Unter Schatten-IT (engl. Shadow IT) versteht man den Einsatz von Informationstechnologie – also Hard- oder Software sowie Cloud-Diensten – in einem Unternehmen ohne die explizite Genehmigung oder Kenntnis der zentralen IT-Abteilung.
Kernaspekte der Schatten-IT
- Entstehung: Meist geschieht dies nicht in böser Absicht, sondern weil Mitarbeiter nach effizienteren Lösungen suchen, wenn offizielle Prozesse als zu langsam oder unflexibel wahrgenommen werden.
- Formen:
- Software & Cloud: Nutzung von privatem Cloud-Speicher (z.B. Dropbox, Google Drive), Messengern (WhatsApp für Dienstliches) oder Projektmanagement-Tools.
- Hardware: Verwendung privater Geräte am Arbeitsplatz (BYOD – Bring Your Own Device), die nicht im Inventar der IT auftauchen.
- Schatten-KI: Neu im Fokus ist die unkontrollierte Nutzung von privater GenAI (z.B. ChatGPT-Accounts), bei der sensible Firmendaten ohne Schutzmaßnahmen in KI-Modelle fließen.
Risiken für Unternehmen
Die fehlende Transparenz führt zu massiven Problemen in der Cyber-Sicherheit und Compliance:
- Datenschutz (DSGVO): Daten können auf Servern außerhalb der EU landen, was rechtliche Verstöße nach sich zieht.
- Sicherheitslücken: Da die IT-Abteilung die Tools nicht kennt, werden keine Sicherheitsupdates oder Backups durchgeführt.
- Compliance & Lizenzen: Unkontrollierte Installationen können zu teuren Unterlizensierungen oder Verstößen gegen interne Richtlinien führen.
Umgang mit dem Phänomen
Experten raten heutzutage davon ab, Schatten-IT rein restriktiv zu bekämpfen. Stattdessen wird empfohlen:
- Transparenz schaffen: Analyse des Datenverkehrs (z.B. mit Microsoft Defender for Cloud Apps), um genutzte Tools zu identifizieren.
- Angebote verbessern: Die IT-Abteilung muss agile Lösungen bereitstellen, um den Drang zur “Selbsthilfe” zu verringern.
- Education: Sensibilisierung der Mitarbeiter für die Gefahren unkontrollierter Software.
