00:00:07 Shadow IT und seine Implikationen.
00:00:34 Das Konzept von Shadow IT in modernen Unternehmen.
00:02:30 Die Verbreitung von Shadow IT in verschiedenen Abteilungen.
00:04:42 Gründe für das Entstehen von Shadow IT in Organisationen.
00:07:09 Das Bewusstsein des Managements für Shadow IT und potenzielle Konsequenzen.
00:09:33 Vor- und Nachteile von Shadow IT, einschließlich Effizienz- und Datensicherheitsrisiken.
00:11:17 Auswirkungen von Shadow IT auf die Datensicherheit und Beispiele aus der Praxis.
00:13:15 Managementperspektiven zur Verhinderung von Shadow IT und mögliche Lösungen.
00:15:25 Das Bestehen von Shadow IT und die treibenden Kräfte dahinter.
00:16:42 Begeisterung fördern, während die Richtung von Shadow IT gesteuert wird.
00:17:01 Große Fehltritte und Sicherheitsrisiken vermeiden.
00:18:06 Fazit.
Zusammenfassung
In einem Interview mit Kieran Chandler diskutiert Joannes Vermorel, Gründer von Lokad, Shadow IT – ein Phänomen, bei dem Mitarbeiter unautorisierte Technologie verwenden, um Lücken in den Firmensystemen zu schließen. Vermorel argumentiert, dass Unternehmen die Unvermeidlichkeit von Shadow IT anerkennen und sie effektiv managen sollten. Er rät davon ab, Shadow IT vollständig zu eliminieren, da dies die Mitarbeiter demotivieren und innovative Lösungen behindern könnte. Stattdessen sollten Organisationen die Mitarbeiter ermutigen, Shadow-IT-Initiativen offenzulegen, um sie angemessen zu verwalten und zu überwachen. Vermorel betont die Wichtigkeit, die Sicherheit aufrechtzuerhalten und gravierende Fehler zu vermeiden, wie etwa die Preisgabe sensibler Kundendaten. Indem Unternehmen Shadow IT akzeptieren und beaufsichtigen, können sie größere Fehler verhindern, die Sicherheit gewährleisten und Innovation sowie Problemlösungskompetenz bei den Mitarbeitern fördern.
Erweiterte Zusammenfassung
In diesem Interview besprechen Kieran Chandler und Joannes Vermorel, der Gründer von Lokad, das Konzept von Shadow IT, dessen Verbreitung in Unternehmen und die damit verbundenen Herausforderungen. Shadow IT bezieht sich auf IT-Systeme, die ohne ausdrückliche Genehmigung des Managements installiert werden, oft weil Mitarbeiter versuchen, effizienter zu arbeiten. Diese Systeme können schwer zu warten sein und eine Bedrohung für die Datensicherheit darstellen.
Vermorel erklärt, dass moderne Unternehmen extrem komplex sind und dass enterprise software wie ERP und CRM-Systeme zwar ebenfalls komplex sind, aber nicht alle Feinheiten eines Unternehmens abbilden. Dies führt zu betrieblichen Lücken, in denen die bestehenden Systeme den Bedürfnissen der Mitarbeiter nicht gerecht werden oder wenn sich die Technologie rasant weiterentwickelt und die IT-Abteilung eines Unternehmens überfordert. Folglich entstehen parallele Systeme, bekannt als Shadow IT, um diese Lücken zu schließen.
Interessanterweise wird Shadow IT nicht immer ohne Genehmigung des Managements eingesetzt. Vermorel teilt seine Erfahrungen mit supply chain management, wo er gesehen hat, dass Manager ihre eigenen Shadow-IT-Systeme eingeführt haben. In diesen Fällen wird Shadow IT von Mitarbeitern außerhalb der IT-Abteilung verwaltet.
Shadow IT beschränkt sich nicht auf supply chain management; sie ist in verschiedenen Abteilungen zu finden, wie z. B. im Marketing und Finanzwesen. Allerdings ist supply chain ein besonders prädestinierter Kandidat für Shadow IT aufgrund seiner komplexen Natur, die den Umgang mit zahlreichen unvorhergesehenen Realitäten erfordert. Beispielsweise können Unternehmen unerwarteten Situationen begegnen, wie etwa überfluteten Lager, ungewöhnlichen Mindestbestellmengen (MOQ) von Lieferanten oder branchenspezifischen Kompatibilitätsproblemen, die von Standard-Systemen nicht leicht zu bewältigen sind.
Typischerweise sind Shadow-IT-Systeme eine Sammlung von Excel Tabellen und Microsoft Access-Datenbanken, die eingesetzt werden, um diese einzigartigen Szenarien zu bearbeiten. Sie entstehen, wenn Mitarbeiter auf Probleme stoßen, die mit den bestehenden Systemen nicht gelöst werden können oder wenn es nötig ist, Informationen zu verfolgen, die innerhalb der aktuellen Struktur nicht einfach zu verwalten sind.
Es wurde über die Präsenz von Shadow IT in Unternehmen und deren Auswirkungen auf Effizienz und Datenmanagement diskutiert. Es wurde untersucht, welche Gründe hinter dem Bestehen von Shadow IT und deren Einfluss auf Unternehmen stecken.
Vermorel erklärt, dass ein Grund für die Verbreitung von Shadow IT die Komplexität der Realität ist, die es den IT-Abteilungen erschwert, mit den Bedürfnissen ihrer Mitarbeiter Schritt zu halten. Unternehmen investieren erhebliche Summen in IT, stellen jedoch oft fest, dass ihre Enterprise-Resource-Planning (ERP)-Systeme nicht in der Lage sind, den vollen Umfang ihrer Anforderungen abzudecken. Dies führt dazu, dass Mitarbeiter auf “Shadow IT” oder inoffizielle Systeme und Prozesse zurückgreifen, um die Lücken zu füllen.
Das Management dieser Unternehmen ist sich der Existenz von Shadow IT möglicherweise nicht immer bewusst, da Mitarbeiter ihre Umgehungslösungen oft aufgrund unternehmensinterner Richtlinien geheim halten. Vermorel erzählt eine Anekdote über einen supply chain-Direktor, der seine eigene Access-Datenbank eingerichtet hatte, um Informationen über Lieferanten zu speichern. Diese Datenbank widersprach den Unternehmensrichtlinien, aber der Direktor fand sie nützlich und behielt sie für sich. Später richtete ein weiterer Mitarbeiter eine ähnliche Datenbank ein, ohne dass sein Vorgesetzter davon wusste. Dies führte zu einer Situation, in der Shadow IT auf mehreren Managementebenen innerhalb des Unternehmens existierte.
Chandler fragt, ob Shadow IT zwangsläufig ein Problem darstellt, da sie scheinbar die Effizienz der Mitarbeiter steigert. Vermorel entgegnet, dass Shadow IT ein zweischneidiges Schwert sein kann. Einerseits impliziert ihre Existenz, dass den Mitarbeitern ihre Arbeit am Herzen liegt und sie ihre Leistung verbessern wollen. Andererseits,
Sie diskutieren das Thema “Shadow IT”, das sich auf den Einsatz nicht genehmigter Softwarewerkzeuge bezieht, mit denen Mitarbeiter eigene Lösungen schaffen, wenn die vorhandenen Tools ihren Bedürfnissen nicht entsprechen. Vermorel ist der Meinung, dass Shadow IT ein Zeichen von Engagement, Einfallsreichtum und Antrieb bei den Mitarbeitern ist, räumt jedoch auch die damit verbundenen Probleme ein.
Shadow IT kann zu doppelter Arbeit, Schwierigkeiten bei der Skalierung und Wartung von Lösungen sowie zu Bedenken hinsichtlich der Datensicherheit führen. Vermorel vergleicht sie mit einer technischen und organisatorischen Schuld, die durch die Integration dieser ad hoc Systeme in die zentrale IT-Infrastruktur beglichen werden muss.
Die Datensicherheit ist ein erhebliches Problem bei Shadow IT, da Mitarbeiter sensible Informationen auf ihren persönlichen Geräten speichern oder informelle Methoden zur Konsolidierung von Daten verwenden könnten. Vermorel führt ein aktuelles Beispiel einer britischen Bank an, bei der es zu einem Datenleck kam, weil ein Mitarbeiter Millionen von Kundenaufzeichnungen auf seiner persönlichen Festplatte speicherte. Er argumentiert, dass, wenn solche Praktiken weit verbreitet werden, Datenpannen unvermeidlich sind.
Vermorel schlägt vor, dass Unternehmen die Risiken von Shadow IT mindern können, indem sie programmatische Lösungen einführen, die einen Ausgleich zwischen dem Bedarf an Anpassung und dem Bedürfnis nach Kontrolle bieten. Lokad ist beispielsweise eine programmatische Plattform, die es supply chain Praktikern ermöglicht, individuelle Skripte zu schreiben, um Berichte und Logiken zu erstellen, während sie in einer kontrollierten Umgebung bleiben. Dieser Ansatz erlaubt es den Mitarbeitern, ihre spezifischen Bedürfnisse zu adressieren, ohne auf ungenehmigte Werkzeuge zurückzugreifen.
Andere Unternehmen, wie SAP und Oracle, bieten ähnliche programmatische Möglichkeiten. Durch die Nutzung dieser Plattformen können Organisationen den Mitarbeitern eine Möglichkeit bieten, ihre individuellen Bedürfnisse zu erfüllen und dabei die Kontrolle über die Datensicherheit und Softwarewartung zu behalten. Dies kann dazu beitragen, das Wachstum von Shadow IT und die damit verbundenen Risiken zu verhindern.
Vermorel rät davon ab, eine Hexenjagd zu veranstalten, um Shadow IT zu eliminieren, da dies die Mitarbeiter demotivieren und die Organisation möglicherweise um die Vorteile bringen könnte, die sich aus der Begeisterung und den innovativen Lösungen der Mitarbeiter ergeben. Er schlägt vor, dass Organisationen die Mitarbeiter ermutigen sollten, Shadow-IT-Initiativen offenzulegen, sodass die Organisation sie im Blick behalten und effektiv managen kann.
Einer der Schlüsselaspekte, den Vermorel hervorhebt, ist die Bedeutung der Aufrechterhaltung der Sicherheit und der Vermeidung erheblicher Fehler, wie etwa das unverschlüsselte Belassen sensibler Kundendaten auf dem Laptop eines Mitarbeiters. Um dies zu erreichen, schlägt er vor, dass Organisationen Shadow-IT-Initiativen unter der Bedingung zulassen, dass sie von der IT-Abteilung überwacht werden. Dadurch könnten Unternehmen größere Fehler verhindern und die Kontrolle über ihr internes technologisches Umfeld behalten, während sie gleichzeitig Innovation und Problemlösungsfähigkeiten der Mitarbeiter fördern.
Joannes Vermorel empfiehlt, dass Organisationen die Unvermeidlichkeit von Shadow IT akzeptieren und sich darauf konzentrieren sollten, diese effektiv zu managen. Indem sie deren Existenz anerkennen und überwachen, können Unternehmen größere Fehler verhindern, die Sicherheit gewährleisten und von der Kreativität sowie den Problemlösungsfähigkeiten ihrer Mitarbeiter profitieren.
Vollständiges Transkript
Kieran Chandler: Heute wollen wir genau verstehen, warum diese Systeme installiert werden und auch, was das Management tun kann, um zu verhindern, dass sie zu einer Bedrohung für die Organisation werden. Also, Joannes, vielleicht solltest du uns ein wenig mehr darüber erzählen, was Shadow IT eigentlich ist.
Joannes Vermorel: Ja, moderne Unternehmen sind erstaunlich komplex, und obwohl ich sagen würde, dass Enterprise-Software ebenso komplex ist wie diese ERPs und CRMs, fassen sie nicht alle Details des Geschäfts zusammen. So landet man häufig bei einem Hauptrechner-System, das vieles leistet, aber nicht alles. Dadurch entstehen betriebliche Lücken, in denen das bestehende System nicht das liefert, was benötigt wird. Manchmal entwickelt sich die Technologie sehr schnell, und es entstehen neue Bedürfnisse, zum Beispiel durch Smartphones. Plötzlich möchte jeder mobilen Zugang zu allem haben, sodass die IT im Unternehmen nicht immer alle Anforderungen erfüllen kann. Infolgedessen landet man mit parallelen Systemen, die nicht vollständig geplant sind und als Shadow IT bezeichnet werden.
Joannes Vermorel: Außerdem, aus meiner supply chain Erfahrung, ist es interessant, dass Shadow IT, wie sie gemeinhin definiert wird, nicht zwangsläufig etwas ist, das ausschließlich ohne Genehmigung des Managements eingesetzt wird. Ich habe viele Unternehmen gesehen, in denen das supply chain management ihr eigenes Shadow-IT-System eingeführt hat. Typischerweise steht Shadow IT im Gegensatz zu dem, was von der IT-Abteilung bereitgestellt wird, und manchmal liegt sie sogar in den Händen des Managements, wobei es jedoch nicht der IT-Direktor ist.
Kieran Chandler: Also, das sind im Grunde Systeme, die von den Mitarbeitern erstellt werden, um eine Umgehungslösung zu haben und etwas effizienter zu arbeiten, indem sie ihre eigenen Systeme schaffen. Ist das nur ein supply chain-Problem, oder zeigt sich das im gesamten Unternehmen?
Joannes Vermorel: Ich denke, in jeder Abteilung gibt es ein bisschen Shadow IT, zum Beispiel im Controlling und Marketing, je nachdem, wie umfangreich das CRM-System ist. Aber ich vermute, dass supply chain ein besonders prädestinierter Kandidat für Shadow IT ist. Die Realität ist, dass die wirkliche Welt überraschend komplex ist und supply chain sich darum dreht, mit den völlig unvorhergesehenen Eventualitäten der realen Welt umzugehen. Wir haben Kunden, die mit bizarren Situationen konfrontiert sind, wie etwa überfluteten Lagern. Gibt es im System ein Kontrollkästchen, um anzugeben, dass mein Lager überflutet ist? Vielleicht nicht. Man könnte eine bizarre MOQ von einem Lieferanten haben, die beispielsweise in Metern Stoff pro Farbe angegeben wird. Oder vielleicht wird die MOQ nur in Einheiten oder Zoll angegeben, jedoch nicht in Metern Stoff. In der Luft- und Raumfahrt gibt es diese bizarren Einbahn-Kompatibilitäten, die sehr spezifisch sind und in kein System wirklich passen.
Kieran Chandler: Also führen all diese Dinge dazu, dass die reale Welt eine endlose Abfolge von Unregelmäßigkeiten aufweist, und die Menschen bauen Shadow-IT-Systeme, die in der Regel als Ansammlung von Excel-Tabellen und möglicherweise einigen Microsoft Access-Datenbanken beschrieben werden.
Kieran Chandler: Okay, so beginnen diese Probleme tatsächlich so, weil wir in Szenarien geraten, in denen sie mit den aktuellen Systemen nicht behoben werden können. Ist das der Ablauf?
Joannes Vermorel: Ja, und manchmal ist es einfach ein sehr banaler Bedarf, Dinge nachzuverfolgen. Zum Beispiel: Wie behalte ich den Überblick darüber, dass ich 500 Lieferanten habe, deren MOQ in Metern angegeben ist?
Kieran Chandler: Also, Joannes, kannst du uns sagen, wo du die Stoffzahlen für dein Geschäft festhältst?
Joannes Vermorel: Ich muss 500 Stoffzahlen erfassen. Ich werde dazu ein Excel-Arbeitsblatt erstellen. Es ist banal, aber ich muss diese Daten irgendwo ablegen, damit ich sie später abrufen kann, wenn ich sie benötige. Ich brauche diese Informationen, wenn ich eine Bestellung an einen meiner Lieferanten übermittle.
Kieran Chandler: Es erscheint seltsam, dass etwas so Einfaches in Unternehmen mit großen IT-Abteilungen übersehen wird. Was hältst du davon?
Joannes Vermorel: Ja, es ist überraschend. Unternehmen investieren so viel Geld in IT, und es ist so wichtig. Doch die IT-Abteilungen hinken oft den Bedürfnissen der Unternehmen hinterher. Die Komplexität der Realität wird häufig übersehen. Software soll die Realität abbilden, was jedoch schwierig ist. Viele unserer Kunden verfügen über ein ERP mit mehreren tausend Tabellen, decken aber nur die Hälfte ihres Bedarfs ab. Zudem ändern sich die Anforderungen ständig, was es erschwert.
Kieran Chandler: Das erscheint wirklich komplex. Was ist mit Unternehmen wie ACP, die versuchen, die Komplexität aller Branchen zu erfassen?
Joannes Vermorel: Selbst nach Jahrzehnten enormer Investitionen der IT-Branche gibt es in Wirklichkeit immer noch endlose Lücken, die gefüllt werden müssen. Shadow IT ist allgegenwärtig.
Kieran Chandler: Ist das Management sich dieser Umgehungslösungen bewusst, oder läuft das im Verborgenen ab?
Joannes Vermorel: Ich erinnere mich, dass ich das vor ein paar Jahren mit einem supply chain director besprochen habe. Er hatte Informationen über Lieferanten, die in keinem anderen System existierten. Als ich ihn fragte, woher die Daten kamen, zeigte er mir seine eigene Access-Datenbank. Er hatte sie clever eingerichtet, aber es war gegen die Unternehmensrichtlinien. Er behielt sie für sich. Später stellten wir fest, dass es Lieferanten gab, die in seiner Datenbank nicht erfasst waren, aber wir hatten trotzdem die Informationen. Als wir die Person fragten, die unter diesem Direktor arbeitete, sagte sie, dass sie ihre eigene Access-Datenbank eingerichtet habe, und ihr Chef wusste nichts davon. Es gab Shadow IT innerhalb von Shadow IT. Es war amüsant festzustellen, wie allumfassend und rekursiv das war.
Kieran Chandler: Es scheint eine Verdoppelung der Arbeit zu sein, aber ist das ein Problem?
Joannes Vermorel: Shadow IT ist ein zweischneidiges Schwert. Die bloße Existenz von Shadow IT bedeutet, dass die Menschen ihre Arbeit ernst nehmen und Dinge besser machen wollen.
Kieran Chandler: Sie wollen darin effizienter sein, egal was es kostet. Und wenn es keine geeigneten Werkzeuge gibt, dann werden sie ihre eigenen Werkzeuge erstellen, was meiner Meinung nach ein Zeichen dafür ist, dass die Menschen engagiert, entschlossen und einfallsreich sind. Ich meine, das sind alles sehr positive Eigenschaften. Also, es passiert. Viele der Unternehmen, mit denen wir arbeiten – die profitabel, schnellwachsend usw. sind – haben eine solche Vorliebe für Stabilität. Daher würde ich nicht unbedingt sagen, dass es wirklich eine so schlechte Sache ist.
Joannes Vermorel: Das Problem ist, dass am Ende viel doppelte Arbeit entsteht, die schlecht skaliert, kaum wartbar ist und in Bezug auf Datensicherheit ein kleines Fiasko darstellt. Es gibt viele Probleme, die darauf warten, aufzutreten. So wie ich es sehe, ist es ein bisschen wie technische Schulden, die ein Unternehmen sich selbst gegenüber hat, eine organisatorische Verschuldung, bei der all diese Systeme das Unternehmen am Laufen halten, und diese Schulden müssen beglichen werden, indem man all diese Erkenntnisse und Prozesse tatsächlich korrekt in die Mainstream-IT integriert, sodass sie in den nächsten Jahrzehnten rationalisiert und gewartet werden können.
Kieran Chandler: Du hast Datensicherheit erwähnt. Wie können diese Werkzeuge das Unternehmen als Ganzes beeinflussen? Wir haben in den Nachrichten gesehen, ich glaube vor ein paar Wochen, dass es in Großbritannien eine Bank gab, bei der es zu einem Leck kam, weil ein Mitarbeiter Daten von Millionen von Kunden auf einer seiner eigenen persönlichen Festplatten hatte.
Joannes Vermorel: Allein schon die Tatsache, dass ein einzelner Mitarbeiter umfangreiche Kopien von Datenbanken, die Millionen von Kunden enthalten, auf seinem persönlichen Computer haben kann, ist ein Desaster in der Warteschleife. Es gibt keine Situation, in der, wenn man das einmal macht, man vielleicht Glück hat und kein Desaster eintritt, aber wenn es zur Praxis wird, ist die Wahrscheinlichkeit, dass im Laufe der Zeit ein Desaster passiert, nahezu 1. Also, es wird passieren; es ist nur eine Frage der Zeit. Sobald die Menschen beginnen, Datenbanken in nennenswertem Umfang zu konsolidieren und dies auf völlig informelle Weise mit ihren eigenen provisorischen Excel- oder Microsoft Access-Datenbanken tun, wird das Leck auftreten. Wenn es sich um eine Datenbank von Lieferanten oder SKUs handelt, nun, das ist in Ordnung. Wenn diese geleakt werden, kein großes Problem, es ist nicht persönlich, es sind nicht super sensible Daten. Offensichtlich wirst du vielleicht ein paar Lieferanten leicht verärgern, indem du das leakt, was Teil des Deals ist, den sie mit dir ausgehandelt haben, aber insgesamt ist es immer noch ein bescheidenes Problem. Aber sobald du beginnst, Datenbanken von Kunden zu erfassen, ja, kann es sehr schlimm werden.
Kieran Chandler: Schauen wir die Dinge vielleicht aus der Perspektive des Managements an. Gibt es etwas, das sie tun können, um zu verhindern, dass diese Shadow IT entsteht? Was können sie tun, um zu verhindern, dass ihre Mitarbeiter die Angelegenheiten selbst in die Hand nehmen? Ich meine, als schamlosen Hinweis kann Lokad zur Lösung beitragen.
Joannes Vermorel: Eine der Ideen ist es, programmatische Lösungen, programmatische Plattformen zu haben. Zum Beispiel ist eine der Arten, wie Lokad dieses Bedürfnis adressiert, dass Lokad an sich eine programmatische Plattform ist. Was meine ich damit? Ich meine, dass ein supply chain practitioner, falls er…
Kieran Chandler: Lokad ermöglicht es den Nutzern, eigene Skripte für Berichte und Logik zu schreiben, was es fortgeschrittenen Excel-Nutzern zugänglich macht. Wie geht damit das Problem der Shadow IT-Bedürfnisse innerhalb eines Unternehmens um?
Joannes Vermorel: Indem Lokad und ähnliche Plattformen programmatische Fähigkeiten anbieten, ermöglichen sie es Teams, ihre eigenen Erweiterungen zu entwickeln, während sie innerhalb einer verwalteten IT-Umgebung bleiben. Das stellt sicher, dass Sicherheitspraktiken vorhanden sind, im Gegensatz dazu, auf unsichere Methoden wie das Teilen von Excel-Tabellen oder Access-Datenbanken auf ungeschützten Geräten zurückzugreifen.
Kieran Chandler: Also, wenn man bedenkt, dass Shadow IT ein menschengesteuertes Phänomen ist, glaubst du, dass wir sie jemals vollständig eliminieren können?
Joannes Vermorel: Ich denke, der Schlüssel liegt darin, die treibenden Kräfte hinter Shadow IT zu verstehen. Unternehmen verändern sich ständig, und IT-Systeme werden immer ein wenig hinterherhinken. Es ist nicht so, dass IT schlecht ist, aber es dauert, ein vollständig wartbares, produktionsreifes System zu erreichen. Zuerst müssen wir akzeptieren, dass Shadow IT bleibt, und anstatt zu versuchen, sie zu eliminieren, sollten wir die Begeisterung unserer Mitarbeiter, Prozesse zu verbessern, annehmen. Wir sollten sie zu stärker verwalteten Lösungen leiten und ihre Aktivitäten überwachen, um größere Fehler zu vermeiden, wie unverschlüsselte Kundendatenbanken auf verlorenen Laptops.
Kieran Chandler: Also sollten Unternehmen Shadow IT in gewissem Maße zulassen, aber unter strenger Aufsicht der IT-Abteilungen, um erhebliche Fehler zu verhindern?
Joannes Vermorel: Genau. Wenn man Shadow IT vollständig verbietet und damit droht, Übeltäter zu entlassen, werden die Leute einem schlichtweg nichts von ihren Handlungen berichten. Es ist besser, sie unter der Bedingung zuzulassen, dass sie von der IT überwacht werden, damit größere Fehler verhindert werden können.
Kieran Chandler: Super, danke für deine Zeit heute, Joannes. Das war alles für diese Woche. Danke fürs Einschalten, und wir sehen uns beim nächsten Mal wieder. Auf Wiedersehen.
Joannes Vermorel: Danke und auf Wiedersehen.