Der Begriff Schatten-IT beschreibt informationstechnische Systeme, Prozesse und Organisationseinheiten, die in den Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind. Schatten-IT-Instanzen sind somit weder technisch noch strategisch in das IT-Service-Management eines Unternehmens eingebunden.
Im Laufe einer SQL-Server-Migration bei einem Kunden sind wir an mehreren Stellen darauf gestoßen, dass Mitarbeiter diverser Fachabteilungen selbst Software geschrieben, in Betrieb genommen und diese selbst gepflegt haben. Die eigene IT-Abteilung wusste teilweise nichts von der Existenz dieser Art der Software. Nachdem die ersten Anwendungen bekannt geworden sind, wurde zusammen mit der IT-Führung des Kunden beschlossen, den aktuellen Stand in diesem Bereich aufzunehmen. Dafür haben wir eine Excel-Tabelle erstellt, in der folgende Daten gesammelt werden:
- Name der Anwendung
- dazugehörige Datenbanken
- Zweck der Anwendung
- Betreuer 1
- Betreuer 2
- Programmiersprache
- Ablage der Sourcen
- Art der Verteilung
Mit dem Excel-Dokument haben wir die uns bekannten Eigenentwickler besucht. Das persönliche Gespräch hat sich gegenüber einem Telefonat als eindeutig erfolgreicher erwiesen. Im Laufe des Besuchs sind erstaunlicherweise deutlich mehr Eigenentwicklungen aufgetaucht, als wir vermutet haben. Auch der Hintergrund zu den einzelnen Anwendungen wurde detailliert erläutert. Bei vielen Anwendungen hat sich herausgestellt, dass es nur einen einzigen Betreuer gibt, der weiß, wie man die Anwendung in Betrieb nimmt und ggf. Änderungen vornimmt. Darüber hinaus stellten wir fest, dass einige Applikationen sich nur auf einem einzigen uralten Rechner kompilieren lassen. Die Auswirkungen eines Ausfalls dieser alten Hardware wurden nicht bedacht. Zu guter Letzt wurden die Applikationssourcen teilweise nur auf dem Rechner des Entwicklers abgelegt und nicht versionisiert, sodass hier die versteckten Risiken einer Schatten-IT deutlich wurden.
Damit die Schatten-IT keine Gefahr für ein Unternehmen darstellt (vermeiden kann man dies nicht), gilt es folgende Regel zu beachten:
E rkennen S tabilisieren A nalysieren U msetzen B etreiben
Nach den ersten Erkenntnissen und Analysen müssen zunächst Stabilisierungsschritte vorgenommen werden: ob ein neuer Kollege eingearbeitet werden soll oder die Sourcen in die Versionsverwaltung eingepflegt werden oder die Anwendung komplett durch eine neue in die IT-Infrastruktur eingebundene Applikation abgelöst werden soll, hängt natürlich von der Dringlichkeit, Wichtigkeit, von den personellen und finanziellen Möglichkeiten ab. Wie mit den weiteren (neuen) Entwicklungen vorgegangen wird, muss zusammen mit IT und Fachabteilungen besprochen und abgestimmt werden.
Die Schatten-IT, welche in vielen größeren IT-Infrastrukturen im Verborgenen ihren Dienst verrichtet, sollte von den IT-Verantwortlichen eines Unternehmens aktiv gesucht und analysiert werden, um die durch sie vorhandenen Risiken zu minimieren und den gegebenen Nutzen zu optimieren.