Wir müssen reden.
Dein Team, unser Team, fast jedes Team hat das eine oder andere kleine schmutzige Geheimnis und es nennt sich – Shadow IT.? Ja, richtig gehört und gemeint sind damit all diese wunderbaren Helferlein in Form von SaaS-Lösungen, Freeware oder Standard Apps, die uns und unseren Kolleg:innen den Arbeitsalltag erleichtern.
Was ist Shadow IT
Man kann den Begriff Shadow IT aber auch anders erklären, nämlich als all jene Softwarelösungen, die sich ohne jede Kontrolle durch das Unternehmen, unter den Mitarbeiter:innen verbreiten. Das ist keineswegs als Vorwurf zu verstehen, die meisten möchten einfach möglichst produktiv arbeiten und wenn ein Unternehmen die dazu notwendigen Tools (noch) nicht anbietet, werden Lösungen gesucht, um dieses Defizit auszugleichen. Lange Integrationszeiten durch die IT-Abteilung oder Unverständnis für die bevorzugte Arbeitsweise einzelner Teammitglieder können zwei Gründe sein, weshalb sich diese Personen nach anderen Wegen umsehen, um die eigene Produktivität nicht sinken zu lassen.
COVID-19 und die damit einhergehende Flexibilisierung der Arbeitszeiten sowie die flächendeckende Einführung von Home Office, taten ihr Übriges zum Vormarsch der Shadow IT. Nicht selten wird bei der Arbeit Zuhause der weniger eingeschränkte private Rechner bevorzugt, wenn der Dienstlaptop nicht eh schon vom Arbeitgeber möglichst barrierefrei übergeben wurde. Unter solchen Umständen, denen wir nur das Beste im Sinne der Produktivität unterstellen wollen, kann schnell der Überblick über die im Unternehmen verwendeten Softwarelösungen verloren gehen.
5 Probleme, die Shadow IT verursacht
Aber wo ist dann das Problem? Schließlich haben unsere Teammates nur das Beste im Sinn und arbeiten mit den Apps, die sie bevorzugen, schneller und besser.
Kontrollverlust
Ein Kernproblem haben wir bereits angesprochen: den Kontrollverlust. Vom Start-up bis zur großen Enterprise Company kann die Anzahl der genutzten SaaS-Lösungen schnell bis in die Tausende anwachsen. Wer arbeitet wann mit was und welche Daten werden dafür benötigt?
Datenschutz
Die Fragen nach den Daten ist zentral. Das fängt bei unseren eigenen firmeninternen Daten an, geht über hinterlegte Kreditkartendaten weiter, bis hin zu sensiblen Kundendaten. Egal ob paid oder kostenlose Testversion, bei der Nutzung von SaaS wandern unsere Daten zwangsläufig ab und im schlimmsten Fall müssen wir dafür, im Sinne des Datenschutzes, Rechenschaft ablegen. Und wie wohl ist dir bei dem Gedanken, dass die Firmenkreditkarte bei zig Anbietern von fragwürdiger Reputation hinterlegt ist?
Datenverlust und Angriffsmöglichkeiten
Zwei weitere Probleme sind der Verlust von Daten und eine breitere Angriffsfläche auf eben diese. Eine harmlose Variante, Daten zu verlieren, wären verbummelte Zugriffsdaten, welche sich recht schnell wiederherstellen lassen sollten. Aber was, wenn Mitarbeiter:innen wichtige Daten bei einem externen Anbieter gespeichert haben, der vielleicht gehackt wurde, oder dessen Server, aus welchen Gründen auch immer, nicht mehr erreichbar sind? Durch Brand, Wasserschaden, ein angenagtes Kabel oder gar Insolvenz? Wir und unsere Kund:innen müssen den Services, die wir als Unternehmen nutzen, vertrauen können.
Kosten
Nicht selten kommt es vor, dass ein und dieselbe SaaS von verschiedenen Abteilungen genutzt und bezahlt wird. Dabei wäre es oft günstiger, Accounts zu bündeln und Mengenrabatte in Anspruch zu nehmen. Außerdem sollte sichergestellt sein, dass ungenutzte Accounts gekündigt und nicht blind weitergezahlt werden, was schnell passiert, wenn nur einzelne Mitarbeiter:innen auf bestimmte Apps Zugriff haben oder hatten.
Ineffizienz
Damit sprechen wir auch den vorerst letzten Punkt an – Ineffizienz. Nicht nur ist es ineffizient, für ein und denselben Service doppelt zu bezahlen, es ist auch ineffizient, im selben Unternehmen für die gleiche Aufgabe unterschiedliche Dienste zu nutzen. Zum einen verbrennt ihr dadurch unnötig Geld, zum anderen kann es durch mangelnde Kompatibilität zwischen den Diensten zu Verzögerungen bei der Weiterverarbeitung der Daten kommen. Was der Produktivität diametral entgegensteht.

Der Weg raus aus der Shadow IT Falle
Seien wir ehrlich, Shadow IT ist gekommen, um zu bleiben. Es gibt keinen vernünftigen Weg, sie vollständig zu vermeiden, ohne unseren Kolleg:innen den Arbeitsalltag unnötig zu erschweren. Das Blocken sämtlicher SaaS-Lösungen wäre ohnehin ein Fass ohne Boden. Also sollten wir lernen, ihre Nutzung wenigstens in angemessene Bahnen zu lenken.
Checkup – Was wird gebraucht?
Als Erstes solltet ihr überprüfen, welche Apps und SaaS in eurem Unternehmen gerade gebraucht werden. Das beginnt z. B. beim kostenlosen Facebook Business Manager und endet bei mächtigen CRM Tools wie Hubspot. Eine möglichst vollständige Übersicht zu haben, hilft euch dann bei Schritt zwei.
Services konsolidieren
Schafft Standardlösungen für jedes eurer Teams. Nicht jedes Team braucht jedes Tool, aber die meisten Mitarbeiter:innen derselben Abteilung brauchen oft auch Zugriff auf dieselben Programme. Natürlich braucht ihr auch Raum für abteilungsübergreifende Zusammenarbeit, hierfür gilt es aber individuelle Lösungen für euer Unternehmen zu finden. Schafft Programmpakete für eure Teams und führt regelmäßige Revisionen durch, um nicht mehr benötigte Tools auszusortieren oder neue aufzunehmen. Firmen- und Kundendaten sollten dabei immer die Hauptrolle spielen und möglichst sicher untergebracht werden – was, nebenbei gesagt, die eigentliche Aufgabe der Mädels und Jungs eurer IT-Abteilung sein sollte und nicht die Druckerpatrone zu wechseln.?
Automatisierung
Je mehr Wege ihr findet, die täglichen IT-Sorgen eurer Mitarbeiter:innen zu automatisieren, desto zufriedener sind alle – der/die zuständige ITler und eure Teams. Das kann schon damit beginnen, dass ihr eure Passwörter über einen zentralen Passwortmanager verwaltet, der allen Berechtigten die Zugänge gewährt, die er oder sie für die Arbeit benötigt. Ein nächster Schritt kann z. B. ein Slack-Bot sein, der Anfragen wie “Ich brauche Zugang zu Google Analytics” direkt an die zuständige Person weiterleitet. Dieses Konzept lässt sich übrigens beliebig ausbauen: warum nicht eine Anfrage zu einem CRM Zugang direkt mit der Einrichtung eines Nutzer:innenkontos, der Passwortvergabe und der Registrierung in einem zentralen Nutzermanagement verbinden?
Kommunikation
Als letzten und wichtigsten Punkt möchten wir Folgendes hervorheben: Kommunikation ist das A und O. Schult eure Teams regelmäßig über die Gefahren und Probleme, die Shadow IT verursacht, und wie eure Policy in Bezug auf vorhandene und neue Lösungen aussieht. Schafft Verständnis für eure Sicherheitsbedenken und geht gleichzeitig auf die Bedürfnisse eurer Leute ein. Jede und jeder hat ein natürliches Interesse an Sicherheit und ebenso ist es im Sinne aller, die Produktivität zu maximieren.
Am Ende bleibt nur noch zu sagen, dass wir mit Home Office und “bring your own device” lernen müssen, mit individuellen IT-Lösungen umzugehen. Als Unternehmen bleibt uns nur nützliche und sichere Applikationen in unsere Arbeitsabläufe zu integrieren und Standards zu schaffen. Wenn wir diesen Weg konsequent von Anfang verfolgen, schlagen wir gleich zwei Fliegen mit einer Klappe: 1. Unsere Teams arbeiten immer effizienter und produktiver zusammen, mit Software, die die meisten für nützlich halten und 2. machen wir es zwielichtigen und unsicheren Services schwer, durch unsere Nicht-Finanzierung Fuß zu fassen.
Mit diesen Worten, auf eine gute Zusammenarbeit!