:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/58/93/5893a71aa052ecf6627e61677baae7ba/0111437393.jpeg "Das rasant zunehmende Entwicklungstempo und die zunehmenden Risiken unterstreichen die Notwendigkeit für CISOs, sich mit DevSecOps zu befassen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/27/4e270de1acbf69555c6f8a44762de945/0111260221.jpeg "„Zabbix“ ist ein Open-Source-tool für das Monitoring von IT, egal ob diese sich im eigenen Rechenzentrum und in der Cloud. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3f/b1/3fb157d253e806b0b0c38112c2a0f4af/0111495434.jpeg "CockroachDB Dedicated ist jetzt bei Microsoft Azure und damit bei den drei großen Cloud-Anbietern verfügbar. (Bild: Cockroach Labs)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/d5/c4d5f080ecab3d2f47e56105ea3de667/0111155618.jpeg "Unabhängig von der Debatte um das GPL-SaaS-Schlupfloch sollten Software-Anbieter die Lizenzen von OSS-Komponenten genau im Blick behalten. (Bild: <a href=https://pixabay.com/users/prettysleepy-2973588/>Amy</a>)")
:quality(80)/p7i.vogel.de/wcms/c4/34/c43470f304961a9a4bbd656c663c03ea/0111545788.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/78/f4/78f40b9b4101d4d69308cd0d67db1ff0/0110956704.jpeg "Hobby-Entwickler? Von wegen! Open-Source-User sind meist IT-Experten aus, die Software professionell nutzen. (Bild: A.B./peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/f6/cef6df5753a9b7f094deae13f2886740/0111581858.jpeg "Software zur Automatisierung von Aufgaben, die auf Basis von Low-Code entwickelt wurde, kann schnell in Betrieb genommen werden. Etwaige Anpassungen sind auch im Anschluss noch möglich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/b7/b9b77f53b197fc0fe1f8d288e40e4093/0111181006.jpeg "Das Ergebnis einer einzelnen Anweisung – nicht einmal schlecht. (Bild: Lang)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/3f/9c/3f9cf4dfd209864515495e8e95c93d4f/0111156776.jpeg "Je nach Editor oder IDE kann die Code Completion recht mächtig sein. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Mit Low-Code-Plattformen gegen unautorisierte Anwendungen Wie Low-Code-Anwendungen die Schatten-IT verdrängen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Fachangestellte nutzen zunehmend nicht autorisierte Anwendungen. Diese Schatten-IT erhöht das Unternehmensrisiko und gefährdet die IT-Sicherheit. Abhängig vom Schatten-IT-Typ und der IT-Strategie können Low-Code-Plattformen entweder eine Lösung oder ein Problem werden.
Schatten-IT bezieht sich auf IT-Anwendungen und -Systeme, die von Mitarbeiterinnen und Mitarbeitern ohne Zustimmung oder Wissen der IT-Abteilung eingesetzt werden. Solche Anwendungen lassen sich in der Regel einfach eigenständig und schnell bereitgestellt werden, ohne dass die IT-Abteilung Ressourcen freigibt und eingreifen kann.
Oft werden sie in den Fachabteilungen deshalb als Alternative zu den offiziell vom Unternehmen bereitgestellten Systemen genutzt. Schatten-IT-Anwendungen können jedoch die IT-Sicherheit und die Compliance-Richtlinien des Unternehmens gefährden.
Gleichzeitig können sie zu einer Zersplitterung der IT-Systeme führen und somit die Integration und Zusammenarbeit erschweren. Die Kosten zur Beseitigung der Schatten-IT machen laut Gartner und anderen Analysten für größere Unternehmen bis zu 50 Prozent des IT-Budgets aus.
Typen von Schatten-IT-Anwendungen
Insbesondere in größeren, aber auch in mittleren Unternehmen ist der Bedarf an relativ kleinen Anwendungen wesentlich höher, als die IT-Abteilung mit eigenen Ressourcen bereitstellen kann. Der Rückstand der zu entwickelnden Lösungen kann je nach Größe eines Unternehmens mehrere Jahre betragen.
Laut BITKOM fehlen 137.000 IT-Fachkräfte in Deutschland. Die Planung und Budgetgenehmigungen können mehrere Monate in Anspruch nehmen, ohne dass Erfolg am Ende sicher ist. Dies führt zu vielen Typen von Anwendungen, die am offiziellen Genehmigungsprozess vorbei entwickelt oder verwendet werden:
- Speichersysteme: Angestellte nutzen oft Cloud-Speicher-Dienste wie Dropbox oder Google Drive, um Dateien zu speichern und freizugeben. Dabei geraten insbesondere Zugriffsrechte und Compliance-Richtlinien in Vergessenheit. Der Kontrollverlust der IT-Abteilung über die Unternehmensdaten ist vorprogrammiert. Insbesondere beim Ausscheiden der Mitarbeiter können wichtige Daten dem Unternehmen verloren gehen.
- Excel/Access-Lösungen: Excel und Access sind zwei häufige Anwendungen, die von Fachkräften zur Erstellung von Schatten-IT-Anwendungen genutzt werden. Zum Beispiel können Mitarbeiter komplexe Tabellenkalkulationen in Excel erstellen, die Daten aus verschiedenen Quellen sammeln und analysieren. Ähnlich lassen sich Datenbankanwendungen mit Microsoft Access erstellen, um Informationen zu speichern und abzurufen.
- Software-as-a-Service-Lösungen: Fachabteilungen können fertige Applikationen kaufen und diese bei Bedarf anpassen lassen. Teilweise werden sogar Schnittstellen zu internen Systemen der Unternehmen geschaffen, ohne dies mit der IT-Abteilungen abgestimmt zu haben. In diese Kategorie fallen ebenfalls Applikationen, die auf Low-Code-Plattformen entwickelt werden, ohne die Einführung durch IT-Abteilungen begleiten zu lassen.
- Mobile Anwendungen: Die Endnutzer sind mittlerweile gewöhnt, vieles über das eigene Smartphone zu erledigen. An der IT-Abteilung vorbei entwickelte, mobilen Anwendungen können sogar unternehmenskritische Daten an Dritte weitergeben, ohne dass dies rechtzeitig entdeckt wird.
- Datenanalyse-Tools: Fachabteilungen generieren teilweise große Datenmengen mit einem entsprechenden Wert dahinter. Die Benutzung von Cloud-basierten Lösungen zur Auswertung dieser Daten oder die Nutzung zum Training einer Künstlichen Intelligenz (KI) kann daher sehr verlockend sein. Durch die Missachtung von Compliance-Regeln sowie Datenschutzverordnungen können dem Unternehmen hohe Kosten und Reputationsrisiken mit einhergehen.
Es ist wichtig zu beachten, dass Kolleginnen und Kollegen die Schatten-IT-Anwendungen nicht ausschließlich absichtlich oder bösartig verwenden. Oftmals geschieht dies aus praktischen Gründen, wenn sie die von der IT-Abteilung bereitgestellten Tools als unzureichend empfinden. Jedoch birgt die Verwendung von Schatten-IT auch gewisse Risiken, wie etwa Verstöße gegen Datenschutzbestimmungen oder IT-Sicherheitsprobleme.
Low-Code-Ansatz
Meistens wird unter dem Begriff Low-Code die sogenannten Low-Code-Development-Plattformen (LCDPs) verstanden, die nach dem Prinzip Drag-and-Drop-and-Configure komplette Geschäftsanwendungen entstehen lassen. Allerdings ist Low-Code ein Ansatz der Softwareentwicklung und keine Technologie.
Robotic Process Automation, Webseiten-Designer und viele andere Tools unterstützen den Low-Code-Ansatz. In LCDPs werden alle Anwendungen und die Beziehungen zueinander sichtbar. In den ausgereiften Plattformen lassen sich oft sowohl das User Interface (UI) als auch andere Teile der Anwendungen (wie zum Beispiel Datenbanken, Prozesse oder Schnittstellen) modellieren.
Idealerweise werden auch alle diese Teile so abstrahiert, dass diese in anderen Applikationen wiederverwendet werden können. Somit müssen standardisierte User-Führungen (Corporate Design), gängige Schnittstellen im Unternehmen und Datenquellen nur einmalig entwickelt bzw. bereitgestellt werden. Selbst Standardprozesse wie das Vier-Augen-Prinzip oder andere Freigabe-Typen können leicht verbreitet und später, wenn nötig, nur einmalig angepasst werden.
Aufdeckung von Schatten-IT-Anwendungen
Um Schatten-IT-Anwendungen aufzudecken, können generell zwei Ansätze verfolgt werden. Der eine ist Top-Down, also das Ergreifen aktiver Maßnahmen durch die IT-Abteilung, um die unautorisierten Anwendungen aufzudecken:
- Mitarbeiterbefragungen: Um herauszufinden, welche Anwendungen von Mitarbeitern genutzt werden, können Unternehmen Umfragen durchführen. Dabei werden Mitarbeiter befragt, welche Anwendungen sie für ihre Arbeit verwenden und welche Verbesserungswünsche bei den offiziellen IT-Systemen haben.
- Analyse von Netzwerkdaten: Unternehmen können Netzwerkdaten analysieren, um herauszufinden, welche Anwendungen auf den Computern der Mitarbeiter installiert sind und welche Daten von ihnen übertragen werden.
- Überprüfung von Finanzdaten: Unternehmen können Finanzdaten analysieren, um festzustellen, ob Mitarbeiter für IT-Tools oder -Dienste bezahlen, die nicht von der IT-Abteilung genehmigt wurden.
Der andere Ansatz ist Bottom-Up. Damit schafft die Unternehmensführung Anreize für die Fachabteilungen, selbst auf IT-Abteilungen zuzugehen. Dafür soll man auf die Kernursache der Entstehung der Schatten-IT genauer hinschauen. Dies ist allzu oft das fehlende Vertrauen zwischen der Fach- und IT-Abteilungen.
Die Fachabteilungen glauben oft, dass ihre Bedürfnisse durch IT-Abteilungen wenig geschätzt werden. Sie fürchten, dass mit der IT alles wesentlich langsamer, bürokratischer und teurer wird. Auf der anderen Seite sieht die IT die Bedarfe aller Fachabteilungen und muss sie aufgrund der begrenzten Ressourcen priorisieren. Schließlich kann ein Euro nur einmalig ausgegeben werden und der Return of Investment (ROI) ist bei einigen Initiativen nicht gegeben.
Der technologische Fortschritt durch Low-Code trägt massiv dazu bei, dass Fach- und IT-Abteilungen agiler und enger zusammenarbeiten. Durch die engere Zusammenarbeit lernen die Abteilungen die jeweiligen Bedürfnisse besser kennen und erarbeiten eine gemeinsame Sprache sowie ein Verständnis für die Fachprobleme.
Das wichtigste Element, um sowohl den Top-Down- als auch den Bottom-Up-Ansatz richtig zu begleiten, ist ein sogenanntes Center of Excellence (CoE). Im CoE werden verschiedene Ansichten zusammengeführt und die Kommunikation zwischen IT- und Fachabteilungen gefördert. Zu den Aufgaben der CoE gehören unter anderem folgende Tätigkeiten:
- Die Fach- und IT-Abteilungen schulen, um auf die Chancen, aber auch auf die Risiken der Low-Code-Entwicklung aufmerksam zu machen.
- Mittels einer Score Card Entscheidungen treffen, welche Anwendungen weiterhin in der Fachabteilungen mit Low-Code entwickelt und betreut werden können. Anwendungen können mit dem CoE gemeinsam entstehen und andere müssen eventuell durch die IT-Abteilung mit anderen Methoden entwickelt werden.
- Die Wiederverwendbarkeit der einzelnen Teile der Anwendungen fördern, sodass möglichst wenig mehrfach entwickelt wird um im Sinne der Nachhaltigkeit Redundanzen zu vermieden.
- Fördern der Kommunikation zwischen Fach- und IT-Abteilungen, aber auch untereinander, um die einfachsten, günstigsten und wertvollsten Anwendungen entstehen zu lassen.
Fazit
Schatten-IT hilft kurzfristig dabei, die Probleme der Fachabteilungen zu lösen. Langfristig können diese Lösungen zu erheblichen Herausforderungen für das gesamte Unternehmen führen. Durch Low-Code in Verbindung mit der richtigen Governance können diese konsequent angegangen werden. Die Einführung des Low-Code Center of Excellence kann die Kernursachen der Schatten-IT nachhaltig lösen.
* Alexey Shmelkin ist Managing Consultant und seit 2022 bei adesso tätig. Er betreibt einen YouTube-Kanal unter dem Namen „Low-Code Expert“. Er unterstützt diverse Kunden bei der Auswahl von Low-Code-Plattformen, der Implementierung eines Citizen Developer Framework und der Delivery von Low-Code-Projekten.
(ID:49329823)
:quality(80)/images.vogel.de/vogelonline/bdb/1935900/1935973/original.jpg "Angestellte meinen, mit kleinen Helferlein die Ketten ihrer Arbeit zu sprengen, stellen ihre Arbeitgeber damit allerdings vor Probleme. (Schäferle)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927200/1927232/original.jpg "Wer Fachangestellte in die Digitalisierungsstrategie mit einbeziehen möchte, sollte sich über das Wie genau Gedanken machen. (sigmund)")