Strategic Bulletin November 2012 BYOD. IT Servicemanagement & IT-Sicherheit zwischen Hype und Realität. Problem Strategie Nutzen Lösungsansätze

Transkript

1 Strategic Bulletin November 2012 BYOD IT Servicemanagement & IT-Sicherheit zwischen Hype und Realität Problem Strategie Nutzen Lösungsansätze

2 Copyright Dieses Strategic Bulletin wurde von IT Research verfasst. Alle Daten und Informationen wurden mit größter Sorgfalt und mit wissenschaftlichen Methoden recherchiert und zusammengestellt. Eine Garantie in Bezug auf Vollständigkeit und Richtigkeit wird ausgeschlossen. Alle Rechte am dieses Strategic Bulletin, auch die der Übersetzung, liegen bei dem Autor. Daten und Informationen bleiben intellektuelles Eigentum von IT Research im Sinne des Datenschutzes. Kein Teil des Werkes darf in irgendeiner Form (Druck, Photokopie, Mikrofilm oder einem anderen Verfahren) ohne schriftliche Genehmigung durch IT Research reproduziert oder unter Verwendung elektronischer Verfahren verarbeitet, vervielfältigt oder verbreitet werden. IT Research übernimmt keinerlei Haftung für eventuelle aus dem Gebrauch resultierende Schäden. Copyright 2012 IT Research, Aying Disclaimer Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen etc. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. In diesem Werk gemachte Referenzen zu irgendeinem spezifischen kommerziellen Produkt, Prozess oder Dienst durch Markenname, Handelsmarke, Herstellerbezeichnung etc. bedeutet in keiner Weise eine Empfehlung oder Bevorzugung durch die IT Research. Gastbeiträge in diesem Strategic Bulletin sind freie Meinungsäußerungen der Sponsoren und geben nicht unbedingt die Meinung des Herausgebers wieder. ISBN IT Research November Titel

3 Strategic Bulletin: BYOD sverzeichnis 1. Das Problem BYOD ein Thema mit vielen Fallstricken Problem Strategie Nutzen Lösungsansätze Das IT-Servicemanagement Das IT-Servicemanagement: Die W-Fragen Service Management und Schatten-IT ein verdrängtes Problem Zehn Schritte zu richtigen Strategie Ein Masterplan muß her Zukünftige Fallen antizipieren: Das Lizenzmanagement IT-Sicherheit managen Gastbeiträge FrontRange Matrix IBM Die Sponsoren Der Herausgeber IT Research November Titel

4 1. Das Problem BYOD ein Thema mit vielen Fallstricken Problem Strategie Nutzen Lösungsansätze BYOD steht als Akronym für Bring Your Own Device, ein noch junges Thema voller Sprengkraft für Groß- und mittelständische Unternehmen. Andere Bezeichnungen dafür lauten ergänzend BYOT (Bring Your Own Technology), BYOIT (Bring Your Own IT) oder CYOD (Choose Your Own Device). Auch der Begriff Consumerization of IT wird gerne in diesem Zusammenhang benutzt. Die Miniaturisierung der Geräte hat es möglich gemacht. Das Kind ist altbekannt und es hat schon immer Schwierigkeiten bereitet: Das so genannte Endgerätemanagement stellt die IT-Abteilungen seit dem Aufkommen der PCs vor die anforderungsreiche Aufgabe, diese flexiblen und leistungsfähigen IT-Systeme in die IT-Systemumgebung der Firmen zu integrieren. Hinzu kommt, dass die Geräte den Mitarbeitern dienen als Service-Zugangssysteme für Abruf und Konsumierung von ICTility Services verschiedener Art. Als ICTility Services werden Service-Typen bezeichnet, die auf der Basis von ICT-Systemen bewerkstelligt und erbracht werden; oder anders beschrieben: ICT-systembasierende Utility Services in Analogie zu den klassischen Utility Services der Energiebranche. Wie auch immer das Kind nun heißt, immer, wenn etwas nicht von Beginn an unter Kontrolle steht, entsteht Wildwuchs und irgendwann einmal Probleme,, weil - der Einsatz der Geräte Irritationen verursacht und weil man die Geräte nur schwer oder gar nicht kontrollieren kann, obwohl man es gerne möchte. Das sind die Auslöser für dramatische Diskussionswellen und hype-artiges Aufbauschen des Themas. Dabei steht immer wieder die gleiche Aufgabe an: Integrierung von Service-Zugangssystemen in die Servuktionsumgebung für die geschäftsrelevanten ICTility Services. Aussitzen in der bewährten Kanzler-Kohl Mentalität hilft hier also nicht weiter. Die Reaktion des Aussitzens wird verursacht von einer Paradigmenparalyse: Unter dem Titel IT Service Management wird in Wirklichkeit schon immer und weiterhin IT System Management praktiziert gemäß der ITIL-Definition: Service: One or more IT systems that enable a business process. - kurzum: Service = IT system(s). Diese Definition zieht sich nachweislich durch bis in den letzten Absatz von ITIL (V3) Edition 2011 und sie wirkt in allen ITIL-basierenden Praktiken. Diese Paradigmenparalyse muss gelöst werden, indem das ITIL-basierende Plan - Build - Run ICT systems ergänzt wird durch das Compose - Commit - Conduct service providing aus dem Leitkonzept der Servicialisierung für verlässliche Service-Erbringung. Dann werden die so genannten Endgeräte als Service-Zugangssysteme eingeordnet und behandelt unter dem Aspekt der sicheren und geschützten Erbringung der darüber abgerufenen und konsumierten ICTility Services. Das Thema hat also viele Facetten und zu viele Dimensionen. Die vielen Facetten lassen sich am ehesten schlüssig und durchgängig bearbeiten auf der Basis einer Service-Erbringungsstrategie, aus der die zweckmäßige Systemstrategie abgeleitet wird, unter anderem für die verschiedenen stationären und mobilen Service-Zugangssysteme. BOYD ist eins von vielen Schlagwörtern, die unter anderem aus Verlegenheit entstehen, weil der damit beschriebene Trend sich nicht mit den gängigen Denk- und Vorgehensweisen vereinbaren lässt. Im hiesigen bleibt man im IT-Systemmanagement stecken und kommt nicht auf die Ebene des Service-Erbringungsmanagements. Es macht deutlich, dass ein anderes Thema schon lange vernachlässigt wird, das zudem die Hauptaufgabe der entsprechenden Organisationseinheiten ist: verlässliche, rationelle & rentable Erbringung der geschäftsrelevanten ICTility Services. Fakt ist, das Thema kann man nicht vertagen, denn ungewöhnlich genug der Druck kommt von unten (Mitarbeiter) als auch von oben (Management). Also Top-down wie auch Bottum-up. Hat es dieses Phänomen schon ein- IT Research November

5 mal gegeben? Ja. Als in den 1980er Jahren die PCs aufkamen, gab es das gleiche Problem, das damals schon die praktizierten Strategien in Frage stellte. Offensichtlich hat sich das kaum geändert, denn es wird weiterhin mit Systemstrategie reagiert, obwohl eine Service-Erbringungsstrategie entwickelt und umgesetzt werden müsste. Dabei ist die IT-Abteilung selbst die Zange, weil sie es versäumt, sich zum rechenschaftspflichtigen und rechenschaftsfähigen ICTility Service Provider ihres Unternehmens zu entwickeln. Diese Organisationseinheit muss eine adäquate Service-Erbringungsstrategie entwickeln, bei der auch die stationären und mobilen Service-Zugangssysteme nahtlos integriert werden. Die IT sitzt also in der Zange und soll das Problem lösen und zwar schnell. Vor Schnellschüssen, so die Erfahrung, kann man gar nicht genug warnen, denn der richtige Weg. einer Service-Erbringungsstrategie mit einer Potenzialanalyse bedarf erstens des externen Know-hows und zweitens Zeit. Konzeptänderungen sind vorrangig, es müssen durchgängige Service-Konzepte entwickelt werden, bei denen die Service-Zugangssysteme nahtlos integriert werden. Hier stehen im Rahmen einer Service-Erbringungsstrategie an: Identifizierung der geschäftsrelevanten ICTility Service-Typen Spezifizierung der erforderlichen Qualität für die identifizierten ICTility Service-Typen Service-Erbringungspreise pro Service-Erbringungseinheit des jeweiligen ICTility Service-Typs Service-Gestehungskosten pro Service-Erbringungseinheit des jeweiligen ICTility Service-Typs Des Weiteren sind Prozessänderungen erforderlich sowie eine Kosten-/Nutzenanalyse, auf die am Ende Technologieauswahl und Implementierung folgen. IT-spezifisch gesehen reden wir über Fragen der Inventarisierung, des Lizenzmanagements, der Steuerabschreibung bei der Nutzung von Hardware sowie von Unternehmenssoftware (etwa SAP- oder BI betreffend), der SLAs und bei allem über Fragen von Datensicherheit und Datenschutz. Aber es sind auch zahlreiche andere Abteilungen wie HR (Recruitment und Mitarbeitermotivation), Finanzen (Kosten, Abschreibung) und die Rechtsabteilung (Betriebsvereinbarung) involviert. An diesen Begriffen wird deutlich, dass es sich eigentlich um IT System Management handelt, denn nur IT-Systeme und Lizenzen können inventarisiert und abgeschrieben werden, während das für IT-basierende Services beziehungsweise ICTility Services nicht möglich ist. Bei den SLAs handelt es sich in aller Regel um System Level Agreements, genauso wie es sich bei der Service- Verfügbarkeit in Wirklichkeit um Systemverfügbarkeit handelt. Fragen der IT-Sicherheit betreffen die unabdingbare Anforderung, dass jeder abgerufene ICTility Service sicher und geschützt sowie verlässlich und spezifikationsgemäß erbracht werden muss. Das muss von vorneherein bei der Service-Spezifizierung und der Service- Konzipierung berücksichtigt werden. Alle eben genannten Aufgaben müssen koordiniert werden vom rechenschaftspflichtigen ICTility Service Provider des Unternehmens. Diese Organisationseinheit muss sich entweder aus der IT(IL)-Abteilung entwickeln oder neu aufgebaut und etabliert werden, denn deren Aufgaben sind grundlegend anders als der Betrieb und das Management der service-relevanten ICT-Systeme. Die kritischen Köpfe in den Unternehmen warnen denn auch schon frühzeitig vor der nächsten Welle. Die Mitarbeiter sind in ihrer Rolle als berechtigte Service-Konsumenten die alleinzigen Auslöser und Adressaten jeglicher Service-Erbringung die absolut kritischen Erfolgsfaktoren für die Service-Erbringung sowie für die service-basierende Wertschöpfung. Sie schaffen sich ihre eigenen Arbeitsumgebungen, weil sie unter starkem Erfolgs- und Ergebnisdruck stehen und weil ihnen adäquate und anforderungsgerechte Service-Erbringung nicht geboten werden. Stattdessen werden sie erstrangig zurückgedrängt und eingeengt mit bürokratischen Regulierungen und restriktiver Ausstattung. IT Research November

6 Das bewirkt zunehmend häufiger, dass Mitarbeiter ihre eigenen Anwendungen, Collaboration-Systeme und sozialen Netzwerke mit ins Unternehmen bringen. Diese Vorgehensweise bringt Ungewissheiten und Risiken mit sich, mit denen man sich im Rahmen einer Risikoanalyse auseinandersetzen muss. Aber welches sind die Risiken? Das größte Risiko sind die IT(IL)-Abteilungen, die beim klassischen IT System Management verharren, anstatt das Service Providing Management, also. Compose - Commit - Conduct Service Providing fundiert und systematisch zu praktizieren. Auch das Argument, dass BYOD-Programme angeblich Kosten senken können, birgt Zündstoff. Dabei werden die TotEx (Total Expenditures) für die service-relevanten ICT-Systeme betrachtet. Die TotEx setzen sich zusammen aus CapEx (Capital Expenditures, v.a. Abschreibungen) und OpEx (Operational Expenditures, v.a. Aufwand für laufende/n Unterhalt, Pflege und Wartung). Sie sind ein Eingangsparameter für die Ermittlung der TCS (Total Cost of Service) und der ServEx (Service Expenditures) beziehungsweise der Service-Gestehungskosten pro Service- Erbringungseinheit eines bestimmten ICTility Service-Typs. Zum Thema BYOD mahnt Gartner denn auch an, das Thema nicht für jedes Unternehmen und jeden Mitarbeiter geeignet sei und es sich abhängig von Faktoren wie Geographie, Branche und Unternehmenskultur höchst unterschiedlich über den Globus ausbreitet. Da jeder Mitarbeiter bestimmte ICTility Services abrufen und konsumieren muss, um seine aktuell anstehenden geschäftlichen Aktivitäten auszuführen, ist das Thema auch für jeden Mitarbeiter relevant, unabhängig von der Größenordnung und Branche seines Unternehmens. In jedem Fall gilt: ohne substanzielle finanzielle Investitionen und erhebliche Unterstützung aus der Chefetage sind Probleme ebenfalls vorprogrammiert. Die Investitionen müssen ausgerichtet werden auf verlässliche, rationelle & rentable Erbringung der geschäftsrelevanten ICTility Service-Typen. Vor allem ist hier der CIO/IT Direcotr/IT-Leiter gefordert, sich zum CSO (Chief Service Officer) zu entwickeln, der den rechenschaftspflichtigen ICTility Service Provider entwickelt und leitet. Ein erheblicher Risikofaktor ist bei jeder neuer Software die Sicherheit. Dabei geht es um die sichere und geschützte Erbringung der geschäftsrelevanten ICTility Service-Typen. Das beginnt bereits bei der Service-Spezifizierung und wird mittels durchgängiger Service-Konzipierung fundiert & vorausschauend vorbereitet. Jeder weiß, dass mobile Geräte auch Risiken bergen. Diebstahl, vergessene Geräte, nicht fachgerecht entsorgte Altgeräte, unverschlüsselte Daten, die Risikoliste ist lang und fast täglich lesen wir etwas über einen neuen GAU (Größten Anzunehmenden Unfall). Studien wie etwa die Symantec-Studie State of Mobile IT oder Hinweise vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnen, erläutern, fordern uns auf zu handeln. Im mobilen Umfeld mit seinen vernetzten Kommunikationswegen und dem Verschmelzen unterschiedlicher Technologien sind Risiken allgegenwärtig. Das Hauptproblem besteht darin, dass die Mitarbeiter nicht in ihrer erfolgs- und ergebniskritischen Rolle als Service-Konsumenten wahrgenommen und behandelt werden. Allein der rechenschaftspflichtige ICTility Service Provider des Unternehmens kann erschließen und wissen, welche Erfordernisse abgedeckt werden müssen für die sichere und geschützte Erbringung der abgerufenen ICTility Services. Das muss er entsprechend konzipieren und die Mitarbeiter adäquat instruieren, ohne sie dabei mit IT-Kauderwelsch zu überlasten. Apple praktiziert mit iphone & AppStore einen wegweisenden Ansatz, der viele andere Versuche in den Schatten stellt und der als Leitidee für ICTility Service Provider dienen kann Trotzdem wage ich die Prognose: BYOD hat eine Eigendynamik entwickelt, die sich nicht mehr aufhalten lässt. Das hat eher unmerklich begonnen mit den ersten mobilen Service-Zugangssystemen für Abruf und Konsumierung von ICTility Services, also spätestens mit der Einführung von Mobiltelefonen. Da das bis dato kaum bis gar nicht unter dem Aspekt der Service-Erbringung durchdrungen wurde, fehlen bis dato in der Regel die adäquaten Strategien und Konzepte: ICTility Services statt IT-Systeme Service Providing Management statt IT System Management Service-Erbringung statt Systembetrieb Servicialisierung statt ITILisierung IT Research November

7 Wenn man das Problem also nicht verhindern kann, muss man es managen, durch Standardisierung und Automatisierung, punktum. Die ICTility Service-Typen und die Service-Beiträge, aus denen diese per Echtzeittransaktion aggregiert werden (müssen), sind per se standardisiert. Das muss nur erkannt und ausgeschöpft werden. Die ICT- Systeme sind die Service-Automaten für die Erbringung der geschäftsrelevanten ICTility Services, so dass die Erbringung der ICTility Services schon lange automatisiert ist. Ein kurzer Rückblick in die IT zeigt, dass die Lösung des Problem auch nicht unmöglich ist, denn schließlich kamen mit den immer mobileren Außendienstmitarbeitern und den Home Offices Themen wie Remote Access und Fernwartung auf die Unternehmens zu und, welche Wunder, für alle Probleme gab es eine Lösung. Bei der Vielzahl der Aspekte werden wir uns im Folgenden bei den Lösungsansätzen auf zwei Themenkreise konzentrieren, den Auswirkungen auf das IT-Servicemanagement (in Wirklichkeit meist IT-Systemmanagement) und auf die IT-Sicherheit. Die IT-Sicherheit wird aufgepropft, während es in Wirklichkeit um sichere und geschützte Erbringung der ICTility Services geht. Beides muss abgedeckt werden durch eine Service Providing Governance und eine Service Provding Strategy. 2. Das IT-Servicemanagement 2.1 Das IT-Servicemanagement: Die W-Fragen Kurzer Rückblick: Mit BYOD (Bring Your Own Device) werden in der Regel privat beschaffte ICT-basierende Geräte bezeichnet, die über Internet-Zugang verfügen und somit auch für den Zugriff auf unternehmensinterne Applikationssysteme und Datenbestände genutzt werden können beziehungsweise sollen. Nachdem tragbare Notebooks mit integrierten Modem- & LAN-Anschlüssen aufkamen, wurden diese schnell und häufig an die vorhandenen Netzwerk- und die aufwachsenden Web-Systeme angeschlossen, so dass ihre Verbindungsmöglichkeiten halfen, vielerlei Kommunikationskanäle zu erschließen sowie unzählbar viele Web-Sites und Datenbestände zu erreichen. Diese Entwicklung wird auch umschrieben als Consumerization of IT, weil die Gerätenutzer und Service Consumer neue Wirkmöglichkeiten und Freiräume erhalten, die sie intensiv ausschöpfen. Consumerization of IT Bild 1: Millionen Akteure, wenige Standardzugänge, globale Kommunikation. IT Research November

8 Paul G. Huppertz von servicevolution macht zu Recht darauf aufmerksam, dass oft übersehen wird, dass ein Service Consumer, der technisch basierende Services abrufen und konsumieren will, immer ein bestimmtes technisches Service-Zugangssystem benötigt, sei es das Radio- oder Fernsehgerät, das Telefon oder das Telefaxgerät oder die altbewährte Elektrosteckdose für den Abruf von Energieversorgungs-Services. Insofern mussten derartige Service-Zugangssysteme schon immer verteilt und eingebunden, gemanagt und gepflegt werden, was heute mit neuen Vokabeln aufgepeppt wird. Der größte Elan entsteht jetzt dadurch, dass die Geräte per Funk an die globalen Netzwerksysteme angeschlossen werden können, so dass die Service-Konsumenten mit ihren Geräten ortsflexibel agieren können und dabei immer erreichbar sind. Diese hochgradige Mobilität erschwert das gezielte und geordnete Management der Geräte und bringt neue Anforderungen und Aufgaben mit sich: Die enorme Anzahl von verschiedenen Modellen und Gerätevarianten kann nur schwer gemanagt werden,vor allem, weil die Benutzer selbst bestimmen (wollen), welche Geräte sie verwenden. Zudem sind die Lebenszyklen für die Geräte eher kurz und die Austauschfrequenzen eher hoch. Auf den Geräten laufen private und geschäftliche Kommunikations- und Datenstränge zusammen, die sorgsam gegeneinander abgeschirmt werden müssen. Die Einbindung in globale Netzwerksysteme öffnen Tür und Tor in beide Richtungen, sowohl für konstruktive als auch für destruktive Zwecke, so dass viele Sicherheits- und Schutzaspekte durchleuchtet und geregelt werden müssen. Nicht zuletzt muss die Frage geklärt werden, wer denn nun Verfügungsgewalt hat über die Geräte und die Daten, die darüber kommuniziert beziehungsweise darauf abgespeichert werden. Es besteht aber noch eine weitere Gefahr, die in diesem Zusammenhang von vielen ITlern wie vom Management regelmäßig unterschätzt wird, nämlich das Umsichgreifen der Schatten IT. Die Fachabteilungen und deren Mitarbeiter greifen zur Selbsthilfe, weil ihnen keine adäquaten Lösungen geboten werden und weil die weithin gängigen ICT-basierenden Systeme sowie die Service-Angebote spezialisierter Anbieter ihnen das ermöglichen. Die IT (IL-Abteilung) ist mit ihren eigenen Problemen mehr als beschäftigt und unterstützt die Mitarbeiter in den Fachabteilung nicht durch verlässliche Erbringung der geschäftsrelevanten ICTility Services. Die Fachabteilungen haben sich so gut es ging mit eigenen Lösungen für ihre Probleme beholfen. Besonders Finanzen und Controlling mit BI-Lösungen oder CRM-Services von Salesforce haben so den Einzug in Unternehmen gefunden und sind ohne Kontrolle expandiert. Salesforce ist ein Anbieter, der den Umschwung vom Software-Hersteller zum Service Supplier erfolgreich vollzogen hat. Auf diese Weise hat die Firma ein globales Monopol für die Erbringung von CRM- Services etabliert, das ihr wohl kaum jemand mehr streitig machen kann. Das war unter anderem möglich, weil die IT-Abteilungen die CRM-Services unzuverlässig oder zu unwirtschaftlichen Konditionen erbracht haben. Stephan Zimmerman und Prof. Dr. Christopher Rentrop von der HTWG Konstanz sowie Dr. Oliver van Laak von Cassini Consulting haben schon in diversen Publikationen, so auch bei das Problem analysiert, das wir aus ihrer Sicht im folgenden Abschnitt betrachten. 2.2 Service Management und Schatten-IT ein verdrängtes Problem Die meisten Unternehmen verfügen neben der offiziellen und vom IT-Bereich entwickelten und unterhaltenen IT- Infrastruktur noch über eine Vielzahl an Hardware- und Softwaresystemen sowie Mitarbeitern, die in den Fachabteilungen direkt angesiedelt sind. Dies erfolgt in der Regel ohne Wissen, Zustimmung oder Unterstützung des IT- Bereiches. Die daraus resultierenden, autonom entwickelten Systeme, Prozesse und Organisationseinheiten werden auch als Schatten-IT bezeichnet. Die Zielsetzungen von IT-Service Management sind die optimale Ausrichtung der IT an den Geschäftsbedürfnissen und die stetige Verbesserung der IT-Prozesse, um eine bestmögliche Unterstützung der Geschäftsprozesse durch Informationstechnologie zu erreichen. Um eine höhere Qualität und Produktivität bei der Leistungserstellung der IT-Services zu bewirken, orientieren sich Unternehmen dabei zunehmend an allgemeinen Standards wie ITIL. Aus Sicht des Service Managements stellt sich die Frage, was die Existenz von Schatten-IT für die Ausgestaltung, die IT Research November

9 Erstellung und die Qualität der IT-Services bedeutet, ob die Gründe für die Entstehung von Schatten-IT im Service Management liegen können und welche weiterführenden Aufgaben sich daraus ergeben. Bild 2: Schatten-IT: Phänomen, Realität, Gefahr. Die Abbildung zeigt verschiedene Teilaspekte, die dem Begriff Schatten-IT zugeordnet werden können. Dazu gehört die Verwendung von Social Media Software zur geschäftlichen Kommunikation (etwa Skype oder Facebook) oder weitere Services, die von externen Dienstleistern über das Web angeboten und direkt von der Fachabteilung bezogen werden (Cloud Services wie etwa Web-Mail oder Office-Dienste). Des Weiteren fallen die Entwicklung und der Betrieb eigener Anwendungen darunter. Häufig handelt es sich dabei um Excel- und Access-Anwendungen, die von Fachbereichsmitarbeitern erstellt und weiterentwickelt werden. Ferner gehört auch die Beschaffung oder Eigenentwicklung von Business Intelligence-Anwendungen dazu. Auf der Hardware-Seite dreht es sich zum Beispiel um die Einbindung eigens angeschaffter Notebooks, Server, Netzwerkrouter oder anderer Peripheriegeräte, die statt von der offiziellen IT direkt bei Einzelhändlern eingekauft werden. Die eigene Beschaffung mobiler Endgeräte (BYOD, zum Beispiel Smartphones) inklusive dazugehöriger Applikationen und deren Einsatz im Unternehmensnetzwerk können dem ebenfalls zugeordnet werden. Schließlich gehört auch der Aufbau eigener Supportstrukturen in den Fachabteilungen dazu: Technikaffine Kollegen aus der eigenen Abteilung werden bei IT-Problemen und Störungen direkt um Unterstützung angefragt. Schatten-IT ist in der Praxis kein neues Phänomen, das jedoch aufgrund unterschiedlicher Faktoren immer mehr an Bedeutung gewinnt. Dies sind zum einen die zunehmende Wichtigkeit von Compliance und Risikomanagement sowie die Beschäftigung mit der Industrialisierung der IT innerhalb der Unternehmen. Zum anderen wirken neue, in erster Linie webbasierte Technologien auf Schatten-IT, die einen einfachen Zugang erlauben und den Initialaufwand verringern (etwa Cloud Computing, BYOD und Software as a Service). Eine besondere Rolle für eine wachsende Entstehung von Schatten-IT spielen außerdem die Anwender. Vor allem junge Mitarbeiter bringen eine hohe Affinität zur IT mit, da sie sich auch im Privatleben mit den Technologien beschäftigen. Dadurch steigen aber im Berufsleben die Erwartungen an die IT-Ausstattung. Werden sie durch die offizielle IT nicht zufriedengestellt, kümmern sich die emanzipierten Anwender selbst um ihre Geräte und Applikationen. Wie wirkt sich Schatten-IT auf das Service Management aus? Schatten-IT entzieht sich entsprechend ihrer Natur dem IT-Service Management, da sie in der Regel ohne das Wissen des IT-Bereichs erfolgt. Damit können aber gewünschte Optimierungserfolge und Prozessverbesserungen im Sinne des Continual Service Improvements in bis zu 50% der betrachteten IT-Sachverhalte nicht erzielt werden. IT Research November

10 Diese störende Wirkung von Schatten-IT auf die Gestaltung und Umsetzung des Service Managements lässt sich anhand mehrerer ITIL-Prozesse erläutern: Bereits die Bestimmung der Service Strategie wird erschwert. Denn wie soll diese formuliert werden, wenn aufgrund von Schatten-IT nur eingeschränkte Aussagen über die IT-Ausgangslage getroffen werden können? Auch die Transparenz der IT-Gesamtkosten im Unternehmen geht verloren, da Schatten-IT Ressourcenverbräuche beinhaltet, die nicht als IT-Kosten erfasst werden. Für das Finanzmanagement ist es somit kaum nachzuvollziehen wie hoch die IT-Kosten tatsächlich sind. Dadurch fehlt eine solide Basis für den professionellen Aufbau des Service Managements, die Gestaltung des IT-Budgets und die kennzahlenbasierte Steuerung der IT. Folgeschaden IT-Sicherheit In der IT-Security zeigen sich besonders kritische Folgeprobleme von Schatten-IT im Hinblick auf Datenschutzund Datensicherheit: Schatten-IT wird häufig durch IT-Laien entwickelt. Aufgrund des unprofessionellen Entwicklungsprozesses steigt das Risiko für Programmierfehler, die zu Fehlfunktionen und Sicherheitslücken führen können. Teilweise wird Schatten-IT gerade für die Umgehung der vorhandenen technischen Grenzen zur Sicherstellung von Datenschutz und -sicherheit verwendet, wenn diese als hinderlich für den Prozess angesehen werden. Für den IT-Security Prozess ist es daher eine wichtige Aufgabe, Schatten-IT hinsichtlich der Sicherheitsrisiken zu bewerten und bei gravierenden Risiken Gegenmaßnahmen einzuleiten. Weitere Probleme ergeben sich im Umfeld des Architekturmanagements. Unprofessionelle und fehlerhafte Schatten-IT Systeme können andere IT-Domänen stören und damit offizielle Services beeinflussen. So führten bei einer großen Bank vor einigen Monaten Softwarefehler in einem Schatten-IT System zu einer hohen Belastung der Netzwerke. Diese Beeinträchtigungen können bis zum Ausfall offizieller Services und zur Verletzung vereinbarter Service Level führen. Obwohl die Ursache für ein solches Szenario nicht im offiziellen IT-Bereich zu finden ist, wirft es dennoch ein schlechtes Bild auf die IT selbst und ihre Qualität die Benutzerzufriedenheit mit der IT sinkt. Für die Configuration Management Data Base (CMDB), welche zur Erfassung und Dokumentation der IT-Infrastruktur verwendet wird, stellt Schatten-IT ebenfalls eine große Herausforderung dar. Die CMDB ist der wichtigste Informationslieferant und die Entscheidungsgrundlage für andere Service Management Prozesse. Voraussetzung dafür ist jedoch die Vollständigkeit und Richtigkeit der Konfigurationsinformationen. Dies kann nur gewährleistet werden, wenn ausschließlich autorisierte Komponenten verwendet werden. Bei Schatten-IT handelt es sich allerdings genau um das Gegenteil. Sie kann nicht gänzlich berücksichtigt werden und birgt somit Folgerisiken. Diese können zum Beispiel im Release Management auftreten. Werden bei einer umfassenden Plattformmigration aufgrund von Schatten-IT doppelt so viele Applikationen festgestellt, als zunächst angenommen wird die Migration dadurch stark beeinträchtigt und wesentlich aufwendiger. Folgeschaden: Ineffizienz Der geringe Grad an Professionalität bei Schatten-IT Systemen führt zudem in vielen Fällen zu einer wirtschaftlichen Ineffizienz der damit implementierten Systeme und Prozesse. Obwohl Schatten-IT günstiger erscheint, ist sie in der Regel teurer als vergleichbare offizielle IT. Dies liegt an hohen versteckten Kosten der Schatten-IT. In vielen Fällen werden beispielsweise die eigentlichen Aufgaben der Fachbereiche zugunsten von Systementwicklung und -betreuung zurückgestellt oder eigene Mitarbeiter hierfür eingestellt, ohne dass diese Tätigkeiten als IT-Kosten erfasst werden. Insgesamt leidet darunter auch die Gesamtperformance des Unternehmens. Wenn Anwender Schatten-IT als offizielle IT-Services wahrnehmen, können außerdem angestrebte Verbesserungen in den definierten IT-Supportprozessen gehemmt werden: Anwender können die vom IT-Bereich bereitgestellten Supportstrukturen nutzen um Funktionsstörungen in einem Schatten-IT System beheben zu lassen. Dadurch werden Anfragen an den Service Desk gestellt, obwohl die Systeme aus dessen Sicht eigentlich nicht existent sind. So waren zum Beispiel in einem Unternehmen ca. 30% der im Service Desk eingehenden Anfragen auf Schatten-IT bezogen. Je mehr solcher Anfragen auftreten, desto mehr steigt das Arbeitsaufkommen. Außerdem wird die IT für die Problemlösung der Schatten-IT genauso verantwortlich gemacht wie für offiziell bereitgestellte Services. Können keine Lösungen angeboten werden, sinkt die Zufriedenheit. IT Research November

11 Folgeschaden: Sourcingentscheidungen Durch Schatten-IT werden zudem häufig Sourcingentscheidungen untergraben. Fachbereiche, die mit vorgegebenen Entscheidungen zum IT-Outsourcing unzufrieden sind, führen ein verdecktes Insourcing der IT durch. Offiziell ausgewählte Lieferanten werden dabei übergangen. Dies birgt ein Risikopotenzial für das Unternehmen, da bei einer entsprechenden Vertragsgestaltung Pönalen fällig werden können. Ein weiteres Problem für das Lieferantenmanagement der IT stellen Cloud-Dienste dar, die als Schatten-IT direkt von der Fachabteilung bezogen werden. Bei einer unachtsamen Provider-Auswahl können Lock-In Effekte entstehen. Das Unternehmen begibt sich in Abhängigkeit des Lieferanten, ein Ausstieg ist nur mit hohen Kosten verbunden. Betrachtet man Schatten-IT unter dem Aspekt eines benutzergetriebenen Prozesses, in dem Fachbereiche durch IT einen Mehrnutzen für ihre Geschäftsprozesse erkennen, lassen sich auch einige, bedeutende positive Auswirkungen für das Service Management identifizieren: Durch die Nähe zum operativen Geschäft, ist die benutzergetriebene IT ein Innovationstreiber und kann damit zur Verbesserung der Services beitragen. Der schnellere Einzug von Innovationen durch Schatten-IT in die Unternehmen, lässt sich beispielsweise an der Verteilung von BI-Technologien in Unternehmen belegen. Da die Fachabteilungen häufig sehr aufgabenorientiert an die Entwicklungsprozesse herangehen, sind die Resultate gut auf die internen Prozesse ausgerichtet und haben eine starke Fokussierung auf eine kontinuierliche Verbesserung der Abwicklung. Oftmals sind benutzergetriebene IT-Systeme und -Prozesse zudem besser an den Anwenderbedürfnissen ausgerichtet als die vom IT-Bereich zur Verfügung gestellten Services. Vermutlich wächst dadurch die Benutzerzufriedenheit mit der IT-Unterstützung insgesamt, jedoch nicht zwangsläufig auch die Zufriedenheit mit der IT-Abteilung. Kann das Service Management Schatten-IT verursachen? Sucht man nach den Gründen für die Entstehung von Schatten-IT, stellt sich auch die Frage ob das Service Management Schatten-IT verursachen kann. Dabei ist generell zwischen einer zu geringen und einer zu weitreichenden beziehungsweise formalisierten Ausgestaltung des Service Managements zu unterscheiden. Der erste Fall beinhaltet eine zu geringe Abstimmung und Kommunikation zwischen Business und IT. Dadurch werden unter Umständen falsche Services mit einer ungenügenden Verfügbarkeit angeboten, die Prozesse für Änderungsanforderungen werden nicht ausreichend formuliert oder ein Service Desk ist kaum oder gar nicht für die Störungs- und Problembearbeitung vorhanden. Die Folge ist oftmals, dass Fachabteilungen eigene Wege gehen, um ihre notwendigen Services und Supportleistungen zu erhalten. Der offizielle IT-Bereich wird in diesem Prozess in der Regel kaum einbezogen. Im zweiten Fall besteht zu viel IT Service Management. Das heißt die IT-Prozesse sind zu unflexibel gestaltet und schränken das Business in seiner Entwicklung ein. Dabei sind auch die Budgets und Verrechnungspreise zu restriktiv bestimmt. Oftmals werden die Bedarfe der Fachabteilungen nicht schnell genug umgesetzt, die Entscheidungs- und Bewilligungswege im Demand und Change Management sind zu langsam und nicht nachvollziehbar oder die Meldung von Störungen ist zu sehr formalisiert und zu kompliziert für die Anwender. Auch in diesem Fall wird die Fachabteilung selber reagieren. Um flexibler auf das Unternehmensumfeld reagieren zu können, wird Schatten-IT eingeführt. In beiden Fällen entsteht somit Schatten-IT durch eine mangelhafte Ausgestaltung des IT-Service Managements. Sie steht dabei im Widerspruch zu einem ganzheitlichen Service Management und verhindert die Erzielung von Optimierungserfolgen. Wie soll das Service Management mit Schatten-IT umgehen? Insbesondere die gezeigten Schwierigkeiten in Bezug auf Unternehmensrisiken und Wirtschaftlichkeit belegen deutlich, dass Schatten-IT ein großes Problem für die Unternehmen darstellen kann und deshalb Lösungen für den Umgang mit Schatten-IT gefunden werden müssen. Ein generelles Verbot von Schatten-IT ist dabei nicht zu empfehlen, da auf diese Weise die damit verbundenen Chancen nicht realisiert werden können und es aufgrund der technologischen Möglichkeiten immer schwieriger wird ein solches Verbot umzusetzen. Vielmehr muss durch eine fundierte Erhebung und Bewertung eine differenzierte Strategie zum Umgang mit Schatten-IT erarbeitet werden. Ein Hauptaugenmerk sollte in diesem Zusammenhang auf dem hohen Innovationspotenzial der benutzergetriebenen IT liegen. Schatten-IT oder benutzergetriebene IT darf somit auch in der Gestaltung des Service Managements nicht unbeachtet bleiben. Die Entscheidung wie die IT und die Organisation damit umgehen wollen, muss bereits in der For- IT Research November

12 mulierung der Service Strategie erfolgen. Die Abstimmung und Kommunikation mit den Fachbereichen ist dabei entscheidend. Generell ist die IT-Steuerung durch Serviceprozesse, Budgets und Verrechnungspreise zu überprüfen und im Hinblick auf eine geordnete aber auch flexible Erbringung der IT-Services zu korrigieren. Die IT-Abteilung sollte dabei davon Abstand nehmen einen IT-Service als eine reine IT-Aufgabe anzusehen. Stattdessen muss ein Service ganzheitlich unter Berücksichtigung der technischen aber vor allem auch der geschäftsprozessorientierten und anwendernahen Aspekte betrachtet werden. Als Basis für das Service Management gilt es deshalb die IT-Governance, und im Zuge dessen insbesondere die Entscheidungsrechte von IT und Business, zu definieren. Tendenziell ist diesbezüglich eine kooperative Erbringung und Steuerung der IT-Services durch Fachabteilung und IT- Bereich am erfolgreichsten. Diese Erkenntnis ist in der Verteilung von IT-Entscheidungsrechten zu verwerten und die Ergebnisse daraus in enger Abstimmung mit der Unternehmensführung und den Fachbereichen zu formulieren. 2.3 Zehn Schritte zu richtigen Strategie Matthias Frederick, Leiter Infrastructure Transformation Services bei Capgemini hat die richtigen Schritte im Februar 2012 auf der System- und Service Management-Konferenz des it verlages im Februar 2012 vorgestellt, der auch die Grafiken dieses Abschnittes entstammen. Gerade iphone und ipad haben die Client-Vielfalt und ihren Einzug in die Unternehmen beschleunigt. Daraus ergibt sich die Notwendigkeit von neuen Architekturen, Prozessen und Tools (s. untenstehendes Bild). Bild 3: Der Weg- das Ziel. Man sieht hier deutlich Chancen wie Risiken. Im Betrieb heißt das, bestehende Mitarbeiter beim Einsatz neuen Technologien mitzunehmen und neue, künftige Mitarbeiter durch den Einsatz innovativer Technologien zu gewinnen. Der Einsatz der unterschiedlichsten mobilen Geräte hat ohne Zweifel zu einer Flexibilisierung geführt, ihm steht quasi als Gegenpol der Wunsch nach Kontrolle und Standardisierung wie Automatisierung gegenüber. Die mobilen wie die stationären Geräte sind dabei als Service-Zugangssysteme zu sehen, die die berechtigten Service-Konsumenten benötigten, um ICTility Services abzurufen & zu konsumieren. Jede Medaille hat bekanntermaßen zwei Seiten, die folgende Grafik verdeutlicht das. IT Research November

13 Bild 4: Eine Technik zwei Betrachtungswinkel. Das das Problem BYOD vielschichtig ist, hatten wir bereits kurz angesprochen. Die nächste Grafik verdeutlicht die unterschiedlichsten Aspekte, in die die verschiedensten Abteilungen im Unternehmen involviert sind. Bild 5: Ohne grundlegende Vorarbeiten geht es nicht. Jegliche Service-Erbringung muss sicher & geschützt sowie verlässlich & spezifikationsgemäß ausgeführt werden. Das muss von vorneherein & durchgängig berücksichtigt werden. Immer wieder gibt es in Projekten Diskussionen wie die Einführung geschehen soll, Big Bang oder sukzessive. Capgemini empfiehlt die schrittweise Einführung und hat dafür ein 3-Phasenmodell mit insgesamt 10 Teilprojekten abgeleitet. Die Basisarbeiten bilden das Fundament auf denen die Pilotierungsphase und die Roll-out- Vorbereitung aufsetzen (s. Bild). IT Research November

14 Bild 6: Drei Phasen 10 Teilschritte, so das Modell. Zum Phasenmodell merkt Paul G. Huppertz kritisch an, anstatt ein weiteres Phasenmodell einzuführen, sollte man die systematische Integrierung der Service-Zugangsysteme gestalten, und zwar einmal grundsätzlich für alle mobilen & stationären Devices. Alles andere führe zu Doppelaufwand & Ineffizienz. Man erkennt also durchaus konträre Meinungen. Folgt man dem Phasenmodell auf Basis von Capgemini sieht anhand der Grafik die systematische Herangehensweise an das Projekt. Damit sollen Risiken im Projekt selbst minimiert werden. Im Schritt 1 erkennt man, dass alle Aspekte aus der Business-Strategie abgeleitet werden. Kombiniert man Phasenmodell und den Ansatz der Service- Erbringungsstrategie, dann muss aus der Business-Strategie eine adäquate Service-Erbringungsstrategie abgeleitet werden. Das wird meistens ignoriert, so dass ineffiziente Vorgehensweisen praktiziert werden. Bild 7: Schritt 1 umfasst die Analyse von Mitarbeitern, Rollen, Aufgaben und Anwendungsgebieten. IT Research November

15 Im Schritt zwei geht es dann um die Richtlinien. Die Erstellung von Policies (initial) und ihre Pflege (permanent) muss der Projektleiter stets im Auge behalten. Bild 8: Schritt 2 - eine BYOD-Richtlinie muss erarbeitet werden. Im dritten Schritt beginnen die Vorarbeiten für Schritt 4, das Pilotprojekt. Bild 9: Schritt 3 - Es geht nun um Datenschutz und Datenintegrität. Im Modell der Servialisierung entspricht dies der sicheren & geschütztne Erbringung eines jeden einzelnen & einmaligen ICTility Service. IT Research November

16 Im Pilotprojekt entscheidet sich das Go or No go. Scheitert es, kann das Projekt abgebrochen werden oder aber es zieht in der Regel eine erhebliche Zeit- und Kostenverzögerung nach sich. Bild 10: Schritt 4 - Die Pilotphase. Ist die Pilotphase erfolgreich geht es weiter zur nächsten Phase, die einzusetzenden Technologien. Erst hier kommen Produkte und Hersteller zwecks Evaluierung auf den Prüfstand. Bild 11: Schritt 5 - Erst in dieser Phase geht es um die einzusetzenden Technologien. Ein transparentes Auswahlverfahren ist die Voraussetzung für die Nutzerakzeptanz. Um die laufenden Kosten niedrig zu halten, sind Usability und Self Service wichtige Teilkomponenten im Auswahlprozess. IT Research November

17 Bild 12: Schritt 6 - Der Self Service ist an der Reihe, Stichwort hier auch die Automatisierung. In unserer Vorgehensweise ist die Erbringung von ICT-systembasierenden Business Support Services von vorneherein automatisiert, wobei die service-relevanten ICT-Systeme die Service-Automaten sind. Ist eine Grundsatzentscheidung gefallen, geht es an die Kosten-Nutzen Betrachtung, hier kommen zusätzlich zur IT andere Abteilungen ins Boot, so etwa der Einkauf und der Bereich Finanzen und Controlling. Es geht also um die Service-Gestehungskosten pro Service-Erbringungseinheit der erforderlichen Qualität. Bild 13: Schritt 7 - Die Kosten-Nutzen Betrachtung steht an. IT Research November

18 Dann geht es weiter für die IT und die Fachabteilungen mit den Anwendungen, denn die Frage ist, welche Anwendungen sollen eingebunden werden. Bild 14: Schritt 8 - Jetzt werden die möglichen Anwendungen genau betrachtet. Bild 15: Schritt 9 - Auf der Agenda steht das Nutzerverhalten. Im nächsten Schritt geht es um die Anwender, denn die Einführung von BYOD ist ja kein Selbstzweck, sondern soll zu mehr Produktivität, Flexibilität und Motivation bei den Mitarbeitern führen. Sie müssen geschult und instruiert werden und ein besonderes Augenmerk muss auf die Akzeptanz der Richtlinieneinhaltung gelegt werden. IT Research November

19 Bild 16: Schritt 10 - Support und Helpdesk Fragen werden geklärt. Der Helpdesk ist die letzte Instanz, schließlich landen hier alle Probleme, also muss er inhaltlich und personell auf die Einführung vorbereitet sein. Bild 17: Das Fazit nach Abarbeitung des Stufenplans. Ist das Projekt abgeschlossen, folgt das Fazit. Ist alles wie geplant gelaufen? Wo gab es Probleme? Was können wir daraus für das nächste Projekt lernen? IT Research November

20 2.4 Ein Masterplan muß her Der soeben vorgestellt Stufenplan ist eine sehr gute Orientierungshilfe für das Gelingen des Projektes. Natürlich stellen sich viele Detailfragen. Für alle Interessierten hat Dr. Helmut Steigele, Geschäftsführer von Cascade IT, einen Masterplan bereitgestellt, siehe nachfolgenden Ausschnitt. Hier der Link zum kompletten Plan im Posterformat, den er freundlicherweise zur Verfügung stellt: Bild 18: Ausschnitt aus dem Masterplan. Der Link führt zum Plan in Originalgröße. IT Research November