• Unter Schatten IT versteht man IT-Systeme und Software-Anwendungen, die Mitarbeiter im Unternehmen ohne Kenntnis der IT-Abteilung nutzen.
  • Sie entsteht, wenn die offizielle IT nicht den Anforderungen der Mitarbeiter gerecht wird und diese selbst nach Lösungen suchen.
  • Da Schatten-IT nicht in die IT-Governance und das IT-Service-Management eingebunden ist, birgt sie hohe Risiken für die IT-Sicherheit.
  • Schatten IT lässt sich unter anderem durch eine gut ausgestattete IT-Abteilung, offene Kommunikation, klare Richtlinien und moderne No-Code-Lösungen vermeiden.

Als Schatten-IT bezeichnet man IT-Systeme und Software-Anwendungen, die Mitarbeiter in den Fachabteilungen eines Unternehmens ohne Kenntnis der IT-Abteilung nutzen, um die offizielle IT-Infrastruktur zu ergänzen oder zu umgehen.

Somit ist Schatten IT gemäß Definition weder technisch noch strategisch in das IT-Service-Management eingebunden, was Sicherheitsrisiken und andere Probleme mit sich bringt. Abgeleitet vom englischen Shadow IT soll der Begriff ausdrücken, dass Mitarbeiter höhere Instanzen im Unternehmen über den Einsatz von Tools im Dunkeln lassen und digitale Prozesse im Verborgenen ablaufen.

Schatten IT

Für Schatten IT gibt es Beispiele wie Sand am Meer. Hier finden Sie einige Schatten IT Beispiele, die jeder kennt und die in jedem Unternehmen auftreten können:

Schnell mit ChatGPT eine E-Mail schreiben, mit Google Translator den Geschäftsbericht übersetzen oder mit Canva eine neue Präsentation erstellen? Viele Mitarbeiter nutzen leichtfertig vermeintlich harmlose KI-Tools, ohne dies zu hinterfragen oder die IT-Abteilung im Unternehmen darüber zu informieren. Was den meisten dabei nicht klar ist: Die Tools können eingegebene Texte zur Verbesserung ihrer Dienste oder zum Training ihres KI-Modells verwenden, was bei sensiblen Daten großes Gefahrenpotenzial birgt. Die Nutzung von Chatbots, Online-Übersetzern und Bildgeneratoren steigt zurzeit stark und führt zunehmend zu kritischer Schatten IT mit Risiken für das Unternehmen.

Bei den genannten Webanwendungen erfolgt außerdem eine Datenübertragung, meist in die USA, wo sich die Server der bekannten Cloud-Anbieter befinden. Dort können die Datenströme von US-Behörden anlasslos überwacht werden. Das gleiche Problem tritt auf, wenn Mitarbeiter bedenkenlos Cloud-Speicher wie Dropbox, WeTransfer oder Google Drive nutzen, um schnell mal Dateien zu teilen. Datenschutzkonform (gemäß DSGVO der EU) geschieht dies in den seltensten Fällen, denn dafür müssen alle Personen (z. B. Mitarbeiter oder Kunden) der Verarbeitung und Übermittlung ihrer Daten zugestimmt haben.

Ohne Prüfung und Freigabe durch die IT sollten Mitarbeiter auch keine Messenger (z. B. WhatsApp), Chaträume (z. B. Slack) oder Videokonferenz-Tools (z. B. Zoom) für die berufliche Kommunikation nutzen. Schatten IT ist hier besonders kritisch, denn nicht genehmigte Kommunikationstools können Angreifern den Zugriff auf vertrauliche Gesprächsinhalte ermöglichen. Fachkundige ITler achten hingegen auf Ende-zu-Ende-Verschlüsselung und regelmäßige Updates, um Sicherheitslücken zu schließen.

Schatten IT in der Kommunikation

Es gibt auch Schatten IT Beispiele, bei denen die Nutzung der Software an sich erwünscht ist. Stellen Sie sich vor, ein Unternehmen setzt komplett auf Microsoft: Die Buchhaltung nutzt Access-Datenbanken, die Personalabteilung pflegt Mitarbeiterdaten in Excel Tabellen und der Vertrieb erfasst Kundendaten in einem Microsoft Dynamics CRM . Hier zeigt sich ein weiteres Problem: Wenn die IT nicht die Entwicklung koordiniert, kocht jede Abteilung ihr eigenes Süppchen. So entsteht ein Chaos aus verschiedenen Prozessen, eigenentwickelten Anwendungen und Datensilos, die nicht miteinander integriert und dem Rest des Unternehmens unbekannt sind.

Wenn Mitarbeiter private Smartphones oder PCs für die Arbeit verwenden oder Fachabteilungen in Eigenregie Geräte wie Drucker oder Headsets beschaffen, handelt es sich ebenfalls um Schatten-IT. Genauso wie die oben genannten Schatten IT Beispiele entzieht sich auch Hardware, die nicht zum offiziellen Inventar des Unternehmens gehört, jeglicher Kontrolle, obwohl diese notwendig wäre. Denn externe Geräte, die mit Unternehmensnetzwerken verbunden sind, bieten potenzielle Einfallstore für Schadsoftware.

Schatten IT Beispiele: private Hardware

Im Folgenden erfahren Sie, warum es immer wieder zu Schatten IT in Unternehmen kommt und was Sie dagegen tun können.

Not macht erfinderisch: Wenn eine gewisse Unzufriedenheit mit den bereitgestellten IT-Lösungen herrscht, kann dies dazu führen, dass gewiefte Mitarbeiter selbst nach Lösungen für ihr Problem suchen und die offizielle IT durch eine Schatten IT ergänzen. So müssen sie nicht aufwändig ihre Anforderungen formulieren und auf eine Umsetzung durch die IT-Abteilung warten.

Diese Ungeduld ist aus Sicht der Benutzer verständlich – denn die meisten Fachabteilungen stehen unter Leistungsdruck. Ohne effiziente, digitale Prozesse können sie die geforderte Leistung aber nicht erbringen. Zu langes Warten auf Hilfe aus der IT-Abteilung ist ein Ärgernis, das die Produktivität der Mitarbeiter senkt und das Wachstum des Unternehmens ausbremst.

Dabei kann Schatten-IT grundsätzlich entstehen durch:

  • Zu seltene Kommunikation und Abstimmung zwischen IT und Fachabteilungen
  • Ausgeprägte Formalisierung (z. B. aufwändige und langwierige Antragsprozesse)
  • Kein Budget für neue Software, die den Anforderungen der Anwender gerecht wird
  • Fehlendes oder überlastetes Personal in der IT, das den Anfragen kaum hinterherkommt
  • Dezentrale Unternehmensstruktur mit hoher Autonomie einzelner Abteilungen
  • Mitarbeiter, denen die Risiken von Schatten IT nicht bewusst sind

Ein Glück, könnte man meinen, wenn IT-affine Mitarbeiter in Ihren Fachabteilungen die Lösung der Probleme selbst in die Hand nehmen. Sofern diese Eigeninitiative offiziell erwünscht ist und Sie das Engagement in geordnete Bahnen lenken, mag das stimmen. Doch falls Ihre Mitarbeiter ohne Absprache mit der IT-Abteilung zusätzliche Tools und Programme nutzen, kann der Schuss auch nach hinten losgehen.

Risiken von Schatten IT

Schatten-IT, die in der Regel schlechter konzipiert und erprobt ist als professionell entwickelte Systeme, birgt hohe Risiken im Hinblick auf IT-Sicherheit, Datenschutz und Datenintegrität. Wenn Fachabteilungen ein Eigenleben entwickeln und ohne Kenntnis der IT-Abteilung eigene Software einführen, verstoßen sie damit schnell gegen interne und externe Compliance-Regeln.

Kontrollverlust

Schatten IT entzieht sich der IT-Governance. Wenn das IT-Service-Management keinen Überblick über die genutzten Tools hat, kann es diese nicht in den Support sowie künftige Strategien, Migrationen oder Updates einbeziehen.

Mangelhafte Qualität

Schatten-IT wird selten ordentlich dokumentiert, getestet und gewartet. Systemfehler oder instabile Anwendungen können die Folge sein, wenn IT-Lösungen schnell und ohne Fachwissen zusammengestrickt werden.

Insellösungen und Datensilos

Die Fachabteilungen bauen womöglich umständliche, isolierte Workarounds, die nicht mit anderen Systemen integriert sind. Unsynchronisierte Datensilos machen Prozesse ineffizient und redundant.

Sicherheitsrisiken

Schatten IT Systeme erfüllen häufig nicht die unternehmensweit gültigen Sicherheitsstandards (z. B. Verschlüsselung, Authentifizierung), was sie anfällig für Cyberangriffe und Datenlecks macht. Ungeprüfte Installationen können Schadsoftware zudem Tür und Tor öffnen.

Compliance-Verstöße

Schatten IT ist oft nicht mit dem Datenschutz gemäß DSGVO, ISO-Zertifizierungen und anderen Vorgaben vereinbar. Bei Cloud-Diensten können Serverstandorte außerhalb der EU problematisch sein.

Unabsehbare Kosten

Ohne Transparenz verlieren Unternehmen schnell die Kostenkontrolle, z. B. durch doppelte Abonnements/Lizenzen für ähnliche Tools. Falls es zu rechtlichen Konsequenzen aufgrund von Compliance-Verstößen kommt, drohen hohe Bußgelder.

Viele dieser Punkte sind auch im IT-Risikomanagement von Bedeutung. Hierbei geht es darum, die Risiken für das Unternehmen zu beurteilen und sie gegen mögliche Alternativen abzuwägen: Je nachdem, wie lange sich eine Schatten-IT unbemerkt etabliert hat, kann es beispielsweise teurer sein, laufende Prozesse zum Erliegen zu bringen, als die Risiken so lange in Kauf zu nehmen, bis ein angemessener Ersatz verfügbar ist.

Prinzipiell spielen IT-affine, motivierte Mitarbeiter eine wichtige Rolle, um die digitale Transformation in Ihrem Unternehmen voranzutreiben und Ihre Wettbewerbsfähigkeit zu wahren. Warum? Weil sie die Prozesse in ihren Abteilungen und die Anforderungen an die zu entwickelnde Software am genauesten kennen. Provisorische Schatten-IT-Lösungen sind daher besser als nichts und schaffen schnell Abhilfe, solange die IT an einer dauerhaften Lösung arbeitet.

Im Gegensatz zu professionellen Entwicklern besitzen Ihre Mitarbeiter jedoch keine oder nur geringe IT- und Programmierkenntnisse. Die oben genannten Schatten IT Beispiele haben verdeutlicht, dass viele sich überhaupt nicht darüber im Klaren sind, dass sie Schatten-IT nutzen. Um einheitliche Standards der Anwendungen zu gewährleisten, müssen Sie daher Ihre Mitarbeiter schulen, was die Anforderungen an IT-Compliance und IT-Sicherheit betrifft. Dann können sie sogar zur Entlastung der IT-Abteilung beitragen.

Das Wesen der Schatten-IT ist zwar, dass sie sich im Verborgenen abspielt, aber IT-Abteilungen haben oft ein Gefühl dafür, mit welcher Wahrscheinlichkeit die oben erwähnten Schatten IT Beispiele im Unternehmen auftreten. Grundsätzlich gibt es zwei Ansätze, um Shadow IT sichtbar zu machen: technisch oder organisatorisch.

Monitoring zur Erkennung von Schatten IT

Bei der technischen Kontrolle setzen Sie Sicherheitsmechanismen und Monitoring ein, um Schatten IT zu entdecken und zu verhindern. Unter anderem haben Sie folgende technischen Möglichkeiten, um ihr auf die Schliche zu kommen:

  • Mithilfe von Proxys und Firewalls können Sie den Internet-Traffic Ihrer Mitarbeiter, z. B. nicht autorisierten Datenverkehr zwischen Cloud-Diensten und Ihrem Netzwerk, analysieren.
  • Cloud Access Security Broker (CASB) erkennen automatisch die Nutzung von Cloud-Services und können die Einhaltung von Compliance-Richtlinien gewährleisten.
  • Inventarisieren Sie alle Firmengeräte und behalten Sie den Überblick über die auf den Geräten installierte Software – Stichwort: Endpoint-Management / Mobile-Device-Management.

Organisatorisch lässt sich Schatten IT zum Beispiel erkennen, sobald sie finanzielle Spuren hinterlässt: Beispielsweise könnte die Buchhaltung stutzig werden, wenn wiederkehrende Rechnungen von ungewöhnlichen Software-Anbietern eingehen oder Abonnement-Abbuchungen auf Firmenkreditkarten erfolgen. Am effektivsten ist es in jedem Fall, das Gespräch mit den Fachabteilungen zu suchen und zu fragen, welche Tools sie wirklich nutzen.

Schatten-IT resultiert normalerweise nicht aus Böswilligkeit, sondern aus Zeitdruck, Unzufriedenheit oder Unbekümmertheit Ihrer Mitarbeiter. Wenn Sie in Ihrem Unternehmen unerwünschte IT-Systeme entdecken, hilft ein ruhiger, aber bestimmter Ton im Umgang mit Schatten-IT. Erklären Sie den beteiligten Kollegen in den Fachabteilungen, dass Sie von der Einführung und Nutzung von IT-Systemen wissen müssen, um diese auf mögliche IT-Risiken und Compliance-Verstöße prüfen zu können.

Finden Sie anschließend gemeinsame Lösungen, wie man die nicht genehmigten Systeme in die bestehende IT-Landschaft integrieren, die Bedürfnisse der Fachabteilung erfüllen und eventuell sogar die Prozesse weiter optimieren kann. So schaffen Sie ein positives Klima, in dem die IT als Freund und Helfer gilt und die Mitarbeiter gerne auf Sie zukommen, anstatt ihre Schatten-IT-Lösungen vor Ihnen zu verstecken.

Zusammengefasst ergeben sich folgende Handlungsempfehlungen, um Schatten IT in den Griff zu bekommen und ihre Ursachen zu beheben:

  • Stärkung der IT-Abteilung: Um handlungsfähig und präsent zu sein, benötigt die IT-Abteilung in erster Linie ausreichende Ressourcen, also Zeit, Geld und Personal.
  • Offene Kommunikation: Sprechen Sie regelmäßig mit den Fachabteilungen über ihre IT-Bedürfnisse und darüber, welche IT-Prozesse noch besser laufen könnten.
  • Klare IT-Governance: Stellen Sie klar, was erlaubt ist und was nicht. Machen Sie die Mitarbeiter auf IT Risiken aufmerksam und erklären Sie, warum Compliance-Regeln sinnvoll sind.
  • Pragmatische Lösungen: Moderne No-Code-Plattformen befähigen ihre Mitarbeiter dazu – in enger Zusammenarbeit mit der IT – selbst Workflows und Anwendungen zu entwickeln.

Transparenz gegen Schatten IT

Als KI No-Code-Plattform kann SeaTable maßgeblich dazu beitragen, den Tatendrang IT-affiner Mitarbeiter in geordnete Bahnen zu lenken und sie in einem vorgegebenen Rahmen eigene Anwendungen entwickeln zu lassen. Geben Sie Ihren Fachabteilungen einfach einen Werkzeugkasten an die Hand, der passende Software-Bausteine enthält, mit denen sie ihre Prozesse flexibel abbilden, optimieren und automatisieren können.

Anstatt wochenlang auf eine Umsetzung durch die IT-Abteilung zu warten, verwirklichen die Mitarbeiter ihre Ideen einfach selbst. So können sie sowohl die IT-Abteilung entlasten als auch die Entwicklung maßgeschneiderter Lösungen beschleunigen. SeaTable erfüllt strenge Compliance-Richtlinien, erhöht die Zufriedenheit der Mitarbeiter und entzieht der Schatten-IT folglich den Nährboden.

Ihre IT-Abteilung kann SeaTable entweder über die Cloud oder On-Premises bereitstellen – je nachdem, ob Sie den Komfort und die Skalierbarkeit der SeaTable Cloud bevorzugen oder lieber SeaTable Server auf ihrer eigenen IT-Infrastruktur nutzen, um die volle Datenhoheit und höchste Sicherheitsstandards zu gewährleisten.

Bleiben Sie informiert
Erhalten Sie unseren Newsletter und bleiben Sie auf dem Laufenden, was IT-Sicherheit und Datenschutz angeht!

Was ist Schatten IT?

Die gängige Schatten IT Definition schließt alle IT-Systeme, Software-Programme, Apps, KI-Tools und Geräte mit ein, die Mitarbeiter eines Unternehmens ohne Kenntnis der IT-Abteilung nutzen, um die offizielle IT-Infrastruktur zu ergänzen oder zu umgehen. Schatten IT ist dieser Definition folgend weder technisch noch strategisch in das IT-Service-Management eingebunden, was einige IT Risiken mit sich bringt. Der Begriff leitet sich vom englischen “Shadow IT” her.

Welche Risiken birgt Schatten IT für Unternehmen?

Unentdeckte Schatten IT bringt zahlreiche Risiken mit sich, z. B. einen Kontrollverlust der IT-Abteilung, schlecht integrierte Insellösungen und Datensilos, versteckte Kosten durch Doppelstrukturen sowie ungeprüfte Systeme, welche die IT-Sicherheit und Compliance gefährden.

Wie lässt sich Schatten IT vermeiden?

Schatten IT können Sie vor allem durch eine gut ausgestattete IT-Abteilung, offene Kommunikation, klare Richtlinien und moderne No-Code-Lösungen vermeiden.

TAGS: IT Sicherheit & Datenschutz Digitale Transformation No Code & Low Code