Mit Low-Code-Plattformen gegen unautorisierte Anwendungen Wie Low-Code-Anwendungen die Schatten-IT verdrängen

Ein Gastbeitrag von Alexey Shmelkin * Lesedauer: 5 min |

Anbieter zum Thema

Fachangestellte nutzen zunehmend nicht autorisierte Anwendungen. Diese Schatten-IT erhöht das Unternehmensrisiko und gefährdet die IT-Sicherheit. Abhängig vom Schatten-IT-Typ und der IT-Strategie können Low-Code-Plattformen entweder eine Lösung oder ein Problem werden.

Schatten-IT in Form unautorisierter Anwendungen und Datensammlungen entsteht dort, wo Fachkräfte mit bereitgestellten Tools nicht weiterkommen.
Schatten-IT in Form unautorisierter Anwendungen und Datensammlungen entsteht dort, wo Fachkräfte mit bereitgestellten Tools nicht weiterkommen.

Schatten-IT bezieht sich auf IT-Anwendungen und -Systeme, die von Mitarbeiterinnen und Mitarbeitern ohne Zustimmung oder Wissen der IT-Abteilung eingesetzt werden. Solche Anwendungen lassen sich in der Regel einfach eigenständig und schnell bereitgestellt werden, ohne dass die IT-Abteilung Ressourcen freigibt und eingreifen kann.

Oft werden sie in den Fachabteilungen deshalb als Alternative zu den offiziell vom Unternehmen bereitgestellten Systemen genutzt. Schatten-IT-Anwendungen können jedoch die IT-Sicherheit und die Compliance-Richtlinien des Unternehmens gefährden.

Gleichzeitig können sie zu einer Zersplitterung der IT-Systeme führen und somit die Integration und Zusammenarbeit erschweren. Die Kosten zur Beseitigung der Schatten-IT machen laut Gartner und anderen Analysten für größere Unternehmen bis zu 50 Prozent des IT-Budgets aus.

Typen von Schatten-IT-Anwendungen

Insbesondere in größeren, aber auch in mittleren Unternehmen ist der Bedarf an relativ kleinen Anwendungen wesentlich höher, als die IT-Abteilung mit eigenen Ressourcen bereitstellen kann. Der Rückstand der zu entwickelnden Lösungen kann je nach Größe eines Unternehmens mehrere Jahre betragen.

Laut BITKOM fehlen 137.000 IT-Fachkräfte in Deutschland. Die Planung und Budgetgenehmigungen können mehrere Monate in Anspruch nehmen, ohne dass Erfolg am Ende sicher ist. Dies führt zu vielen Typen von Anwendungen, die am offiziellen Genehmigungsprozess vorbei entwickelt oder verwendet werden:

  • Speichersysteme: Angestellte nutzen oft Cloud-Speicher-Dienste wie Dropbox oder Google Drive, um Dateien zu speichern und freizugeben. Dabei geraten insbesondere Zugriffsrechte und Compliance-Richtlinien in Vergessenheit. Der Kontrollverlust der IT-Abteilung über die Unternehmensdaten ist vorprogrammiert. Insbesondere beim Ausscheiden der Mitarbeiter können wichtige Daten dem Unternehmen verloren gehen.
  • Excel/Access-Lösungen: Excel und Access sind zwei häufige Anwendungen, die von Fachkräften zur Erstellung von Schatten-IT-Anwendungen genutzt werden. Zum Beispiel können Mitarbeiter komplexe Tabellenkalkulationen in Excel erstellen, die Daten aus verschiedenen Quellen sammeln und analysieren. Ähnlich lassen sich Datenbankanwendungen mit Microsoft Access erstellen, um Informationen zu speichern und abzurufen.
  • Software-as-a-Service-Lösungen: Fachabteilungen können fertige Applikationen kaufen und diese bei Bedarf anpassen lassen. Teilweise werden sogar Schnittstellen zu internen Systemen der Unternehmen geschaffen, ohne dies mit der IT-Abteilungen abgestimmt zu haben. In diese Kategorie fallen ebenfalls Applikationen, die auf Low-Code-Plattformen entwickelt werden, ohne die Einführung durch IT-Abteilungen begleiten zu lassen.
  • Mobile Anwendungen: Die Endnutzer sind mittlerweile gewöhnt, vieles über das eigene Smartphone zu erledigen. An der IT-Abteilung vorbei entwickelte, mobilen Anwendungen können sogar unternehmenskritische Daten an Dritte weitergeben, ohne dass dies rechtzeitig entdeckt wird.
  • Datenanalyse-Tools: Fachabteilungen generieren teilweise große Datenmengen mit einem entsprechenden Wert dahinter. Die Benutzung von Cloud-basierten Lösungen zur Auswertung dieser Daten oder die Nutzung zum Training einer Künstlichen Intelligenz (KI) kann daher sehr verlockend sein. Durch die Missachtung von Compliance-Regeln sowie Datenschutzverordnungen können dem Unternehmen hohe Kosten und Reputationsrisiken mit einhergehen.

Es ist wichtig zu beachten, dass Kolleginnen und Kollegen die Schatten-IT-Anwendungen nicht ausschließlich absichtlich oder bösartig verwenden. Oftmals geschieht dies aus praktischen Gründen, wenn sie die von der IT-Abteilung bereitgestellten Tools als unzureichend empfinden. Jedoch birgt die Verwendung von Schatten-IT auch gewisse Risiken, wie etwa Verstöße gegen Datenschutzbestimmungen oder IT-Sicherheitsprobleme.

Low-Code-Ansatz

Meistens wird unter dem Begriff Low-Code die sogenannten Low-Code-Development-Plattformen (LCDPs) verstanden, die nach dem Prinzip Drag-and-Drop-and-Configure komplette Geschäftsanwendungen entstehen lassen. Allerdings ist Low-Code ein Ansatz der Softwareentwicklung und keine Technologie.

Robotic Process Automation, Webseiten-Designer und viele andere Tools unterstützen den Low-Code-Ansatz. In LCDPs werden alle Anwendungen und die Beziehungen zueinander sichtbar. In den ausgereiften Plattformen lassen sich oft sowohl das User Interface (UI) als auch andere Teile der Anwendungen (wie zum Beispiel Datenbanken, Prozesse oder Schnittstellen) modellieren.

Idealerweise werden auch alle diese Teile so abstrahiert, dass diese in anderen Applikationen wiederverwendet werden können. Somit müssen standardisierte User-Führungen (Corporate Design), gängige Schnittstellen im Unternehmen und Datenquellen nur einmalig entwickelt bzw. bereitgestellt werden. Selbst Standardprozesse wie das Vier-Augen-Prinzip oder andere Freigabe-Typen können leicht verbreitet und später, wenn nötig, nur einmalig angepasst werden.

Aufdeckung von Schatten-IT-Anwendungen

Um Schatten-IT-Anwendungen aufzudecken, können generell zwei Ansätze verfolgt werden. Der eine ist Top-Down, also das Ergreifen aktiver Maßnahmen durch die IT-Abteilung, um die unautorisierten Anwendungen aufzudecken:

  • Mitarbeiterbefragungen: Um herauszufinden, welche Anwendungen von Mitarbeitern genutzt werden, können Unternehmen Umfragen durchführen. Dabei werden Mitarbeiter befragt, welche Anwendungen sie für ihre Arbeit verwenden und welche Verbesserungswünsche bei den offiziellen IT-Systemen haben.
  • Analyse von Netzwerkdaten: Unternehmen können Netzwerkdaten analysieren, um herauszufinden, welche Anwendungen auf den Computern der Mitarbeiter installiert sind und welche Daten von ihnen übertragen werden.
  • Überprüfung von Finanzdaten: Unternehmen können Finanzdaten analysieren, um festzustellen, ob Mitarbeiter für IT-Tools oder -Dienste bezahlen, die nicht von der IT-Abteilung genehmigt wurden.

Der andere Ansatz ist Bottom-Up. Damit schafft die Unternehmensführung Anreize für die Fachabteilungen, selbst auf IT-Abteilungen zuzugehen. Dafür soll man auf die Kernursache der Entstehung der Schatten-IT genauer hinschauen. Dies ist allzu oft das fehlende Vertrauen zwischen der Fach- und IT-Abteilungen.

Die Fachabteilungen glauben oft, dass ihre Bedürfnisse durch IT-Abteilungen wenig geschätzt werden. Sie fürchten, dass mit der IT alles wesentlich langsamer, bürokratischer und teurer wird. Auf der anderen Seite sieht die IT die Bedarfe aller Fachabteilungen und muss sie aufgrund der begrenzten Ressourcen priorisieren. Schließlich kann ein Euro nur einmalig ausgegeben werden und der Return of Investment (ROI) ist bei einigen Initiativen nicht gegeben.

Der technologische Fortschritt durch Low-Code trägt massiv dazu bei, dass Fach- und IT-Abteilungen agiler und enger zusammenarbeiten. Durch die engere Zusammenarbeit lernen die Abteilungen die jeweiligen Bedürfnisse besser kennen und erarbeiten eine gemeinsame Sprache sowie ein Verständnis für die Fachprobleme.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Das wichtigste Element, um sowohl den Top-Down- als auch den Bottom-Up-Ansatz richtig zu begleiten, ist ein sogenanntes Center of Excellence (CoE). Im CoE werden verschiedene Ansichten zusammengeführt und die Kommunikation zwischen IT- und Fachabteilungen gefördert. Zu den Aufgaben der CoE gehören unter anderem folgende Tätigkeiten:

  • Die Fach- und IT-Abteilungen schulen, um auf die Chancen, aber auch auf die Risiken der Low-Code-Entwicklung aufmerksam zu machen.
  • Mittels einer Score Card Entscheidungen treffen, welche Anwendungen weiterhin in der Fachabteilungen mit Low-Code entwickelt und betreut werden können. Anwendungen können mit dem CoE gemeinsam entstehen und andere müssen eventuell durch die IT-Abteilung mit anderen Methoden entwickelt werden.
  • Die Wiederverwendbarkeit der einzelnen Teile der Anwendungen fördern, sodass möglichst wenig mehrfach entwickelt wird um im Sinne der Nachhaltigkeit Redundanzen zu vermieden.
  • Fördern der Kommunikation zwischen Fach- und IT-Abteilungen, aber auch untereinander, um die einfachsten, günstigsten und wertvollsten Anwendungen entstehen zu lassen.

Fazit

Alexey Shmelkin
Alexey Shmelkin
(Bild: adesso)

Schatten-IT hilft kurzfristig dabei, die Probleme der Fachabteilungen zu lösen. Langfristig können diese Lösungen zu erheblichen Herausforderungen für das gesamte Unternehmen führen. Durch Low-Code in Verbindung mit der richtigen Governance können diese konsequent angegangen werden. Die Einführung des Low-Code Center of Excellence kann die Kernursachen der Schatten-IT nachhaltig lösen.

* Alexey Shmelkin ist Managing Consultant und seit 2022 bei adesso tätig. Er betreibt einen YouTube-Kanal unter dem Namen „Low-Code Expert“. Er unterstützt diverse Kunden bei der Auswahl von Low-Code-Plattformen, der Implementierung eines Citizen Developer Framework und der Delivery von Low-Code-Projekten.

(ID:49329823)