Im löblichen Bestreben, ihre Arbeit möglichst effizient zu erledigen, ja gar ihre Produktivität zu steigern, vetrtrauen immer mehr Anwender in Unternehmen auf Onlinewerkzeuge. Sie kommunizieren mit ihren Kollegen über ein Chat-Programm, tauschen Konzepte über die Onlinetextverarbeitung Google Text aus und kollaborieren via Myspace oder ähnliche Community-Tools im Internet.

Einer Untersuchung der Marktforscherin «Pew Internet and American Life Projekt» zufolge laden 42 Prozent der Befragten, die das Internet geschäftlich nutzen, Programme aus dem Web auf den Firmen-PC. 37 Prozent verwenden Instant-Messaging, 27 Prozent tauschen Dateien über externe Webseiten aus und 25 Prozent verbinden ihren Laptop drahtlos, also ausserhalb des Firmen-LAN, mit dem Netz der Netze. Zudem bringen immer mehr Angestellte ihre eigenen Geräte und Gadgets wie Organiser und GByte fassende Memorysticks mit in die Firma. Umgekehrt werden Firmen-Smartphones und -Notebooks auch privat benutzt.

Die Zeiten, da ausschliesslich die IT-Abteilung die Firmeninformatik zur Verfügung stellte, sind definitiv vorbei. Internet-Tools, private Computer und Gadgets sowie Anwendungen, die gratis im Web zum Download bereitstehen, haben einen Reifegrad erlangt, der sie zu einer voll funktionierenden, alternativen IT-Landschaft mutieren lässt. Es entsteht somit eine regelrechte Schatten-IT-Abteilung.

Der natürliche Reflex der Verantwortlichen für die reguläre IT ist es, diese Schatten-IT zu verbieten. Nach Meinung von Experten wie David Smith, leitender Marktforscher der Gartner Group, sorgt dieser «Krieg der IT-Abteilungen» nur für dicke Luft, zu Stillstand und der Blockade jeglichen Fortschritts.

Natürlich stellt die Schatten-IT eine ernstzunehmende Bedrohung für die Sicherheit der regulären IT dar. Anwender bohren -Löcher in die Firmen-Firewall, indem sie unsichere Programme herunterladen. Sie offerieren heikle Unternehmensdaten auf dem Präsentierteller, wenn sie Laptops, Memorysticks und Handhelds herumliegen lassen. Und sie verschieben wichtige Firmeninformationen auf Webseiten, was gegen diver-se Regeln und Gesetze verstösst und die Compliance-Bemühungen zunichte macht. Doch IT-Verantwortliche und CIO sollten mit diesen Gefahren strategisch umgehen und nicht nach drakonischen Massnahmen rufen.

«Es gibt eine einfache goldene Regel», erklärt David Smith: «Verwende nie Security und Compliance als Ausrede, um alternative IT-Installationen zu verbieten. Werden Regeln missachtet, ist es schlauer nach den Ursachen zu forschen».

Ziel muss es vielmehr sein, einen Kompromiss zwischen dem Bedürfnis der Anwender nach Produktivitätssteigerung - meist ist dies der Grund, warum sie überhaupt Schatten-Tools und Gadgets einsetzten - und dem Bedürfnis der Firma nach IT-Sicherheit zu finden. Dabei ist auch viel Psychologie gefragt. CIO müssen zur Einsicht gebracht werden, dass sie nicht mehr die alleinigen Bereitsteller von Informationstechnik sind. Umgekehrt müssen sie sich noch mehr mit den Bedürfnissen der Benutzer auseinandersetzen und Wege finden, wie die Schatten- in die Firmen-IT integriert oder mit dieser kooperieren kann. «Das ist die einzige Methode, um als IT-Abteilung relevant zu bleiben», ist Smith überzeugt. «CIO, welche die Vorteile der Consumer-IT ignorieren und Krieg gegen die Schatten-IT führen, werden als Verhinderer angesehen», so Smith. Dies habe zur Folge, dass die reguläre IT-Abteilung von den Anwendern erst recht ignoriert werde, was wiederum verheerende Auswirkungen auf die IT-Sicherheitslage habe.

Eine der Ursachen, die dazu führen, dass die Schatten-IT so schwer zu managen ist, ist ihr verglichen zur regulären IT grundverschiedener Aufbau. Die Firmeninformatik ist im höchsten Masse strukturiert, mit einer Person oder einer kleinen Gruppe von Spezialisten, welche die Elemente der IT-Umgebung über-wachen. Die Schatten-IT aber kennt keine «Zentralregierung». Bestenfalls existiert eine kaum definierte, äusserst flache Hierarchie. Dadurch lässt sie sich nicht nur schlecht verwalten - sie lässt sich auch kaum verhindern. Es gibt keinen «Kopf», den man abhacken, und keinen zentralen Weg, den man blockieren könnte.

Smith empfiehlt deshalb, die Schatten-IT in die reguläre IT einzubinden und von der Vorstellung Abschied zu nehmen, dass nur klassische Unternehmensinformatik etwas taugt. «Es gibt zahlreiche Web-Tools, welche die Bedürfnisse der User abdecken und dennoch die Firma nicht einmal Geld kosten. CIO müssen diesbezüglich eine gewisse Offenheit an den Tag legen», rät er.

Die Folge für die Firmen-IT ist dabei klar: sie wird unübersichtlicher und unaufgeräumter. Aber in einem gewissen Sinn ist dies der Preis, der bezahlt werden muss, um die von meist jungen, aufgeschlossenen und technisch versierten Anwendern kommenden Innovationen nicht zu blockieren. «Chaos ist in dieser Hinsicht allemal besser als Stillstand», ist Smith überzeugt.

Weitere Informationen

Um es vorweg zu nehmen: Allumfassende Werkzeuge, die Online-Applikationen, Gadgets und alternative Anwendungen verwalten können, gibt es keine. Doch es gibt Hilfsmittel, mit denen eine Balance zwischen Firmeninformatik und Schatten-IT gefunden werden kann. Zunächst müssen IT-Veranwortliche genau wissen, wie die Anwender Informationen verwenden und wie sie mit Daten umgehen. Hierbei helfen Tools zur Netzwerk-Überwachung und zum Inhalts-Monitoring mit der Möglichkeit, den Datenabfluss zu unterbinden.

Bei der Suche nach dem richtigen Tool stellt sich das Problem, dass verschiedene Anwender unterschiedliche Typen von Daten auf verschiedene Art und Weise verwenden. Die Marktforscherin Forrester Research hat daher die Daten in drei Grobkategorien aufgeteilt und jedem Typus eine Reihe von Tool-Herstellern zugewiesen.

o Transaktions-Inhalte (transactional content): Dabei handelt es sich um Informationen, die von Geschäftspartnern oder von Personen in der eigenen Firma stammen können. Dies sind oft ausgefüllte Formulare, aber auch gescannte Bilder sowie Firmendaten wie etwa Steuer-erklärungen. Diese Art von Informationen sind eng mit dem Arbeitsfluss und Geschäftsprozess der Firma verknüpft und tauchen in den entsprechenden Systemen auf. Laut Forrester eignen sich Tools folgender Hersteller am besten, um diese Art von Daten abzusichern: 170 Systems, Adobe, Captiva, EMC, Filenet, Mobius und Whitehill Technologies.

o Geschäftsinhalte (business content): Hierzu zählt Forrester all die Excel-Tabellen, PDF-Dokumente und Präsentationen, die täglich von Mitarbeitern ausgespuckt werden. Diese Informationen sind über das ganze Unternehmen verteilt und werden in diversen Systemen gespeichert und verwaltet. Es handelt sich dabei auch um jene Daten, die am einfachsten die Firma verlassen können, sei es als E-Mail-Anhang oder auf einem USB-Speicher. Forrester nennt folgende Hersteller, mit deren Tools der Verbleib diese Art von Information am besten überwacht werden kann: Clearstory Systems, Extensis, Hummingbird, MDY, Oracle und Xerox.

o Überzeugungsarbeit leistende Inhalte (persuasive content): Diese Kategorie von Informationen könnte auch mit Propaganda- oder PR-Material bezeichnet werden. Es handelt sich dabei um Inhalte, die für Kunden und die Öffentlichkeit bestimmt sind. Aber auch diese Art der Information muss gemanagt werden. Forrester sieht hier Tools folgender Softwarehersteller als geeignet an: Broadvision, Ektron, Fatwire, Percussion Software und Stellent.