Schatten-IT-Lösungen
Schatten-IT bringt mehr Risiken mit sich, als vielen bewusst ist. Dahinter verbergen sich „Schatten-EUCs“ – Endbenutzer-Computing-Anwendungen, die häufig unbemerkt bleiben und nicht kontrolliert werden. Nicht alle Schatten-IT-Lösungen sind in der Lage, solche Schatten-EUCs zu identifizieren.
Was ist Schatten-IT?

Schatten-IT bezeichnet IT-Anwendungen, die außerhalb der zentralen IT-Infrastruktur eines Unternehmens erstellt, bereitgestellt oder genutzt werden (d. h. ohne Genehmigung und mit kaum oder gar keinen Kontrollen). Diese Anwendungen treten in vielfältiger Form auf – von Excel-Spreadsheets für die Finanzberichterstattung bis hin zu privaten Cloud-Speicherkonten wie Dropbox oder Google Drive, auf denen vertrauliche Informationen gespeichert werden.
Nach dieser Definition existiert Shadow IT bereits seitdem engagierte Mitarbeiter:innen versuchen, geschäftliche Anforderungen mit Anwendungen außerhalb der Kontrolle der IT zu lösen.

Das ursprünglich 1987 veröffentlichte Microsoft Excel hat sich über die Jahre etabliert und ist heute vermutlich die älteste – und gleichzeitig weiterhin relevante – Schattenanwendung. Obwohl Excel selbst eine verwaltete Anwendung ist, wird es häufig genutzt, um zusätzliche Anwendungen zu erstellen (auch als Endbenutzer-Computing- oder EUC-Anwendungen bezeichnet), die innerhalb hochkritischer Unternehmensprozesse eingesetzt werden.
Schatten-IT-Risiko
Schatten-IT birgt für Unternehmen das Risiko mangelnder Transparenz sowie unzureichender Sicherheits- und Kontrollmechanismen. Sie gefährdet die Geschäftskontinuität und die Genauigkeit der Berichterstattung und kann Unternehmen erheblichen Risiken im Hinblick auf regulatorische Verstöße aussetzen. Zu den Szenarien mit potenziell weitreichenden Auswirkungen auf Reputation und Finanzen gehören:

Streng vertrauliche personenbezogene Daten, die an ungesicherte E-Mail-Postfächer gesendet werden

Vertrauliche Daten, die auf kostenlosen Cloud-Speicherkonten gespeichert sind

Fehler in Investitions-Spreadsheets, die zu erheblichen Verlusten führen
Aufsichtsbehörden und Prüfungsteams werden sich dieser Anwendungen zunehmend bewusst und fordern deren Erfassung und Kontrolle. Erfahren Sie, wie das Risiko durch Schatten-IT in der heutigen Arbeitswelt weiter zunimmt.
Schatten-IT und Endbenutzer-Computing
EUC-Anwendungen oder -Systeme ermöglichen es Nicht-Programmierer:innen, funktionsfähige Anwendungen zu erstellen. EUC kann im Wesentlichen als Teilbereich der Schatten-IT betrachtet werden. Da EUCs unternehmensweit eingesetzt werden, ist es besonders schwierig, spreadsheet-basierte Anwendungen durch manuelle Prozesse zu identifizieren und zu kontrollieren.
Das bekannte IT-Universum besteht aus unternehmens- und geschäftsbereichsspezifischen Anwendungen, deren Nutzung unternehmensweit vorab genehmigt wurde. Diese Anwendungen verfügen über etablierte Kontrollmechanismen und folgen klar definierten Entwicklungsprozessen zur Verwaltung von Updates und Bereitstellungen.

Das Schatten-IT-Universum besteht hingegen aus unbekannten Spreadsheets und Datenbanken, die von Endbenutzer:innen selbst erstellt und manuell gepflegt werden. Diese werden außerhalb der Unternehmensrichtlinien betrieben, ohne ausreichende Kontrollen oder Aufsicht durch IT- oder Risikomanagement-Teams.
„Schatten-EUCs“ bergen besonders hohe Risiken, da sie keiner formalen Verwaltung unterliegen und häufig in geschäftskritischen Prozessen eingesetzt werden. Diese Risiken nehmen weiter zu, da die rasante digitale Transformation und die verstärkte Remote-Arbeit zusätzliche Herausforderungen mit sich bringen.

Gleichgewicht
Ein ausschließlicher Fokus auf Risiken reicht jedoch nicht aus, um das Gesamtbild zu verstehen. Schatten-IT ist nicht grundsätzlich negativ und kann ein starker Innovationstreiber innerhalb eines Unternehmens sein, indem sie Endbenutzer:innen ermöglicht, schnell, effizient und oft kostengünstig eigene Geschäftslösungen zu entwickeln.
Beispielsweise kann Excel genutzt werden, um eine kundenorientierte Anwendung zu erstellen, die dynamische Einblicke in verschiedene Investitionsszenarien bietet. Mit einer solchen Anwendung können Nutzer:innen ihre bevorzugten Optionen einfach analysieren, vergleichen und festlegen.
Große Unternehmenssysteme können mit der Flexibilität und Echtzeitfähigkeit dieser Anwendung selten, wenn überhaupt, mithalten. Anstatt Nutzer:innen einzuschränken, ermöglichen sie – innerhalb eines geeigneten Kontrollrahmens – Innovationen, die Unternehmen helfen, zu wachsen und sich an veränderte Anforderungen anzupassen.
Im ungünstigsten Fall bringt Schatten-IT Risiken und Unsicherheiten für Unternehmen mit sich. Im besten Fall ermöglicht sie durch hohe Agilität entscheidende geschäftliche Fortschritte. Der Schlüssel liegt darin, beide Aspekte in Einklang zu bringen, indem Risiken kontrolliert und gleichzeitig Potenziale genutzt werden.


Oberflächlich
Obwohl es zahlreiche Lösungen zur Erkennung von Schatten-IT gibt, ist das Angebot für benutzergenerierte EUCs wie Excel-Spreadsheets, Access-Datenbanken, R- oder Python-Skripte begrenzt. Eine erste Maßnahme zur Bewältigung von Schatten-IT besteht darin, das Unternehmen zu analysieren und mithilfe entsprechender Tools Schattenanwendungen zu identifizieren. Für EUCs ist dieser Ansatz jedoch oft nur oberflächlich und erfordert eine deutlich tiefere, strukturierte Herangehensweise.



