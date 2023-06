Köln Die Digitalstrategie gleicht in vielen Unternehmen einem Sammelsurium: Am Anfang war das E-Mail-Programm, klar. Und ohne eine zentrale Software für die Unternehmenssteuerung geht auch nichts. Dann das Videokonferenztool – nicht mehr wegzudenken. Die Marketingabteilung hat noch das Programm, mit dem sich nachvollziehen lässt, wer den Newsletter öffnet.

Und der Vertrieb will rasch digital darüber abstimmen, wann der beste Termin für das Sommerfest wäre. „In Unternehmen mit etwa 1000 Mitarbeitern sind es schnell mehr als 200 bis 400 verschiedene Softwarelösungen – von der kostenlosen Open-Source-Lizenz bis zum umfangreichen ERP-System“, sagt Sven Lackinger, Gründer des Start-ups Sastrify, das Firmen eine Übersicht über ihre Softwarekosten verschafft.

Mit den Jahren ist in vielen Unternehmen ein kaum übersichtliches Software-Durcheinander entstanden. Immer wieder ist die Rede von sogenannter „Schatten-IT“, die, unbemerkt von der IT- oder Einkaufsabteilung, vor sich hin gewachsen sei. Dieses Chaos birgt enorme Risiken. Zum einen für die Sicherheit und Einhaltung von Standards und Regeln. Zum anderen für Budgets, weil sich viele vermeintlich kleine Ausgaben zu großen Summen addieren.

Digitalisierung: Viele Unternehmen verlieren die Übersicht über ihre IT

Zunehmend suchen Unternehmen deshalb nach Wegen, Licht in schlecht ausgeleuchtete IT-Ecken zu bringen. Die Krux: Es geht häufig um eine Balance aus Schnelligkeit und Sicherheit – Fachabteilungen suchen zügige digitale Hilfe, IT-Verantwortliche wollen sorgsam prüfen. Ein sinnvoller Mittelweg braucht Strategien und Tools, die Transparenz herstellen. „Verhindern ist in vielen Fällen nicht der richtige Weg“, sagt Susanne Strahringer, Professorin für Wirtschaftsinformatik an der Technischen Universität Dresden, „es geht eher darum, Umgebungen zu schaffen, in denen man die Schatten-IT legalisieren kann.“

Die Anzahl der Anwendungen – egal ob versteckt oder offiziell angeschafft – ist in den vergangenen Jahren noch einmal gestiegen. Immer mehr Abteilungen suchen nach Programmen, die den Arbeitsalltag erleichtern. Der coronabedingte Wechsel in das Homeoffice hat oft dazu geführt, dass spontan viele zusätzliche Anwendungen benötigt wurden.

Parallel ist im vergangenen Jahr der sogenannte „Software-as-a-Service“-Markt rapide gewachsen. Die Tools müssen nicht mehr auf den Firmenservern installiert werden, sondern werden im Internet mit wenigen Klicks geordert und laufen in der eigenen oder einer fremden Cloud-Umgebung. „Einmal die Kreditkarte gezückt und schon habe ich die passende Lösung“, beschreibt Strahringer den heutigen Alltag im IT-Einkauf.

Jede neue Software birgt ein Risiko

Doch mit jeder neuen Software, die unbemerkt in die Firmen-IT einzieht, wächst die Ungewissheit. „So baut eine IT-Landschaft an verschiedenen Stellen auf Komponenten auf, die massive Sicherheitslücken haben können“, sagt André Christ, Gründer des Bonner Tech-Unternehmens Lean IX. Dessen Plattform gibt Firmen einen Überblick über ihre eigene Software-Vielfalt. Etwa die Hälfte der mehr als 1000 Kunden hatte zuvor händisch in Tabellen notiert, welche Lösungen wo im Einsatz sind. Doch was die zentrale IT nicht kennt, kann sie nicht gegen Angreifer absichern.

Hinzu kommt: In Zukunft dürften Unternehmen in Haftung genommen werden, wenn sie die eingesetzten Programme nicht überprüfen. In den USA wird die sogenannte „Software Bill of Materials“, eine Art Inhaltsverzeichnis von Tech-Komponenten, bereits von staatlichen Anwendern vorausgesetzt. Weniger bedrohlich, aber bremsend: Wenn an vielen Stellen mit verschiedenen Anwendungen gearbeitet wird, entstehen wieder abgeschlossene Datensilos, die eigentlich eher verschwinden sollen.

Ungewissheit über Kosten wegen fehlender Übersicht

Zunehmend wichtig in Zeiten einer Rezession: Wie viel kosten die eingesetzten Softwarelizenzen überhaupt – und wie häufig werden sie genutzt? Viele der Software-as-a-Service-Programme werden pro Nutzer oder nach Volumen abgerechnet. Bei Schatten-IT kann es zu doppelten Anschaffungen kommen, zu viel zu üppig dimensionierten Paketen oder auch zu Open-Source-Anwendungen, bei denen die Lizenzbedingungen nicht mehr korrekt erfüllt werden. Das kann für Unternehmen überflüssige Kosten produzieren.



Das bedeutet also eine Menge Handlungsbedarf für die Unternehmens-IT. „Nur die Hälfte der Unternehmen kennt überhaupt die Gesamtzahl ihrer Anwendungen“, zitiert Christ aus einer Umfrage von Lean IX. Und etwa vier von fünf befragten Firmen planen, ihr Portfolio an Software im Laufe dieses Jahres zu optimieren.

Beim ersten Schritt hin zu einer Übersicht über die verwendeten Anwendungen kommt das sogenannte „Enterprise Architecture Management“ zum Einsatz. Bei dieser Aufgabe helfen Plattformen – zu denen neben Lean IX beispielsweise Sparx Systems oder Module von Service Now und der Software AG zählen. Sie suchen automatisiert nach Schnittstellen oder analysieren den internen Netzwerkverkehr, um zu verstehen, welche Programme existieren und wie sie genutzt werden.

Anbieter wie Sastrify kommen von der Kostenseite. Sie identifizieren die Softwareausgaben in der Buchhaltung, verschaffen eine Übersicht über gekaufte Lizenzen und versprechen Durchblick in den sehr intransparenten Tarifstrukturen der SaaS-Anbieter. „Die Unterschiede sind brutal“, sagt Sastrify-Gründer Lackinger, dessen Produkt Vertragsdaten auswertet. „Wir sehen manchmal bei den gleichen Produkten zwischen null und 90 Prozent Rabatt.“

Nachdem klar ist, welche der identifizierten Anwendungen bleiben dürfen oder gehen müssen, geht es um einen geordneten Übergang. Das setzt voraus, dass die verantwortlichen Personen nicht gegeneinander arbeiten. „Die Kultur ist ein wesentlicher Aspekt. Wenn ein IT-Chef die bisherige Entwicklung nur als ein Versagen begreift, dann wird er versuchen, jede Änderung zu vermeiden“, sagt TU-Dresden-Professorin Strahringer.

Im besten Fall wird neue Software zuvor von der IT überprüft

Stattdessen ist das Ziel ein tatsächlicher Austausch auf Augenhöhe. Mit ihrem Kollegen Markus Westner, Professor für Wirtschaftsinformatik an der Ostbayerischen Technischen Hochschule Regensburg, wirbt Strahringer für den Ansatz der sogenannten „Business Managed IT“. Die Systemadministratoren und IT-Architekten sind in diesem Modell zum einen dafür zuständig, die Rahmenbedingungen hinsichtlich Sicherheit und Compliance zu garantieren. Zum anderen stehen aber auch Mitarbeiter als Software-Sparringspartner für Marketing-, Vertriebs- oder Produktionsabteilung bereit. „Eine schnelle Eingreiftruppe aus der IT, eine Art internes Consulting-Team, kann den Fachbereichen helfen, sich weiterzuentwickeln“, sagt Westner.

Gemeinsam kann dann bewertetet werden, welcher Betreuungsgrad von welcher Seite nötig ist. Die Faustregel lautet: Ist die Anwendung klein und nur in einer Abteilung für eine kurze Zeit im Einsatz, dann kann sie in der Verantwortung des Fachbereichs bleiben. „Je größer und wichtiger eine Lösung wird, desto wahrscheinlicher ist es, sie irgendwann an die IT-Abteilung heranzuführen“, sagt Westner.

Im besten Fall sucht und bewertet die IT-Abteilung passende Anwendungen zuvor. Andere Unternehmen schaffen in ihrem Intranet einen Marktplatz, in dem für möglichst viele Anwendungszwecke freigegebene Software gelistet ist. „Das erinnert an den App Store, den die Mitarbeiter aus ihrem privaten Smartphone kennen“, sagt Lackinger.

Digitalisierung in Unternehmen: Ein Hase-und-Igel-Rennen

Das Problem bleibt: Je größer ein Konzern und je spezieller die Anforderungen der Fachbereiche, umso schwieriger wird es für die IT, alle Spezialsoftware im Blick zu behalten. Aktuell könnten diese Debatten etwa bei Anwendungen mit Künstlicher Intelligenz geführt werden. Der Kundenservice würde gerne zügig selbstlernende Algorithmen einsetzen, die IT hat Bedenken, dass so sensible Produkt- oder Kundendaten freigiebig in die Programme kopiert werden. „Die Produktivitätsgewinne sind enorm, aber es besteht das Risiko von unkontrollierten Datenabflüssen“, sagt Westner.

So droht immer wieder ein Flaschenhals: In einer Abteilung wird dringend ein Tool benötigt, doch zwischen IT-Sicherheit, IT-Architekten und IT-Einkauf geht der Antrag wochenlang hin und her – zwischenzeitlich zückt der wartende Abteilungsleiter kurzerhand die Firmenkreditkarte.

Noch einen Schritt weiter gehen sogenannte Low-Code- oder No-Code-Plattformen. Sie sind ein Softwarebaukasten, mit dem sich Mitarbeiter ohne Programmierkenntnisse aus vordefinierten Modulen passende Miniprogramme zusammenbauen können – eine Art Lego-Technik für individuelle Lösungen. Diese Bastelarbeit im geschützten Raum dürfte künftig zunehmen. „Auch große Standard-Softwarehersteller müssen diesen Weg gehen und den Fachabteilungen erlauben, kleine Zusatzprogramme entwickeln zu können“, sagt Strahringer.

Mehr: So bekommen Mittelständler IT-Unterstützung aus der Datencloud

Erstpublikation: 05.06.2023, 09:00 Uhr.