheit der Unternehmensanwendungen und -daten sorgen.

Eine Umfrage vom Dezember 2020 des Marktforschungsunternehmens Opinium Research im Auftrag von Forcepoint, einem weltweiten Anbieter von Cybersicherheit im Bereich Schutz von Nutzern und Daten, belegt das Gefahrenpotenzial.

– 63 Prozent der Befragten greifen mit privaten Endgeräten auf Dokumente und Dienste ihres Arbeitgebers zu.
– 58 Prozent speichern oder übertragen Arbeitsdaten auf persönlichen USB-Sticks.
– 55 Prozent verwenden private E-Mail- oder File-Sharing-Cloud-Dienste für Arbeitszwecke.

Befragt wurden 1.000 deutsche Heimarbeiter*innen.

Eine andere Umfrage von Censuswide im Auftrag von McAfee 500 unter IT-Leitern und 253 Angestellten in Unternehmen mit über 250 Angestellten in Deutschland kommt zum Ergebnis: 53 Prozent der IT-Leiter sagen, dass über die Hälfte der Mitarbeiter*innen in ihrem Unternehmen Anwendungen nutzt, von denen die IT-Abteilung nichts weiß. 41 Prozent der Angestellten geben zu, nicht sanktionierte Cloud-Services zu nutzen.

Richtlinien bei der Nutzung von Schatten-IT aufsetzen

Erwähnenswert an dieser Umfrage, die womöglich beispielhaft für die Situation in vielen anderen Unternehmen steht, ist, dass Menschen Schatten-IT meist nicht aus Bösartigkeit oder Nachlässigkeit nutzen, sondern um produktiver zu sein. Was man privat kennt und nutzt, ist vertrauenswürdig. Daraus folgt, dass man es intuitiver und effektiver anwendet und so zu schnelleren und besseren Ergebnissen kommen kann.

Die Autoren der Umfrage geben aber zu bedenken: Schwarz-Weiß-Richtlinien, die einfach nur den Zugriff zu eigenen Geräten und Anwendungen blockieren, würden in der Praxis nur zu mehr Workarounds führen. Daher sollten Unternehmen sich aufs Aufdecken der Nutzung von Schatten-IT konzentrieren und gegebenenfalls neue Richtlinien aufsetzen. Sie müssten zudem die Definition und den Schutz kritischer Daten sicherstellen.

Self-Service-IT bei Microsoft

Nun muss nicht immer automatisch gleich eine bedrohliche Schatten-IT entstehen, wenn sich Mitarbeiter*innen bestimmte Cloud-Dienste an der IT-Abteilung vorbei selbst zusammenstellen. So hat etwa Microsoft schon vor ein paar Jahren damit begonnen, Nutzerinnen und Nutzern in Unternehmen so genannte Self-Service-Käufe zu ermöglichen. Mittels Self-Service-IT können Mitarbeiter*innen neue Technologien ausprobieren und selbstständig Lösungen entwickeln, die am Ende auch ihrem Unternehmen, für das sie arbeiten, zugutekommen.

Um Self-Service-IT zu nutzen, können sich Mitarbeiter*innen für die entsprechenden Cloud-Dienste registrieren, die dann über das Abonnement des Unternehmens beziehungsweise über die Kreditkarte der Abteilung abgerechnet werden. Der zentrale Einkauf und die IT-Abteilung bleiben beim Kauf außen vor.

Microsoft bietet diese Option für bestimmte Produkte seiner Power Platform an: Power Apps, Power Automate und Power BI. Der Ansatz hinter Self-Service bei Power BI zum Beispiel ist: Fachabteilungen sollen eigenständig und relativ unabhängig Auswertungen und Reports erstellen können, ohne dazu umfangreiches IT-Know-how brauchen zu müssen.

Herausforderungen von Self-Service-IT

Nun mögen IT-Administratoren vielleicht die Hände über ihren Köpfen zusammenschlagen, wenn sie an Self-Service-IT denken. Schließlich brauchen Benutzer*innen dafür nicht mehr den Umweg über die IT-Administration gehen. Ein Freigabeprozess für die Installation neuer Cloud-Dienste entfällt.

Um beim Beispiel Self-Service bei Power BI zu bleiben: Inzwischen nutzen immer mehr Anwender*innen Microsofts Lösung für Business Intelligence, um Daten aus unterschiedlichen Quellen zu vereinheitlichen und interaktive, umfassende Dashboards und Berichte zu erstellen. Das Ergebnis ist oft eine nahezu unüberschaubare Anzahl fachlicher Dashboards sowie Unklarheit darüber, wo welche Zahlen verlässlich zu finden sind.

Völlig unkritisch ist Self-Service-IT also tatsächlich erst einmal nicht, denn es könnte zum Beispiel passieren, dass Anwender*innen unwissentlich Cloud-Dienste buchen, die das Unternehmen schon längst nutzt. Oder es werden sensible Unternehmensdaten mit unerwünschten, neuen Datenquellen verknüpft. Aus diesen Gründen hatte sich Microsoft in der jüngeren Vergangenheit Kritik an seinem Self-Service-Modell eingefangen.

Kontrolle und Regulation von Self-Service-Käufen

Microsoft hat mittlerweile auf die Kritik reagiert und es IT-Administratoren ermöglicht, Self-Service-Käufe zu kontrollieren und reglementieren. Technisch gesehen passiert dies über das Microsoft-Framework PowerShell, mit dem sich Systeme verwalten, konfigurieren und automatisieren lassen. Hier können Admins Self-Service-Käufe pro Produkt deaktivieren. Außerdem kann, neben den Admins, auch der zentrale Einkauf im Admin-Center von Microsoft 365 einsehen, wer welche Self-Service IT gekauft und bereitgestellt hat.

Folgende Informationen über Self-Service-Käufe lassen sich dort einsehen:

– Produktname
– Käufername
– Erworbene Abonnements inklusive Ablaufdatum
– Einkaufspreis
– Zugewiesene Benutzer

Sie können zudem steuern, ob Nutzer*innen im Unternehmen Self-Service-Käufe tätigen können. Im Admin Center der Power Platform können IT-Administratoren auch die Kapazität für Self-Service-Käufe anzeigen.

Bei Self-Service-IT obliegt die Auswahl, welche Anwendungen welchen Nutzerinnen und Nutzern zur Verfügung gestellt werden, weiterhin dem IT-Administrator. Außerdem kann er Einstellungen, die für das Unternehmen relevant sind, im Vorfeld treffen und damit für Komfort und Sicherheit sorgen.

Der Gedanke hinter Self-Service-IT

Moderne Ansätze sind, was den selbstständigen Kauf und die Nutzung von Anwendungen in Unternehmen anbelangt, eher als supportiv einzuschätzen. Das bedeutet in der Praxis: Self-Service-IT ist erlaubt, aber ihr Betrieb wird kontrolliert und reglementiert. Je intuitiver und einfacher verfügbar diese Anwendungen sind, desto eher können sie Fachbereiche selbst einführen und nutzen.

Dieser Ansatz passt zu moderneren Organisationsformen, in denen die Verantwortung auch in anderen Bereichen nach unten delegiert wird und somit Freiheitsgrade für Mitarbeiterinnen und Mitarbeiter geschaffen werden. Das ist etwa dann der Fall, wenn Teams selbstständig und ohne eine permanente Vorgabe von oben Entscheidungen treffen können.

Der Ansatz von Self-Service-IT, wie ihn zum Beispiel Microsoft verfolgt, unterstützt diese Form der Organisation in Unternehmen. Zugegeben: So ganz uneigennützig ist das nicht. Schließlich birgt die Möglichkeit, Anwendungen auch selbstständig kaufen zu können, längerfristig gesehen die Chance auf höhere Umsätze.