Meistens ist es gar nicht böse gemeint, und doch birgt Schatten-IT in Unternehmen und Organisationen große Gefahren.
Wenn entnervte Mitarbeiter sich mit nicht genehmigten Cloud-Diensten oder Software selbst behelfen, weil die IT-Abteilung nicht die Zeit und die Kapazitäten hat, um zügig nötige Software zu konfigurieren und bereitzustellen, dann führt das insbesondere in Projekten zur Prozessautomation oft zu Problemen und bietet auch Cyberkriminellen ein willkommenes Einfallstor für Angriffe. Abhilfe schaffen hier No-Code- und Low-Code-Technologien, die Mitarbeitern einen sicheren und flexiblen Rahmen bieten, um eigene Prozessentwicklungen schnell und Compliance-konform umzusetzen und Schatten-IT gar nicht erst aufkommen zu lassen.
In den Fachabteilungen der Unternehmen wächst der Bedarf nach automatisierten Prozessen. Die IT-Abteilungen haben allerdings meist nicht die Zeit und die Ressourcen, die Anfragen zeitnah zu beantworten. Das dauert oft Wochen und Monate. Gestresste Mitarbeiter nehmen deshalb die Sache oft selbst in die Hand und greifen auf selbstgewählte und nicht genehmigte Software zurück. Diese nicht freigegebenen Schatten-Tools mögen zwar für den Einzelfall funktionieren, für die Compliance stellen sie jedoch ein ernstes Risiko dar. Cyberkriminellen bieten sie zudem oft eine willkommene Lücke im Sicherheitssystem und stellen für die Datensicherheit eine erhebliche Bedrohung dar.
Mit No-Code- und Low-Code-Plattformen Schatten-IT bekämpfen
Es gibt jedoch Abhilfe, die IT-Abteilungen entlastet und Fachabteilungen schnelle Unterstützung gewährt: Auf No-Code- oder Low-Code-Entwicklungsplattformen können Mitarbeiter in den Fach- oder Organisationsabteilungen, die über keinen IT-Entwicklerhintergrund verfügen, ihre Prozesse sicher und selbstbestimmt automatisieren und mit den IT-Teams Hand in Hand zusammenarbeiten. Während die zentrale IT sich um die Beschaffung der Tools kümmert und die Steuerung und Freigabe der Anwendungsentwicklung übernimmt, gestalten und automatisieren Fachanwender ihre Arbeitsabläufe nahezu selbstständig und müssen nicht auf illegale, von der IT weder getestete noch freigegebene Lösungen und Systeme zurückgreifen.
No-Code: Workflows per intuitiver Drag-and-Drop-Modellierung
Mit No-Code erstellen Nutzer ihre digitalen Workflows per intuitiver Drag-and-Drop-Modellierung. Prozessabläufe werden als grafisches Modell beschrieben, meistens in Form eines BPMN 2.0-Diagramms (dem aktuellen Standard im Bereich der Geschäftsprozessmodellierung) und stehen bereits Sekunden später als ausführbare Prozess-App zur Verfügung. In dieser App lassen sich dann digitale Formulare, Entscheidungsregeln, Systemintegrationen und E-Mail-Benachrichtigungen konfigurieren und nach dem Legoprinzip zusammenstecken und modellieren. Weil man sich hier meist an vorgefertigten Schnittstellen bedient und es keine komplizierten, individuell zu erstellenden Integrationen in Drittsysteme gibt, sind tiefergehende, technische Skills oder Programmierkenntnisse nicht erforderlich.
Low-Code: IT-Affinität ist Grundvoraussetzung
Bei Low-Code-Anwendungen basieren Prozessentwicklung und -automation ebenfalls auf grafisch erstellten Prozessmodellen, um Formulare, Entscheidungsregeln und E-Mail-Benachrichtigungen zu erstellen. Weil es hier oft um sehr komplexe Abläufe geht, holen und verarbeiten Low-Code-Anwendungen zusätzlich Daten aus Drittsystemen wie SAP oder SharePoint und leiten sie bei Bedarf an andere Systeme weiter. Die Daten werden über standardisierte oder selbsterstellte Schnittstellen zwischen den Systemen bewegt. Um diese Vorgänge zu verstehen und eigenständig aufzusetzen, muss der Anwender zwar kein Programmierer sein, er sollte aber beispielsweise eine REST-API-Dokumentation lesen können. Er benötigt also mehr technische Skills, als jemand, der ausschließlich an einem Prozessmodell arbeitet. Eine gewisse IT-Affinität ist für Low-Code-Programmierung also Grundvoraussetzung.
Zusammenklicken vorgefertigter Softwarebausteine
Wo früher gut ausgebildete Software-Entwickler Automationslösungen mittels Tausenden von Codezeilen programmierten, automatisieren Nutzer heute ihre Prozesse mittels grafischer Bedienoberflächen, visueller Werkzeuge und durch das Zusammenklicken vorgefertigter Softwarebausteine selber. „Konfigurieren statt Programmieren“ lautet das Prinzip, mit dem sich vor allem wiederkehrende Aufgaben wie Dokumentenfreigabe, Rechnungsprüfung, Stammdatenpflege oder Bestell- und Urlaubsanfragen innerhalb von wenigen Tagen, oft sogar wenigen Stunden automatisieren lassen. Die nötigen Automatisierungs-Prozesse müssen auf den Plattformen nicht von Grund auf neu erstellt werden: mit Referenzmodellen, KI-generierten Prozessmodellen oder Templates, die BPM-Hersteller auf Basis ihrer jahrelangen Erfahrung mit Unternehmen unterschiedlichster Branchen und Größen bereitstellen, geht es leichter und schneller. Es überrascht deshalb auch nicht, dass immer mehr Fachanwender ihre Prozesse per No-Code und Low-Code selbst automatisieren. So prognostiziert das Marktforschungsunternehmen Gartner, dass bis 2026 mindestens 80 Prozent der Nutzer von Low-Code-Entwicklungstools keine IT‘ler sind.
KI-gestützte Prozesskonfiguration
Mit Hilfe von Künstlicher Intelligenz (KI) als Vorschlagsgenerator oder einer Fancy-Suche mit ChatGPT lässt sich Content noch einfacher finden. Vorgefertigte KI-Komponenten in den Plattformen können für unterschiedliche Geschäftsszenarien konzipiert werden und alle wesentlichen Industriestandards und Systemschnittstellen unterstützen. Anwender können so mit nur wenigen Klicks klassische KI-Modelle wie Bilderkennung, Vorhersagen oder Klassifikationen nutzen, ohne die zeitaufwändige Datenaufbereitung, das Algorithmus-Design und Modell-Training mit Tausenden von Datenpunkten selbst auszuführen. Um zum Beispiel einen Vertriebsprozess zu erstellen, findet der Anwender mit Hilfe von KI die wichtigsten zehn Funktionen bereits innerhalb weniger Minuten und ist in der Regel innerhalb von zwei Stunden mit der Prozessautomation fertig. Auch Prozessverbesserungen lassen sich so erstaunlich schnell generieren.
Kontrolle behalten und Überzeugungsarbeit leisten
Schatten-IT schadet jedoch auch der internen Kommunikation. Damit Fachbereiche miteinander kommunizieren können, müssen ihre Prozesssprachen einer einheitlichen Governance folgen und unternehmensweit nach dem gleichen Muster aufgenommen und dokumentiert werden. Verwenden Abteilungen dagegen eigene Schattentools und Prozesssprachen, sind ihre Workflows mit denen des restlichen Unternehmens nicht kompatibel. Die Verantwortung für die Prozess-Governance und deren Freigabe sollte daher streng reguliert sein. In Konzernen und Großunternehmen wird die Anwendungsentwicklung meist von der IT-Abteilung gesteuert und freigegeben. In kleineren und mittelständischen Unternehmen wird diese Rolle flexibler vergeben. Mit eingebauten Genehmigungsfunktionen unterstützen einige No-Code und Low-Code-Anbieter eine gesteuerte Prüfung und Freigabe der Applikationen und stellen so sicher, dass nur genehmigte Prozess-Apps in Betrieb genommen werden.
IT-Abteilung mit ins Boot holen
Um das Entstehen von Schatten-IT zu verhindern, ist es wichtig, dass die IT-Abteilung bei der Beschaffung und Implementierung von Low Code- / No-Code-Plattformen für das Automatisieren von Prozessen von Anfang an mit im Boot ist und diese nicht ablehnt. Ansonsten ist das Entstehen von Schatten- IT vorprogrammiert. Denn Fachabteilungen werden alles daransetzen, von ihrem Budget eigene Automatisierungs-Tools zu beschaffen und ihre Prozesse ohne Rücksicht auf die Prozess-Governance des Unternehmens zu automatisieren. Die vermeintlich gut gemeinte Automationsinitiative stellt plötzlich für Unternehmen ein hohes Sicherheitsrisiko dar, welches das Zusammenspiel zwischen Prozessen und Abteilungen erheblich stört oder auch Sicherheitsschranken gegen Cyberkriminelle aushebelt.
Perfekte Balance aus menschlichen Tätigkeiten und robotergesteuerter Automation
Auf Basis von Low-Code-Automatisierung lassen sich neben Standardprozessen auch sehr komplexe Ende-zu-Ende-Prozesse verwirklichen. Sogenannte Human Centric basierte Workflows, bei denen eine perfekte Balance aus menschlichen Tätigkeiten und automatisierten Funktionen vorherrscht, werden häufig mit robotergesteuerten Automatisierungsprozessen (RPA) kombiniert, wo Bots die immer gleich ablaufenden Aufgaben von Anwendern übernehmen, mit anderen Systemen interagieren und Daten von einem Ort zum anderen übertragen. Human-Centric-Workflows gehören zu den wichtigsten Prozessen eines Unternehmens und erfordern in hohem Maße kognitive und zum Teil auch kreative Fähigkeiten. Durch den Einsatz von Bots werden Mitarbeiter von stupiden Aufgaben wie der Übertragung von Lieferantendaten in ein ERP-System entlastet und können sich auf anspruchsvollere Tätigkeiten innerhalb des Prozesses, zum Beispiel der Vertragsverhandlung, konzentrieren.
Mit der intelligenten Zusammenarbeit von Menschen und Prozess-Robotern können hohe Potenziale ausgeschöpft werden. Deshalb ist Low-Code ein vielversprechender Ansatz, um trotz des Mangels an IT-Fachkräften schnell und pragmatisch Geschäftsprozesse zu automatisieren. Bei sehr komplexen und individuellen Anwendungen kommt allerdings auch die Low-Code-Methode an ihre Grenzen, dann führt kein Weg an der Programmierung und den IT-Spezialisten vorbei.
Eine vollwirksame Automatisierungsstrategie braucht deshalb den Einsatz unterschiedlicher Automatisierungstechniken: No-Code-Prozesse für einfachere Arbeitsabläufe mit standardisierter Systemintegration und Low-Code-Technologie zum Generieren komplexerer Workflows, die große Datenmengen aus Drittsystemen individualisiert bearbeiten können. Einige Low-Code-Tools bieten zudem Custom-Service-Funktionen an, mit denen bestehende Programmcodes geändert oder eigene Codezeilen integriert werden können. Low-Code-Plattformen werden so auch für hochkomplexe Anwendungsfälle nutzbar und machen klassischen Workflowlösungen zunehmend Konkurrenz.
Um Geschäftsabläufe nicht nur fragmentarisch, sondern in einer wachsenden Bandbreite erfolgreich zu automatisieren, sollten Unternehmen ihre Mitarbeiter frühzeitig mit einbinden und sicherstellen, dass alle Fachabteilungen bei der Prozessautomatisierung einer einheitlichen, in der IT-Abteilung verankerten Compliance folgen. Dann ist auch der Schritt auf die nächste Automatisierungsstufe möglich.