5 Tipps für Durchblick bei der Schatten-IT

Die frühere Abhängigkeit von der zentralen IT eines Unternehmens besteht beim Cloud Computing nicht mehr. Mitarbeitende können sich nun in Eigenregie in der Cloud bedienen und Anwendungen fast grenzenlos bestellen und ausprobieren, frei nach dem Motto: „Wenn die IT nicht will, mach′ ich es eben selbst“.

Die dadurch entstehende Schatten-IT ganz zu stoppen, ist nicht möglich. Denn wenn die IT-Abteilung ausschliesslich zu restriktiven Massnahmen greift und auf Überzeugungsarbeit verzichtet, beschädigt sie ihre Reputation. Auch würden innovative Lösungen und kürzere Entwicklungszyklen stark gebremst.

Folgende fünf Tipps zeigen aber auf, wie die IT-Abteilung die Schatten-IT in der Cloud gut begleiten und beim Thema Cloud Computing eine Vorreiterrolle einnehmen kann.

1 . Die richtige Strategie

Um der Schatten-IT in der Cloud wirksam begegnen zu können, bedarf es einer zeitgemässen IT-Strategie, die die Entwicklung der IT-Organisation, der Technologien, der IT-Prozesse und der digitalen Kultur festschreibt, um langfristige Unternehmensziele zu erreichen. Das Thema Cloud sollte hierbei eine zentrale Rolle einnehmen. Darin müssen auch die Ziele definiert sein. In dieser Phase empfiehlt es sich ein Mixed-Skills-Team mit Mitarbeitenden aus verschiedenen Abteilungen, wie zum Bespiel Geschäftsleitung, Entwicklung, IT-Security und Governance- und Compliance-Verantwortlichen, zusammenzustellen. So werden alle wichtigen Aspekte bereits in der Planung berücksichtigt. Die richtige Strategie hilft später dabei, Entscheidungen über neue IT-Anwendungen zu treffen und den Fachabteilungen auch verständlich zu begründen.

 

2. Eine Cloud-Governance

Neben der Strategie kommt auch der Cloud Governance, also der effizienten, compliancekonformen und regulatorisch adäquaten Nutzung von Cloud Services, eine nicht unerhebliche Beachtung zu. Zu sehr verlassen Unternehmen sich auf bereits bestehende Governance-Prozesse für traditionelle IT-Umgebungen. Aber gerade im Cloud Computing ist Governance ein wichtiges Thema, um Risiken zu minimieren. Dies betrifft vor allem die Kosten, den Betrieb und die Security, aber auch die Organisation und den Cloud Service als solches. Auch für die Cloud müssen Richtlinien festgelegt werden, die erklären, wie diese Services im Unternehmen verwendet werden können, dürfen und müssen.

Zusätzlich ist auf jeden Fall durch gezieltes Monitoring und technisches Policy Enforcing die Kontrolle über die Umgebung zu behalten und die Integrität der Sicherheit zu wahren. Hier bieten sich automatische Compliance-Tools an, die die Richtlinien durchsetzen oder überwachen können. Viele dieser Funktionen und Tools stellt aber der Cloud Provider zur Verfügung.

Ganz wichtig ist es, dass die Cloud Governance gegenüber der Fachabteilung nicht als «Blocker-Argument» gegen neue Cloud-Anwendungen herangezogen wird. Es sollte vielmehr vermittelt werden, dass die Richtlinien nicht starr in Stein gemeisselt sind, sondern in Einzelfällen flexibel erweiterbar bleiben und jederzeit den Bedürfnissen der jeweiligen Fachabteilung angepasst werden können.

 

3. Das nötige Know-how

IT-Abteilungen bieten heutzutage weit mehr als den zuverlässigen Betrieb der IT-Systeme. Um Schatten-IT vorzubeugen oder sie dann im Endeffekt gut integrieren zu können, sollten sie in puncto Cloud-Know-how den Fachbereichen allerdings immer einen Schritt voraus sein. Idealerweise sieht die zentrale IT sich als Cloud-Kompetenzzentrum, kann also die Fachabteilungen zu diesen Themen auf Augenhöhe beraten. Allerdings muss sich die IT-Abteilung bewusst sein, dass oftmals weder Management noch Fachabteilung ihre technische Sprache versteht oder technischen Argumenten gegenüber offen ist. In der Kommunikation sollte die IT also versuchen, ihre Sprache den Abteilungen anzupassen und Argumente nachvollziehbar zu formulieren. Auf der anderen Seite können die Fachabteilungen in diesem Dialog thematisieren, warum die vorhandenen IT-Lösungen ihren Anforderungen nicht entsprechen und welche Funktionen zusätzlich benötigt werden.

Gelingt es der IT-Abteilung, ihre Wahrnehmung im Unternehmen auf diese Weise vom Cloud-Blockierer zum kreativen Innovationspartner für das Business zu wandeln, der die Bedürfnisse der Fachabteilungen versteht und sie unterstützt, sind schon viele Probleme mit der Schatten-IT gelöst.

 

4. Die richtige Integration

Schatten-IT ist in den meisten Unternehmen inzwischen so verbreitet, dass sich den IT-Abteilungen nicht mehr die Frage stellt, wie sie am besten gegen den Wildwuchs vorgehen. Es geht vielmehr darum, die verschiedenen Cloud-Anwendungen in die Unternehmens-IT zu integrieren, vor allem aber sicherzustellen, dass die Daten in der Cloud angemessen gesichert und geschützt sind.

Folgende Themen sind in diesem Zusammenhang zu beachten:

• Identity und Access Management
• Auditing und Monitoring
• Networking und Konnektivität
• Governance und Security

 

Access Management und Identity können als eine Art Klammer über die verschiedenen Cloud Services hinweg definiert werden, damit Vertraulichkeit, Datenintegrität und Compliance sichergestellt werden. Das Management umfasst sämtliche Aspekte rund um die Bereitstellung eines Cloud Services. Das schliesst Provider-Management, Compliance- und Sicherheitsanforderungen ebenso ein wie Backup- und Continuity-Aspekte. Identity bezieht sich auf die Akteure, deren Accounts und Autorisierung zum Cloud-Dienst. Sind es nur interne Mitarbeitende oder sollen auch externe Partner Zugriff erhalten? Je nachdem sind andere Parameter im Spiel, denn die Anforderungen an Kunden- oder Partneridentitäten sind häufig anders als bei Mitarbeitenden.

Ausserdem muss geklärt werden, welche Daten aus welchen Quellen über den Cloud Service verarbeitet werden, dazu braucht es Auditing und Monitoring. Durch die Beauftragung eines Cloud Providers delegiert ein Unternehmen die meisten der Protokoll- und Monitoring-Aufgaben. Diese müssen aber auch überwacht werden. Schadensersatzansprüche können nur geltend gemacht werden, wenn Ausfälle nachgewiesen werden.

Die Fragen nach der Konnektivität an andere Systeme muss ebenfalls geklärt werden, denn auf die Cloud Services kann von unterschiedlichen Geräten an unterschiedlichen Orten aus zugegriffen werden. Eine beliebte Variante sind zum Beispiel Remote-Access-Lösungen per Virtuellem Privaten Netzwerk (VPN). Für die Konnektivität sind auch APIs entscheidend. Sie müssen dokumentiert, weiterentwickelt, verwaltet und gesichert werden. Dies gelingt mit einer API-Management-Lösung, die aus drei Hauptkomponenten besteht: der Management-, Gateway- und Engagement-Komponente. Zum Bereich Access gehört auch die Prüfung des Netzwerkzugangs.

Die oben bereits ausführlich behandelte Cloud Governance umfasst nicht nur die Steuerung von Kosten, Betrieb und Sicherheit, sondern auch organisatorische Aspekte und Verantwortlichkeiten. Das dafür zuständige Team sollte von Beginn an in alle Cloud-Projekte eingebunden werden.

Nicht zuletzt muss natürlich die Sicherheit der Cloud Services gewährleistet sein. Um Vertraulichkeit, Datenintegrität sowie die Compliance sicherzustellen, braucht es die bereits erwähnten Identity- und Access-Prinzipien. Ein weiteres essenzielles Werkzeug ist die Datenkategorisierung, damit klar ist, welche Daten in der Cloud verarbeitet werden sollen und wie diese der Compliance unterliegen. Bestimmte Daten, wie beispielsweise Personendaten, unterliegen den strengen Datenschutzregeln der DSGVO. Sie müssen entsprechend geschützt werden. Neben dem Identity- und Access-Management stellt die Verschlüsselung der Daten den wohl wichtigsten technischen Sicherheitsmechanismus dar. Sie muss durch den Provider gewährleistet sein.

Letztlich ist aber nicht nur die technische Integration, sondern insbesondere auch die Integration der Prozesse relevant. Gelernte und bereits angewandte Prozesse auf Cloud-Anwendungen zu übertragen, sorgt für Akzeptanz und macht sie damit auch weniger fehleranfällig. Zum Beispiel sollte das Anfordern einer Cloud-Umgebung für ein Projekt mit denselben Prozessen und demselben Tooling umsetzbar sein, wie in der Vergangenheit die Bestellung zum Beispiel einer On-Premises VM, einer Virtuellen Maschine, die im eigenen Rechenzentrum betrieben wurde. Wenn für die neuen Cloud-Anwendungen plötzlich auch mehrere neue Herangehensweisen nötig sind, bedeutet das wieder mehr Aufwand für die IT-Abteilung.

 

5. Schlanke Prozesse

Auch das Onboarding von Teams oder Projekten in die Cloud muss mit überschaubaren, sprich schlanken Prozessen möglich sein. Hier ist eine Vereinheitlichung der Prozesse auf organisatorischer Ebene durchaus sinnvoll, da sie die Technologieeinführung beschleunigt und agiles Arbeiten ermöglicht, ohne das Angebot einzuschränken.

Diese Prozesse dürfen die Gedanken und Konzepte der Cloud nicht untergraben, sondern sollten sie noch nachhaltiger stützen.  Ein guter Schachzug ist es zum Bespiel, den internen Abteilungen und Teams über ein Self-Service-Portal Compliance-konforme Cloud-Umgebungen bereitzustellen. Damit bietet die IT-Abteilung den Mitarbeitenden einen Anreiz, genau diese Angebote vorzuziehen, ohne die Nutzung moderner Services einzuschränken. Des Weiteren gibt man technologieaffinen und interessierten Kollegen hier die Chance, selbst zu experimentieren und hat gleichzeitig die Möglichkeit, regulierend einzugreifen. Über einen hohen Automatisierungsgrad können neue Umgebungen auf Knopfdruck bereitgestellt werden. Genau die richtige Balance zwischen Agilität und Kontrolle – und die Kosten bleiben jederzeit transparent.

 

Fazit

Ideal ist es, wenn in einem Unternehmen die zentrale IT-Abteilung den Weg in die Cloud ebnet und ihn so verwaltet, dass Fachabteilungen schnell und rechtskonform ihre gewünschten Lösungen erhalten. Dabei ist es das Ziel, gesteuert und begleitet Cloud-Umgebungen zu schaffen, durch deren Nutzung die Mitarbeitenden in den Fachbereichen ihre Ziele effizient erreichen können und dabei innovative Abläufe im Sinne des gesamten Unternehmens implementieren.

Aber Cloud Computing ist weder für IT-fremde Abteilungen noch für IT-Mitarbeitende trivial und gelingt nur mit einem strukturierten Vorgehen. Branchenspezifische Eigenheiten und die Diversität von Cloud Services unterschiedlicher Anbieter machen das Thema überaus komplex. So kann es durchaus ein sinnvoller Schritt sein, sich bei der Bekämpfung von Schatten-IT von einem herstellerunabhängigen Cloud-Experten beraten und begleiten zu lassen.