Startseite
Zurück zur Übersicht

Shadow IT

Shadow IT bezeichnet den Einsatz von Software, Apps, Cloud-Diensten oder Geräten im beruflichen Umfeld, der ohne Wissen oder Genehmigung der zuständigen IT-Abteilung erfolgt. Typische Beispiele sind das Speichern von Arbeitsdaten in einem privaten Cloud-Konto, die Nutzung nicht freigegebener Kommunikationstools oder das Einbinden privater Endgeräte ins Firmennetzwerk ohne Einbindung in die offizielle IT-Infrastruktur. Shadow IT entsteht in den meisten Fällen nicht aus böser Absicht, sondern aus dem Wunsch heraus, effizienter oder bequemer arbeiten zu können.

Das zentrale Problem von Shadow IT liegt in der fehlenden Sichtbarkeit für die IT-Abteilung. Was nicht bekannt ist, kann weder auf Sicherheitslücken geprüft noch in Compliance-Prozesse eingebunden werden. Nicht genehmigte Anwendungen unterliegen keinen unternehmensinternen Datenschutzrichtlinien, werden nicht mit Sicherheitsupdates versorgt und können personenbezogene oder vertrauliche Daten in unkontrollierte Systeme abfließen lassen. Für Unternehmen, die unter die NIS2-Richtlinie oder DSGVO-Anforderungen fallen, stellt Shadow IT damit ein unmittelbares Compliance-Risiko dar.

Ein Schulträger, der Lehrkräften dienstliche iPads zur Verfügung stellt, steht vor einem konkreten Shadow-IT-Problem, wenn Lehrkräfte zur Unterrichtsvorbereitung private Filesharing-Dienste nutzen, um Materialien mit Schülern zu teilen. Gleiches gilt für Unternehmen, in denen Mitarbeiter WhatsApp-Gruppen für die interne Kommunikation verwenden, weil die offizielle Lösung als umständlich empfunden wird. In beiden Fällen verlassen möglicherweise sensible Daten die kontrollierte IT-Umgebung, ohne dass die IT-Verantwortlichen davon erfahren.

Der wirksamste Ansatz gegen Shadow IT kombiniert klare Richtlinien mit attraktiven, freigegebenen Alternativen. Verbote allein führen selten zum Ziel, weil sie die eigentliche Ursache nicht beseitigen. Ergänzend helfen technische Maßnahmen wie ein MDM, das auf verwalteten Geräten die Installation nicht genehmigter Apps verhindert und den Zugriff auf Unternehmensressourcen an die Einhaltung definierter Sicherheitsrichtlinien knüpft.

Shadow IT lässt sich nur dann strukturell eindämmen, wenn Richtlinien nicht nur kommuniziert, sondern technisch durchgesetzt werden und die zentrale Verwaltung von Geräten und Apps sicherstellt, dass nicht freigegebene Anwendungen gar nicht erst installiert werden können.