Shadow IT
Shadow IT bezeichnet IT-Systeme, Software oder Cloud-Dienste, die Mitarbeiter:innen ohne Wissen oder Genehmigung der IT-Abteilung im Arbeitsalltag einsetzen. Beispiele sind private Cloud-Speicher, Messaging-Apps oder KI-Tools zur Arbeitserleichterung.
Ausführliche Erklärung
Shadow IT entsteht meist nicht aus böswilliger Absicht, sondern aus dem Wunsch nach Arbeitserleichterung und Effizienz. Mitarbeiter:innen nutzen private Dropbox-Accounts, um Dateien zu teilen, installieren ChatGPT zur Textverarbeitung oder verwenden WhatsApp-Gruppen für Projektabsprachen – oft ohne sich der Risiken bewusst zu sein. Studien zeigen, dass in deutschen Unternehmen durchschnittlich 87 verschiedene Cloud-Anwendungen genutzt werden, von denen die IT-Abteilung nur etwa ein Drittel kennt. Gartner schätzt, dass über 40 Prozent der Mitarbeitenden Technologien nutzen, die nicht offiziell verwaltet werden – mit steigender Tendenz.
Für KMU birgt Shadow IT erhebliche Risiken. Die fehlende Kontrolle über IT-Ressourcen gefährdet die Datensicherheit, da ungeprüfte Systeme Sicherheitslücken aufweisen können, die weder überwacht noch durch Updates geschlossen werden. Besonders kritisch wird es beim Datenschutz: Wenn Mitarbeiter:innen personenbezogene Daten über nicht genehmigte Cloud-Dienste verarbeiten, entstehen DSGVO-Verstöße mit möglichen Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Auch Compliance-Anforderungen wie die NIS-2-Richtlinie werden unterlaufen, wenn unkontrollierte IT-Systeme nicht in Risikoanalysen erfasst sind. Hinzu kommen betriebliche Risiken: fehlende Backups, unkontrollierter Datenabfluss bei Mitarbeiterwechsel und versteckte Doppelkosten durch parallele Lizenzstrukturen.
Die Ursachen für Shadow IT liegen häufig in organisatorischen Defiziten: zu langsame Freigabeprozesse, fehlende benutzerfreundliche Alternativen oder mangelnde Kommunikation zwischen Fachabteilungen und IT. Mitarbeiter:innen greifen zu eigenen Lösungen, weil offizielle Tools nicht die gewünschte Funktionalität bieten oder Genehmigungen zu lange dauern. Verbote allein lösen das Problem nicht – sie treiben Shadow IT lediglich tiefer in den Untergrund. Eine erfolgreiche Strategie erfordert transparente Bestandsaufnahme, klare Richtlinien mit schnellen Freigabeprozessen, die Bereitstellung sicherer Standard-Tools und kontinuierliche Mitarbeiterschulungen zu Sicherheitsrisiken.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 35 Mitarbeiter:innen in Wien stellt bei einem IT-Audit fest, dass das Vertriebsteam seit Monaten eine private WhatsApp-Gruppe nutzt, um Mandantendaten auszutauschen. Als ein Smartphone verloren geht, sind sensible Steuerunterlagen plötzlich unkontrolliert zugänglich. Die Kanzlei muss den Vorfall der Datenschutzbehörde melden und reagiert mit der Einführung eines DSGVO-konformen Messaging-Dienstes sowie Schulungen zum Umgang mit personenbezogenen Daten.
Quellen
- Security-Insider: Schatten-IT – Risiken und Auswirkungen für Unternehmen
- Docusnap: Schatten-IT – Risiken erkennen & beheben (7-Schritte-Plan)
- HTH Computer: Schatten IT – Die versteckte Gefahr in Ihrem Unternehmen
- Cloudflare: What is shadow IT?
- Vinspire: Schatten-IT eindämmen – Risiken & Lösungen für KMU