Zurück zum Blog
InsightFebruary 20, 20248 min de lecture

Was ist Shadow IT?

Matthieu Bonnard
Matthieu Bonnard
CEO
Was ist Shadow IT?

Seit einigen Jahren ist in den Informationssystemen von Unternehmen das Phänomen „Shadow IT“ (auch „Ghost IT“) deutlich sichtbar.

Shadow IT bezeichnet die Nutzung von Software-Lösungen innerhalb einer Organisation, die nicht offiziell von der IT-Abteilung freigegeben wurden. Das reicht von nicht autorisierten Anwendungen und Cloud-Services bis hin zur Nutzung privater Geräte für berufliche Zwecke.

Shadow IT entsteht häufig aus dem Wunsch, die eigene Produktivität mit einfachen, modernen Tools zu steigern – und dabei offizielle Prozesse zu umgehen.

Auch wenn dies die individuelle und kollektive Produktivität erhöhen kann, bringt Shadow IT erhebliche Risiken mit sich, die in Organisationen oft unterschätzt werden.

Wie entsteht Shadow IT?

Wenn Mitarbeitende auf Shadow IT zurückgreifen, liegt es meist daran, dass sie glauben, im bestehenden Informationssystem keine passende Lösung für ihren Bedarf zu finden.

Oft spielt auch Effizienz eine Rolle: Im Privatleben sind Nutzer ergonomisch sehr ausgereifte Anwendungen gewohnt. Zurück im Büro wirken manche Business-Anwendungen vergleichsweise schwerfällig – und es entstehen Alternativen, die man außerhalb des Unternehmens kennengelernt hat.

  • Die Nutzung von Dropbox und Google Drive ist in vielen Unternehmen stark gestiegen, obwohl bereits in zentrale Dokumentenmanagement-Systeme investiert wurde. Der Grund: Nutzung ist oft einfacher und Integrationen sind zahlreich.
  • Warum ein CRM nutzen, das durch zahlreiche Regeln komplex geworden ist, wenn man einen CSV-Export in Excel erstellen und zwischen Teams teilen kann?

Trotz der potenziellen Probleme erreichen Nutzer mit diesen Tools oft schnell das gewünschte Ergebnis – insbesondere in Bezug auf Ergonomie, Performance, Zusammenarbeit und Integrationen.

Zusammengefasst:

  1. Das beste Tool für den Bedarf eines Teams gehört nicht zu den von der IT „freigegebenen“ Anwendungen. Das führt dazu, dass Teams zusätzliche Services nutzen, um konkrete Anforderungen zu erfüllen, Wettbewerbsvorteile zu erlangen oder effizienter zu kollaborieren.
  2. Nutzer sind sich der Sicherheitsrisiken oft nicht bewusst: Häufig ist es keine bewusste Umgehung, sondern fehlendes Bewusstsein, dass solche Entscheidungen sensible Daten gefährden und das Risiko von Sicherheitsvorfällen erhöhen können.

In welchen Formen tritt Shadow IT auf?

Shadow IT kann in unterschiedlichen Formaten auftreten:

  • Excel-Dateien mit Makros: Excel verbreitet sich schnell in Unternehmen. Manche Dateien werden kritisch für Teams und entwickeln sich durch Makros und Formeln zu „Mini-Anwendungen“.
  • SaaS-Anwendungen: Das SaaS-Ökosystem wächst stetig. Fachbereiche können mit Kreditkarte eine neue Lösung nutzen – ohne Unterstützung durch die IT.
  • Native Anwendungen: Je nach Berechtigungen können Mitarbeitende Software lokal installieren, ohne IT-Freigabe.
  • Projekte ohne Einbindung der IT: Webseiten oder Marketing-Tools (z. B. Wordpress/Webflow) werden schnell deployed und später komplex, inkl. Datenflüssen mit anderen Systemen.
  • BYOD: Private Geräte können durch Policies geregelt sein, dennoch verschwimmt die Grenze zwischen privat und beruflich. Apps, die privat installiert sind, werden leicht auch beruflich genutzt.

Die Risiken von Shadow IT

Trotz der scheinbaren Vorteile (Produktivität, einfache Nutzung, Autonomie) bringt Shadow IT Risiken mit sich. Das wichtigste Risiko ist die Sicherheit: Unkontrolliert genutzte Tools sind nicht immer aktuell oder korrekt konfiguriert und können eine Schwachstelle darstellen.

Shadow IT kann außerdem rechtliche Risiken verursachen, z. B. Lizenzverstöße. Und Betrieb sowie Wartung werden komplexer, was Kosten und operative Aufwände erhöht.

Sicherheitsrisiko (Cybersecurity)

Weil die IT-Abteilung Shadow IT nicht kennt, kann sie das Sicherheitsniveau nicht bewerten oder steuern: Authentifizierung, Sicherheitsstandards der Anwendung oder die Sensibilität der verarbeiteten Daten bleiben unklar und entziehen sich dem ISMS- bzw. Audit-Kontext.

Compliance-Verstöße

Organisationen können unbewusst gegen Datenschutz- und Compliance-Vorgaben verstoßen. Wenn Mitarbeitende nicht freigegebene Tools nutzen, um sensible Daten zu verarbeiten, können Gesetze und Regeln (z. B. DSGVO) verletzt werden – mit potenziell hohen Strafen.

Datenabfluss

Sensible Daten können kompromittiert oder gestohlen werden. Angreifer nutzen Fehlkonfigurationen und Schwachstellen von Cloud-Services aus, um Datenlecks oder Angriffe zu ermöglichen – oft ohne Wissen der IT. Studien zeigen, dass solche Vorfälle sehr teuer sein können.

Dateifreigabe ist ein häufiges Einfallstor: Sie erleichtert Datenexfiltration, ermöglicht sehr große Transfers und Links werden leicht weitergeleitet, ohne die Folgen zu verstehen.

Fehlende Integration

Shadow IT entzieht sich der Sicht der IT-Abteilung und wird daher nicht in Applikationslandkarten, Prozessoptimierungen oder Architekturprinzipien berücksichtigt. Anwendungen entstehen ohne Gesamtbild und ohne Kohärenz.

Zusätzliche Kosten

Shadow IT führt oft zu Duplikaten:

  • Dieselbe Anwendung wird mehrfach von unterschiedlichen Teams abonniert.
  • Für denselben Bedarf werden zwei ähnliche Tools parallel genutzt (z. B. Trello und Monday).

Wie kann man Shadow IT managen?

Shadow IT ist für IT-Abteilungen herausfordernd: Zu strikte Maßnahmen schaden Produktivität, zu lockere erhöhen Risiken. Mögliche Strategien:

  1. Transparenz schaffen: Zunächst muss der Umfang von Shadow IT verstanden werden. Lösungen zur Applikationskartierung wie Kabeen helfen dabei.

    • Shadow-IT-Detection: Tools analysieren genutzte Services und ermöglichen Policies (zulassen, einschränken, blockieren).
    • CASB: Ein CASB kann Cloud-Services absichern und wird häufig proxy-basiert eingesetzt.

  2. Schulung & Kommunikation: Risiken müssen klar erklärt werden. Trainings zu IT-Sicherheits- und Good-Practices helfen.

  3. Sichere Alternativen anbieten: Häufig greifen Mitarbeitende auf Shadow IT zurück, weil offizielle Tools nicht passen. Ergonomische und sichere Alternativen reduzieren den Bedarf an Schattenlösungen.

Fazit

Shadow IT kann Produktivität erhöhen, bringt jedoch Risiken mit sich, die aktiv gemanagt werden müssen. Ein ausgewogener Ansatz kombiniert klare Richtlinien, Kommunikation und sichere, nutzerfreundliche Alternativen.

Shadow IT ist sowohl Herausforderung als auch Chance: Es ist oft ein Signal dafür, dass bestehende Tools die Bedürfnisse nicht ausreichend erfüllen. Statt pauschal zu verbieten, ist es meist effektiver, Nutzung zu kanalisieren und Governance sowie Sichtbarkeit zu stärken.

Gefällt dir, was du liest?

Erfahre, wie Kabeen dir hilft, die Kontrolle über dein Informationssystem zurückzugewinnen.

Kostenlos startenDemo anfordern