:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Mit Low-Code-Plattformen gegen unautorisierte Anwendungen Wie Low-Code-Anwendungen die Schatten-IT verdrängen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Fachangestellte nutzen zunehmend nicht autorisierte Anwendungen. Diese Schatten-IT erhöht das Unternehmensrisiko und gefährdet die IT-Sicherheit. Abhängig vom Schatten-IT-Typ und der IT-Strategie können Low-Code-Plattformen entweder eine Lösung oder ein Problem werden.
Schatten-IT bezieht sich auf IT-Anwendungen und -Systeme, die von Mitarbeiterinnen und Mitarbeitern ohne Zustimmung oder Wissen der IT-Abteilung eingesetzt werden. Solche Anwendungen lassen sich in der Regel einfach eigenständig und schnell bereitgestellt werden, ohne dass die IT-Abteilung Ressourcen freigibt und eingreifen kann.
Oft werden sie in den Fachabteilungen deshalb als Alternative zu den offiziell vom Unternehmen bereitgestellten Systemen genutzt. Schatten-IT-Anwendungen können jedoch die IT-Sicherheit und die Compliance-Richtlinien des Unternehmens gefährden.
Gleichzeitig können sie zu einer Zersplitterung der IT-Systeme führen und somit die Integration und Zusammenarbeit erschweren. Die Kosten zur Beseitigung der Schatten-IT machen laut Gartner und anderen Analysten für größere Unternehmen bis zu 50 Prozent des IT-Budgets aus.
Typen von Schatten-IT-Anwendungen
Insbesondere in größeren, aber auch in mittleren Unternehmen ist der Bedarf an relativ kleinen Anwendungen wesentlich höher, als die IT-Abteilung mit eigenen Ressourcen bereitstellen kann. Der Rückstand der zu entwickelnden Lösungen kann je nach Größe eines Unternehmens mehrere Jahre betragen.
Laut BITKOM fehlen 137.000 IT-Fachkräfte in Deutschland. Die Planung und Budgetgenehmigungen können mehrere Monate in Anspruch nehmen, ohne dass Erfolg am Ende sicher ist. Dies führt zu vielen Typen von Anwendungen, die am offiziellen Genehmigungsprozess vorbei entwickelt oder verwendet werden:
- Speichersysteme: Angestellte nutzen oft Cloud-Speicher-Dienste wie Dropbox oder Google Drive, um Dateien zu speichern und freizugeben. Dabei geraten insbesondere Zugriffsrechte und Compliance-Richtlinien in Vergessenheit. Der Kontrollverlust der IT-Abteilung über die Unternehmensdaten ist vorprogrammiert. Insbesondere beim Ausscheiden der Mitarbeiter können wichtige Daten dem Unternehmen verloren gehen.
- Excel/Access-Lösungen: Excel und Access sind zwei häufige Anwendungen, die von Fachkräften zur Erstellung von Schatten-IT-Anwendungen genutzt werden. Zum Beispiel können Mitarbeiter komplexe Tabellenkalkulationen in Excel erstellen, die Daten aus verschiedenen Quellen sammeln und analysieren. Ähnlich lassen sich Datenbankanwendungen mit Microsoft Access erstellen, um Informationen zu speichern und abzurufen.
- Software-as-a-Service-Lösungen: Fachabteilungen können fertige Applikationen kaufen und diese bei Bedarf anpassen lassen. Teilweise werden sogar Schnittstellen zu internen Systemen der Unternehmen geschaffen, ohne dies mit der IT-Abteilungen abgestimmt zu haben. In diese Kategorie fallen ebenfalls Applikationen, die auf Low-Code-Plattformen entwickelt werden, ohne die Einführung durch IT-Abteilungen begleiten zu lassen.
- Mobile Anwendungen: Die Endnutzer sind mittlerweile gewöhnt, vieles über das eigene Smartphone zu erledigen. An der IT-Abteilung vorbei entwickelte, mobilen Anwendungen können sogar unternehmenskritische Daten an Dritte weitergeben, ohne dass dies rechtzeitig entdeckt wird.
- Datenanalyse-Tools: Fachabteilungen generieren teilweise große Datenmengen mit einem entsprechenden Wert dahinter. Die Benutzung von Cloud-basierten Lösungen zur Auswertung dieser Daten oder die Nutzung zum Training einer Künstlichen Intelligenz (KI) kann daher sehr verlockend sein. Durch die Missachtung von Compliance-Regeln sowie Datenschutzverordnungen können dem Unternehmen hohe Kosten und Reputationsrisiken mit einhergehen.
Es ist wichtig zu beachten, dass Kolleginnen und Kollegen die Schatten-IT-Anwendungen nicht ausschließlich absichtlich oder bösartig verwenden. Oftmals geschieht dies aus praktischen Gründen, wenn sie die von der IT-Abteilung bereitgestellten Tools als unzureichend empfinden. Jedoch birgt die Verwendung von Schatten-IT auch gewisse Risiken, wie etwa Verstöße gegen Datenschutzbestimmungen oder IT-Sicherheitsprobleme.
Low-Code-Ansatz
Meistens wird unter dem Begriff Low-Code die sogenannten Low-Code-Development-Plattformen (LCDPs) verstanden, die nach dem Prinzip Drag-and-Drop-and-Configure komplette Geschäftsanwendungen entstehen lassen. Allerdings ist Low-Code ein Ansatz der Softwareentwicklung und keine Technologie.
Robotic Process Automation, Webseiten-Designer und viele andere Tools unterstützen den Low-Code-Ansatz. In LCDPs werden alle Anwendungen und die Beziehungen zueinander sichtbar. In den ausgereiften Plattformen lassen sich oft sowohl das User Interface (UI) als auch andere Teile der Anwendungen (wie zum Beispiel Datenbanken, Prozesse oder Schnittstellen) modellieren.
Idealerweise werden auch alle diese Teile so abstrahiert, dass diese in anderen Applikationen wiederverwendet werden können. Somit müssen standardisierte User-Führungen (Corporate Design), gängige Schnittstellen im Unternehmen und Datenquellen nur einmalig entwickelt bzw. bereitgestellt werden. Selbst Standardprozesse wie das Vier-Augen-Prinzip oder andere Freigabe-Typen können leicht verbreitet und später, wenn nötig, nur einmalig angepasst werden.
Aufdeckung von Schatten-IT-Anwendungen
Um Schatten-IT-Anwendungen aufzudecken, können generell zwei Ansätze verfolgt werden. Der eine ist Top-Down, also das Ergreifen aktiver Maßnahmen durch die IT-Abteilung, um die unautorisierten Anwendungen aufzudecken:
- Mitarbeiterbefragungen: Um herauszufinden, welche Anwendungen von Mitarbeitern genutzt werden, können Unternehmen Umfragen durchführen. Dabei werden Mitarbeiter befragt, welche Anwendungen sie für ihre Arbeit verwenden und welche Verbesserungswünsche bei den offiziellen IT-Systemen haben.
- Analyse von Netzwerkdaten: Unternehmen können Netzwerkdaten analysieren, um herauszufinden, welche Anwendungen auf den Computern der Mitarbeiter installiert sind und welche Daten von ihnen übertragen werden.
- Überprüfung von Finanzdaten: Unternehmen können Finanzdaten analysieren, um festzustellen, ob Mitarbeiter für IT-Tools oder -Dienste bezahlen, die nicht von der IT-Abteilung genehmigt wurden.
Der andere Ansatz ist Bottom-Up. Damit schafft die Unternehmensführung Anreize für die Fachabteilungen, selbst auf IT-Abteilungen zuzugehen. Dafür soll man auf die Kernursache der Entstehung der Schatten-IT genauer hinschauen. Dies ist allzu oft das fehlende Vertrauen zwischen der Fach- und IT-Abteilungen.
Die Fachabteilungen glauben oft, dass ihre Bedürfnisse durch IT-Abteilungen wenig geschätzt werden. Sie fürchten, dass mit der IT alles wesentlich langsamer, bürokratischer und teurer wird. Auf der anderen Seite sieht die IT die Bedarfe aller Fachabteilungen und muss sie aufgrund der begrenzten Ressourcen priorisieren. Schließlich kann ein Euro nur einmalig ausgegeben werden und der Return of Investment (ROI) ist bei einigen Initiativen nicht gegeben.
Der technologische Fortschritt durch Low-Code trägt massiv dazu bei, dass Fach- und IT-Abteilungen agiler und enger zusammenarbeiten. Durch die engere Zusammenarbeit lernen die Abteilungen die jeweiligen Bedürfnisse besser kennen und erarbeiten eine gemeinsame Sprache sowie ein Verständnis für die Fachprobleme.
Das wichtigste Element, um sowohl den Top-Down- als auch den Bottom-Up-Ansatz richtig zu begleiten, ist ein sogenanntes Center of Excellence (CoE). Im CoE werden verschiedene Ansichten zusammengeführt und die Kommunikation zwischen IT- und Fachabteilungen gefördert. Zu den Aufgaben der CoE gehören unter anderem folgende Tätigkeiten:
- Die Fach- und IT-Abteilungen schulen, um auf die Chancen, aber auch auf die Risiken der Low-Code-Entwicklung aufmerksam zu machen.
- Mittels einer Score Card Entscheidungen treffen, welche Anwendungen weiterhin in der Fachabteilungen mit Low-Code entwickelt und betreut werden können. Anwendungen können mit dem CoE gemeinsam entstehen und andere müssen eventuell durch die IT-Abteilung mit anderen Methoden entwickelt werden.
- Die Wiederverwendbarkeit der einzelnen Teile der Anwendungen fördern, sodass möglichst wenig mehrfach entwickelt wird um im Sinne der Nachhaltigkeit Redundanzen zu vermieden.
- Fördern der Kommunikation zwischen Fach- und IT-Abteilungen, aber auch untereinander, um die einfachsten, günstigsten und wertvollsten Anwendungen entstehen zu lassen.
Fazit
Schatten-IT hilft kurzfristig dabei, die Probleme der Fachabteilungen zu lösen. Langfristig können diese Lösungen zu erheblichen Herausforderungen für das gesamte Unternehmen führen. Durch Low-Code in Verbindung mit der richtigen Governance können diese konsequent angegangen werden. Die Einführung des Low-Code Center of Excellence kann die Kernursachen der Schatten-IT nachhaltig lösen.
* Alexey Shmelkin ist Managing Consultant und seit 2022 bei adesso tätig. Er betreibt einen YouTube-Kanal unter dem Namen „Low-Code Expert“. Er unterstützt diverse Kunden bei der Auswahl von Low-Code-Plattformen, der Implementierung eines Citizen Developer Framework und der Delivery von Low-Code-Projekten.
(ID:49329823)
:quality(80)/p7i.vogel.de/wcms/08/c0/08c0bd9a139151a221a91ce0bb0214ba/0111194221.jpeg "Das Programmieren nach dem Baukastenprinzip ist kein Selbstläufer, sondern sollte vernünftig vorbereitet sein. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/b1/d2/b1d2eadf48a036d7b4823d828140fc18/0110730413.jpeg "Schatten-IT entsteht aus bestimmten Gründen, das sollten Unternehmen berücksichtigen. (Bild: <a href=https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")