Wie Low-Code Schatten-IT ans Licht bringt

Lesezeit
5 Minuten
Bis jetzt gelesen

Wie Low-Code Schatten-IT ans Licht bringt

20.02.2023 - 11:19
Veröffentlicht in:

Low-Code ist der heilige Gral für die Zukunft der Entwicklung – stimmt das? Im Artikel gehen wir der Frage nach, ob die Applikationsentwicklung mit Low-Code in den Fachabteilungen eine gute Idee ist und welchen Einfluss es auf die bestehende Schatten-IT hat. Wir nehmen dazu das Citizen Developer Framework und die relevanten Rollen unter die Lupe. Ganz wichtig ist dabei die Rolle des IT-Administrators. Er stellt den Betrieb aller Anwendungen sicher und ist der Hauptansprechpartner für die Automatisierung der Infrastruktur, Security und API-Standards in Low-Code.

Ist Low-Code nur eine andere Art zu entwickeln? Ja und nein. Low-Code ist ein Ansatz, wie Unternehmen modellbasiert entwickeln und dabei von bereits bestehenden Anwendungen profitieren können. Durch Drag-and-Drop-and-Configure entstehen ganze Applikationen inklusive Frontend, Backend, Schnittstellen und Logiken. Ein Entwickler kann immer zwischen zwei Möglichkeiten entscheiden: Mache ich das nach dem Standard und benutze den fertigen Baustein, oder benötige ich etwas Eigenes und baue so einen Baustein mit Code selbst?

Dadurch werden die Standardisierung und die Wiederverwendbarkeit von Anfang an gefördert und gefordert. Durch den Ansatz sind selbst größere Änderungen in allen Teilen der Anwendung wesentlich billiger, als es in der klassischen Entwicklung meistens der Fall ist. Wenn man zum Beispiel an einer Stelle einen Baustein (zum Beispiel eine Datenbanktabelle) durch anderen ersetzen will, zeigt die Low-Code-Development-Plattform (LCDP) alle Stellen, die von der Änderung betroffen sind – Anpassungen sind so deutlich schneller möglich. Solch eine Transparenz auf mehreren Ebenen spielt eine wesentliche Rolle, um das Schatten-IT-Problem im Griff zu kriegen.

Dauerrisiko Schatten-IT
Als Schatten-IT wird Software und selten auch Hardware bezeichnet, die der IT-Organisation nicht bekannt sind. Dies können größere Excel-, oder Access-Anwendungen sein, direkt durch Fachabteilungen gekaufte Software-as-a-Service (SaaS), also Insellösungen, und vieles mehr. Diese Workarounds entstehen in den Fachabteilungen meistens aus guten Absichten, etwas "mal eben schnell" zu lösen, ohne die als träge wahrgenommene IT-Abteilungen zu involvieren. Dabei fallen aber oft viele nichtfunktionale Anforderungen wie Dokumentation, Sicherheit, Performance oder Schnittstellen unter den Tisch.

Mit der Zeit gewinnen solche Ansätze dann in der jeweiligen Fachabteilung an Funktionalitäten und Bedeutung, die Abhängigkeit davon wächst. Verlässt die Person mit entsprechendem Know-how das Unternehmen, kann die IT-Organisation solche Applikationen nicht in den Betrieb übernehmen, weil oft die nötige Dokumentation fehlt. Und selbst wenn der Ansprechpartner noch im Unternehmen ist, kann er gar bewusst oder unbewusst die Firma in Geiselhaft nehmen und Gehaltsforderungen aufstellen, damit er sich weiterhin um die Applikation kümmert. Zusammengefasst birgt Schatten-IT folgende Risiken:

  • Abhängigkeit vom Produkt
  • Abhängigkeit von Entwickler
  • Teilweise hohe Ablösekosten
  • Intransparenz
  • Keine oder kaum Dokumentation
  • Schlechte Wartbarkeit
  • Blockierung der Initiativen der IT-Organisation
  • Sicherheit
  • Fehlende Compliance (zum Beispiel Datenschutzbestimmungen)
  • Redundante Datenpflege

Obwohl die Risiken groß, zahlreich und oftmals der Fachabteilungen auch bewusst sind, werden diese im Kauf genommen. Für den Geschäftsbetrieb ergeben sich durch diese Schatten-IT nämlich durchaus Chancen:

  • Schnelle Lösungen
  • Zügige Anpassungen in der eigenen Regie
  • Kein Schreiben der komplexen Anforderungsdokumente
  • Keine zu lange Return-on-Investment-Betrachtung
  • Kreativitätsentfaltung der Mitarbeiter
  • Ausprobieren neuen Ideen
  • Einfaches Erweitern bestehender Werkzeuge um die notwendigen Funktionen

Hier besteht ein sehr großes Konfliktpotenzial zwischen der Fachabteilung und der IT-Organisation. Erst in den letzten drei bis vier Jahren haben LCDPs den Reifegrad erreicht, um die zuvor gelisteten Chancen zu nutzen und dabei Risiken zu minimieren. Dieser technologische Reifegrad ermöglicht es, ein Citizen Developer Framework (CDF) im Unternehmen einzuführen und hohen Mehrwert zu generieren.

Vorteile eines Citizen Developer Framework
Das Ziel des CDF ist es, den nachhaltigen Applikationsfluss im Unternehmen zu ermöglichen. Das Center of Excellence (CoE) ist dabei das zentrale Organ, um Low-Code langfristig erfolgreich zu machen. Es etabliert und pflegt die nötige Low-Code-Kultur und macht so das Citizen Development erst möglich. Das CoE führt mehrere Rollen in einem cross-funktionalen Team zusammen (einige davon arbeiten im Team Vollzeit, andere kommen als Unterstützung manchmal dazu):

  • Business Analyst
  • Community Manager
  • Professionelle Entwickler mit Low-Code-Kenntnissen
  • Architekturexperte
  • DevOps-Experte (optional)
  • Schnittstellenexperte (optional)
  • Sicherheitsexperte (optional)
  • Datenschutzexperte (optional)

Bei Bedarf können noch weitere Rollen hinzukommen. Es sollte für technisch affine Mitarbeiter in den Fachabteilungen (auch Citizen Developer genannt) eine Möglichkeit geben, bestimmte Applikationen in der LCDP zu entwickeln. Dafür kann das CoE eine für das Unternehmen passende und ausgewogene Score Card entwickeln. Damit wird entschieden, wo die potenzielle Applikation entwickelt werden soll. Die Kritikalitätsanalyse durch die Score Card ergibt folgende Möglichkeiten für eine App:

  • Citizen Development – die App wird in der Fachabteilung entwickelt und betreut.
  • Center of Excellence – die App wird im CoE mit dem Citizen Developer entwickelt und betreut.
  • IT-Organisation – die App wird durch die IT-Organisation entwickelt und betreut.

In den Unternehmen, in denen weitere spezialisierte CoEs vorhanden sind, kann die Entscheidung auch auf andere CoEs fallen. Dadurch erhalten Fachabteilungen die Möglichkeit, schnell Lösungen zu erstellen und anzupassen. Gleichzeitig werden durch die Out-of-the-Box-Transparenz (OOTB) innerhalb der LCDP alle Applikationen sichtbar. Durch die Vorteile der modernen LCDP sind die Applikationen gut wartbar und leicht an die restliche IT anbindbar (OOTB-Schnittstellen zu anderen Systemen und zu der LCDP).

Aufgrund des modellbasierten Ansatzes lässt sich automatisiert eine aussagekräftige Dokumentation generieren und die Übergabe an andere Entwickler beziehungsweise Citizen Developer gestaltet sich wesentlich einfacher. Die Zusammenarbeit zwischen Fachabteilungen und IT verbessert sich, sie sprechen auf Augenhöhe miteinander.

Schnittstelle Center of Excellence
Im CoE werden auch zentrale Beispielapplikationen für bestimmte Funktionalitäten (zum Beispiel. Offlinefunktionalität) entwickelt. Einmal erstelltes Corporate Design lässt sich dann in der Folge bei allen Applikationen wiederverwenden. Schnittstellen zu im Unternehmen verbreiteten Systemen sind ebenso leicht erzeugbar und lassen sich anderen mit entsprechenden Rollen und Rechten zur Verfügung stellen. Dadurch entstehen wie in einem Schneeballsystem immer mehr Möglichkeiten für alle, die Applikationen einfacher und schneller zu entwickeln.

Das CoE kümmert sich weiterhin um Schulungen für die Citizen Developer und pflegt das richtige Mindset für Low-Code im Unternehmen. Bei kleineren Applikationen kann die ROI-Betrachtung länger dauern und komplexer sein als die Entwicklung der Applikation selbst. Daher kann eine Organisation bei den Applikationen, die durch Citizen Developern entwickelt werden, auf die Einschätzung und die Erfahrung der Fachabteilungsleiter setzen. Ebenso fällt das Erarbeiten eines langfristigen Betriebsmodells für die LCDP im Unternehmen in die Verantwortung des CoE.

Es ist wichtig, Citizen Development zu fördern. Dafür sind Business Analysten und Community Manager im CoE tätig. Diese betreuen regelmäßig laufende Projekte in einem angemessenen Turnus, damit sich technische und organisatorische Fragen rechtzeitig klären lassen. Weiterhin ist es wichtig, den Erfahrungsaustausch zwischen verschiedenen Citizen-Developer-Teams anzuregen, um ähnliche oder gleiche Probleme gemeinsam anzupacken und voneinander zu lernen.

IT-Organisation und Low-Code
Citizen Development bereitet vielen IT-Organisationen große Sorgen. Insbesondere die Qualität der durch Citizen Developer entwickelten Applikationen genügt meist nicht den hohen Standards der IT. Betrachten wir ein Beispiel der IT-Organisation mit der Trennung der Nachfrage und des Angebots. Die Bereiche werden manchmal auch organisatorisch unter Führung von CIO (Nachfrage) und CTO (Angebot) getrennt. Im CIO-Office finden demnach Anforderungsmanagement, Change Management sowie Wirtschaftlichkeitsanalysen statt. Im CTO-Office wiederum sind Competence Centers für einzelne Themen (Größere Systeme, Qualitätsmanagement, Compliance, Infrastrukturbetrieb, Sicherheit und vieles mehr) verankert.

Auf dem ersten Blick steht ein Citizen Developer Framework mit der IT-Organisation im Widerspruch. Genauer betrachtet lassen sich die Konzepte aber gut miteinander verzahnen. Schon bei einem Blick auf die durch das CoE vorbereitete Score Card ist erkennbar: Diese besagt, dass nur ein Teil der Applikationen durch Citizen Developern und CoE entwickelt und betreut wird. Die IT-Organisation betreut weiterhin unternehmenskritische und strategisch wichtige Applikationen.

Nehmen wir ferner die in CoE verankerten Rollen genauer unter die Lupe. Business Analyst und Community Manager sind die Rollen, die in der IT-Organisation im CIO-Office verankert sind. Alle weiteren Rollen kommen aus dem CTO-Office und werden nur für konkrete Aufgaben einbezogen. DevOps-Experten schenken auch den Aspekten der Zusammenarbeit zwischen Entwicklung und Betrieb mehr Beachtung. Damit lässt sich CoE ebenso im modernen CIO-Office organisatorisch einordnen und sorgt so für kurze Wege innerhalb der IT-Organisation.

Allerdings haben Unternehmen sehr unterschiedliche Governance-Strukturen, ebenso variieren die Verantwortlichkeiten auf dem C-Level. Eine Integration des CDF in andere Strukturen würde aber den Rahmen des Artikels sprengen.

Fazit
Bestehende Schatten-IT lässt sich durch Low-Code beseitigen. Allerdings ist Low-Code keine Technologie, die ein Unternehmen nur einkauft und dann überall ausrollt. Es ist immens wichtig, die richtige Governance-Struktur mit integrierten Citizen Development Framework zu etablieren, damit sich langfristige Ziele der IT-Organisation erreichen lassen. Durch den richtigen Einsatz minimieren sich die Risiken der Entwicklung in den Fachabteilungen und die Chancen sind nutzbar. In der Regel verbessert sich auch die Zusammenarbeit zwischen Fachabteilungen und IT.

Alexey Shmelkin, Management Consultant bei adesso

Ähnliche Beiträge

Microsoft 365 Threat Intelligence verstehen und produktiv nutzen (3)

Mit Microsoft 365 Threat Intelligence können Administratoren auf Funktionen aus der Microsoft-Cloud setzen, um Angriffe zu erkennen und zu bekämpfen. Auf Basis gesammelter Daten lassen sich Vorgehensweisen erarbeiten, mit denen sich Attacken auf Netzwerke und Clouddienste verhindern lassen. Im dritten und letzten Teil der Serie schildern wir, wie Sie proaktiv nach Bedrohungen suchen und automatisierte Prozesse zur Gefahrenabwehr planen.

IT-Dokumentation bei den Stadtwerken Speyer

Für die Auditierung von Sicherheitsvorfällen auf ihren IT-Systemen suchten die Stadtwerke Speyer ein System, das neue Normen, gesetzliche Anforderungen und Auditvorgaben flexibel abbilden kann. Dabei stellte sich heraus, dass sich mit einem bereits vorhandenen Werkzeug dank implementiertem Service-Desk und Workspace-Management alle Anforderungen erfüllen ließen – ohne in eine neue Software investieren zu müssen. Lesen Sie mehr im Anwenderbericht.