Raus aus dem Schatten

Wie Unternehmen mittels No-Code und Low-Code-Technologien die Verbreitung von Schatten-IT in den Griff bekommen und die Hoheit über ihre IT-Governance bewahren. [...]

Gregor Greinke, CEO der GBTEC Software AG (Quelle: GBTEC)

Schatten-IT tritt immer dann auf, wenn Beschäftigte Software einsetzen, die von der IT-Abteilung nicht genehmigt wurde. Für Unternehmen und Organisationen birgt Schatten-IT eine Vielzahl an Risiken. No-Code- und Low-Code-Technologien können Mitarbeitern einen sicheren und flexiblen Rahmen bieten, um eigene Prozessentwicklungen Compliance-konform umzusetzen und Schatten-IT gar nicht erst entstehen zu lassen.

In den meisten Unternehmen entscheidet die IT-Abteilung darüber, welche Geräte, Dienste oder Software Mitarbeiter verwenden dürfen. Das Beantragen, Konfigurieren und Bereitstellen neuer Software dauert oft Wochen, wenn nicht gar Monate, und führt in vielen Fällen dazu, dass entnervte Mitarbeiter zu eigenen, von der IT nicht genehmigten Cloud-Diensten oder Software greifen. Ein Problem, das sich insbesondere in Projekten zur Prozessautomation zeigt.

Fachabteilungen hegen einen immer größer werdenden Wunsch nach automatisierten Prozessen, doch aufgrund von Ressourcenengpässen in der IT bleiben viele Automationsanfragen unbearbeitet. Die Folge: Mitarbeiter nehmen die Umsetzung mittels eigens gewählter Software selbst in die Hand. Diese nicht freigegebenen Schatten-Tools stellen nicht nur für die Compliance ein ernstes Risiko dar, sie bieten Cyberkriminellen auch ein willkommenes Einfallstor und bedeuten für die Datensicherheit eine erhebliche Bedrohung.

No-Code- oder Low-Code-Entwicklungsplattformen sind für Mitarbeiter in den Fach- oder Organisationsabteilungen dagegen eine gute Option, Prozesse selbstbestimmt und ohne Sicherheitsrisiko zu automatisieren. Funktionen zur flexiblen, programmierfreien Erstellung von Applikationen beschleunigen nicht nur die Prozessautomation als solches, sie schaffen gleichzeitig ein einheitliches und sicheres Vorgehensmodell, bei dem Business- und IT-Teams Hand in Hand zusammenarbeiten.

Während die zentrale IT mit der Tool-Beschaffung sowie Steuerung und Freigabe der Anwendungsentwicklung beauftragt ist, übernehmen Fachanwender die Ausgestaltung, Erweiterung und Automatisierung ihrer Arbeitsabläufe nahezu selbstständig, ohne dabei auf illegale, von der IT weder getestete noch freigegebene Lösungen und Systeme zurückgreifen zu müssen.

Konfigurieren statt Programmieren

Die Art und Weise, wie Prozesse automatisiert werden, hat sich in den letzten Jahren stark gewandelt. Wo früher geübte Software-Entwickler schwergewichtige Automationslösungen mittels tausenden Codezeilen programmierten, lassen sich wiederkehrende Aufgaben heute viel leichtgewichtiger und schneller automatisieren.

Tätigkeiten wie die Dokumentenfreigabe, Rechnungsprüfung, Stammdatenpflege oder Bestell- und Urlaubsanfragen können innerhalb von wenigen Tagen, oft sogar wenigen Stunden automatisiert werden. „Konfigurieren statt Programmieren“ lautet das zugrundeliegende Prinzip, bei dem Nutzer mittels grafischer Bedienoberflächen, visueller Werkzeuge und durch das Zusammenklicken vorgefertigter Softwarebausteine maßgeschneiderte, Compliance-konforme Prozesse generieren.

Da sich No-Code und Low-Code-Lösungen ohne Programmierkenntnisse bedienen lassen, können alle Mitarbeiter – innerhalb wie außerhalb der IT – ihre Automationsvorhaben ressourcen-, zeit- und kostensparend umsetzen.

Wenig überraschend also, dass immer mehr Fachanwender auf den Geschmack kommen, ihre Prozesse per No-Code und Low-Code zu automatisieren. So prognostiziert das Marktforschungsunternehmen Gartner, dass bis 2026 mindestens 80 Prozent der Nutzer von Low-Code-Entwicklungstools keine IT‘ler sind.

No-Code: Automation nach dem Legoprinzip

Bei der Prozessautomation mit No-Code erstellen Anwender ihre digitalen Workflows per intuitiver Drag-and-Drop Modellierung. Prozessabläufe werden als grafisches Modell, meistens in Form eines BPMN 2.0-Diagramms (dem aktuellen Standard im Bereich der Geschäftsprozessmodellierung), beschrieben und stehen bereits Sekunden später als ausführbare Prozess-App bereit.

In dieser lassen sich digitale Formulare, Entscheidungsregeln, Systemintegrationen und E-Mail-Benachrichtigungen konfigurieren und nach dem Legoprinzip zusammenstecken und wiederverwenden. Da No-Code-Anwendungen meist keine Integration in Drittsysteme vornehmen, sind tiefergehende, technische Skills oder Programmierkenntnisse obsolet.

Digitale Formulare lassen sich mittels Drag-and-Drop auf speziellen No-Code / Low-Code-Plattformen, beispielsweise BIC Process Execution, erstellen. (Quelle:GBTEC)

Low-Code: IT-Affinität ist Grundvoraussetzung

Bei Low-Code-Anwendungen basiert die Prozessentwicklung und -automation ebenfalls auf grafisch erstellten Prozessmodellen, die nach demselben Prinzip um Formulare, Entscheidungsregeln und E-Mail-Benachrichtigungen angereichert werden. Für die oft sehr komplexen Abläufe holen und verarbeiten Low-Code-Anwendungen zusätzlich Daten aus Drittsystemen wie SAP oder Sharepoint und leiten sie bei Bedarf an andere Systeme weiter.

Über standardisierte oder selbsterstellte Schnittstellen werden die Daten dabei zwischen den Systemen hin- und hergeschoben.

Um diese Vorgänge zu verstehen und eigenständig aufzusetzen, braucht der Anwender kein Programmierer zu sein, er sollte jedoch beispielsweise eine REST-API-Dokumentation lesen können. Er benötigt also mehr technische Skills, als jemand, der ausschließlich an einem Prozessmodell arbeitet. Eine gewisse IT-Affinität ist für Low-Code-Programmierung also Grundvoraussetzung.

Bloß nicht die Kontrolle verlieren

Damit Fachbereiche miteinander kommunizieren können, ist es wichtig, dass ihre Prozesssprachen einer einheitlichen Governance folgen und unternehmensweit nach dem gleichen Muster aufgenommen und dokumentiert werden. Verwenden Abteilungen dagegen ihre eigenen Tools und Prozesssprachen, sind ihre Workflows mit denen des restlichen Unternehmens nicht kompatibel.

Die Verantwortung für die Prozess-Governance und deren Freigabe sollte daher streng reguliert sein. In Konzernen und Großunternehmen obliegt die Steuerung und Freigabe der Anwendungsentwicklung häufig der IT-Abteilung. In kleineren und mittelständischen Unternehmen wird diese Rolle teils flexibler vergeben.

Durch eingebaute Genehmigungsfunktionen unterstützen einige No-Code und Low-Code-Anbieter eine systemseitig gesteuerte Prüfung und Freigabe der erstellen Applikationen, sodass sichergestellt wird, dass nur genehmigte Prozess-Apps in Betrieb genommen werden.

Vor der Anschaffung einer Low-Code- / No-Code-Plattform und dem Start des entsprechenden Projekts ist es daher wichtig, die IT-Abteilung von dem Einsatz der neuen Technologien zu überzeugen. Low-Code-/ No-Code-Anwendungen federn beispielsweise den Fachkräftemangel ab, da auch Nicht-Programmierer auf den Plattformen Software entwickeln können.

Sie verkürzen außerdem den Entwicklungszyklus, da die Anwendungen fast parallel zur Spezifikation der Anforderungen entstehen. Das senkt nicht nur Kosten, es beschleunigt auch die Time-to-Market erheblich.

Lehnt die IT-Abteilung den Einsatz von Low Code- / No-Code-Plattformen hingegen ab, ist das Entstehen von Schatten-IT vorprogrammiert. Fachabteilungen werden versuchen, von ihrem Budget eigene Automatisierungs-Tools anzuschaffen und ihre Prozesse ohne Rücksicht auf die Prozess-Governance des Unternehmens automatisieren.

Die vermeintlich gut gemeinte Automationsinitiative erzeugt ein hohes Sicherheitsrisiko für Unternehmen und kann schnell dazu führen, dass das Zusammenspiel zwischen Prozessen und Abteilungen erheblich gestört ist.

Künstliche Intelligenz: Prozesse wie von Zauberhand

Kein Anwender erstellt seinen Prozess gerne von Grund auf neu. Leichter und schneller geht es mit Referenzmodellen, Vorgehensmodellen oder Templates, die BPM-Hersteller auf Basis ihrer jahrelangen Erfahrung mit Unternehmen unterschiedlichster Branchen und Größen bereitstellen.

Mit Hilfe von Künstlicher Intelligenz (KI) als Vorschlagsgenerator oder einer Fancy-Suche mit ChatGPT lässt sich in Zukunft Content noch einfacher finden. So ist es zum Beispiel möglich, vorgefertigte KI-Komponenten in die Plattformen zu integrieren, die alle wesentlichen Industriestandards und Systemschnittstellen unterstützen und für unterschiedliche Geschäftsszenarien konzipiert sind.

Mit nur wenigen Klicks können Anwender so klassische KI-Modelle wie Bilderkennung, Vorhersagen oder Klassifikationen nutzen, ohne die zeitaufwändige Datenaufbereitung, das Algorithmus-Design und Modell-Training mit Tausenden von Datenpunkten selbst durchzuführen. Möchte der Kunde beispielsweise einen Vertriebsprozess erstellen, findet er mit Hilfe von KI die wichtigsten zehn Funktionen bereits innerhalb weniger Minuten und ist, wenn es gut läuft, innerhalb von zwei Stunden mit der Prozessautomation fertig. Auch Prozessverbesserungen werden sich zukünftig auf diese Weise erstaunlich schnell generieren lassen.

Human Centric und robotergesteuerte Workflows

Neben Standardprozessen, die immer nach dem gleichen Schema ablaufen, lassen sich auf Basis von Low-Code-Automatisierung auch sehr komplexe Ende-zu-Ende-Prozesse auf die Strecke bringen. Sogenannte Human Centric basierte Workflows, bei denen eine perfekte Balance aus menschlichen Tätigkeiten und automatisierten Funktionen vorherrscht, werden häufig mit robotergesteuerten Automatisierungsprozessen (RPA) kombiniert, wo Bots die immer gleich ablaufenden Aufgaben von Anwendern übernehmen, mit anderen Systemen interagieren und Daten von einem Ort zum anderen übertragen.

Human Centric Workflows gehören zu den wichtigsten Prozessen eines Unternehmens und erfordern in hohem Maße kognitive, teils kreative Fähigkeiten. Durch den Einsatz von Bots werden Mitarbeiter von stupiden Aufgaben, beispielsweise der Übertragung von Lieferantendaten in ein ERP-System, entlastet und können sich auf anspruchsvollere Tätigkeiten innerhalb des Prozesses, wie zum Beispiel die Vertragsverhandlung, konzentrieren.

Ganz ohne Professionals geht es nicht

Die intelligente Zusammenarbeit von Menschen und Prozess-Robotern kann hohe Potenziale ausschöpfen. Low-Code ist daher ein vielversprechender Ansatz, um trotz des Mangels an IT-Fachkräften auf schnelle und pragmatische Weise Geschäftsprozesse zu automatisieren. Bei sehr komplexen und individuellen Anwendungen kommt allerdings auch die Low-Code-Methode an ihre Grenzen und es führt kein Weg an der Programmierung vorbei.

Eine vollwirksame Automatisierungsstrategie erfordert daher am Ende des Tages den Einsatz unterschiedlicher Automatisierungstechniken. Neben No-Code-Prozessen für einfachere Arbeitsabläufe mit standardisierter Systemintegration, lassen sich mit der Low-Code-Technologie auch komplexere Workflows generieren, die große Datenmengen aus Drittsystemen individualisiert bearbeiten können.

Einige Low-Code-Tools bieten zudem bereits sogenannte Custom Service Funktionen an, die es ermöglichen, bestehenden Programmcode zu ändern oder eigene Codezeilen zu integrieren. Low-Code-Plattformen werden damit auch für hochkomplexe Anwendungsfälle nutzbar und machen klassischen Workflowlösungen zunehmend Konkurrenz. Unternehmen, die ihre Geschäftsabläufe nicht nur fragmentarisch, sondern in einer wachsenden Bandbreite automatisieren wollen, sollten ihre Mitarbeiter daher frühzeitig ins Boot holen und sicherstellen, dass alle Fachabteilungen bei der Prozessautomatisierung einer einheitlichen, in der IT-Abteilung verankerten Compliance folgen.

Dann gelingt auch der Sprung auf die nächste Stufe der Automatisierung.

*Der studierte Wirtschaftsinformatiker Gregor Greinke weist über zwanzig Jahre BPM-Erfahrung auf. Direkt nach seinem Studienabschluss hat er seine erste Softwarefirma gegründet und diese sechs Jahre später an ein börsennotiertes Technologie-Unternehmen verkauft. Mit der Gründung von GBTEC, seiner zweiten Firma, hat er ein heute weltweit bekanntes Softwareunternehmen im Bereich Business Process Management etabliert. https://www.gbtec.com/


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*