Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Shadow IT entdecken und kontrollieren: Ein Leitfaden für IT-Sicherheitsteams - Illustration zu Cloud-Sicherheit und verschluesselter Datenuebertragung
Cloud Security

Shadow IT entdecken und kontrollieren: Ein Leitfaden für IT-Sicherheitsteams

Shadow IT ist die größte blinde Angriffsoberfläche in Unternehmen: nicht-autorisierte SaaS-Apps, Cloud-Speicher, ChatGPT-Nutzung, privater Code-Hosting. Wie man Shadow IT entdeckt (CASB, DNS-Analyse, Browser-Plugins), bewertet und durch Cloud Governance kontrolliert - ohne Innovation zu blockieren.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
9 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Nur 108 von durchschnittlich 975 aktiven Cloud-Diensten eines Unternehmens sind der IT-Abteilung bekannt (Gartner 2023) - der Rest ist Shadow IT und damit unkontrollierte Angriffsfläche. Shadow IT entsteht hauptsächlich durch zu langsame Freigabeprozesse; 2024/2025 sind KI-Tools wie ChatGPT das akuteste Problem, weil Firmendaten in US-Rechenzentren fließen. Zur Entdeckung setzen Sie CASB-Lösungen wie Microsoft Defender for Cloud Apps oder Netskope ein, ergänzt durch DNS-Log-Analyse und Endpoint-Agenten. Bewerten Sie gefundene Apps nach Risikoklasse: Hoch-Risiko-Apps wie privates GitHub blockieren Sie sofort und stellen Alternativen bereit; Mittel-Risiko-Apps regulieren Sie statt zu verbieten.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (5 Abschnitte)

Ihr CISO kennt wahrscheinlich Ihre offiziellen Cloud-Dienste: Microsoft 365, Salesforce, SAP. Was er nicht kennt: Die 15 anderen SaaS-Tools die Ihre Mitarbeiter nutzen - Trello, Notion, Airtable, persönliche Google Drive-Konten, ChatGPT-Plus mit Unternehmensdaten, GitHub privat für Firmencode. Das ist Shadow IT - und es ist die am schwersten zu schützende Angriffsoberfläche die Sie haben.

Was ist Shadow IT?

Shadow IT bezeichnet IT-Ressourcen und -Dienste, die ohne Wissen oder Genehmigung der IT-Abteilung im Unternehmen eingesetzt werden.

Kategorien:

  1. SaaS-Anwendungen: Trello, Notion, Miro, WeTransfer, ChatGPT
  2. Cloud-Speicher: Privates Google Drive oder Dropbox für Firmendaten
  3. Kommunikation: WhatsApp, Telegram für Geschäftskommunikation
  4. Code und Repositories: Privates GitHub für Firmencode
  5. KI-Tools: ChatGPT, Claude, Gemini mit Firmendaten im Prompt
  6. Hardware: Private USB-Sticks, private Laptops im Homeoffice
  7. Cloud-Ressourcen: AWS-Account des Entwicklers (“mal eben hochgeladen”)

Statistiken (Gartner 2023):

  • 41 % der Mitarbeiter nutzen IT-Tools ohne IT-Freigabe
  • 75 % der “Shadow Apps” enthalten Firmendaten
  • Ein durchschnittliches Unternehmen hat 975 aktive Cloud-Dienste - der IT sind davon nur 108 bekannt

Warum Shadow IT entsteht

Wer Shadow IT bekämpfen will, muss verstehen warum es entsteht.

1. Zu langsame Beschaffungsprozesse

Die IT-Freigabe dauert drei Monate, der Projektstart ist in zwei Wochen. Mitarbeiter lösen das Problem pragmatisch - auf eigene Faust. Die Lösung: eine Fast-Lane für Low-Risk-SaaS-Apps mit einer Bearbeitungszeit unter einer Woche.

2. Zu restriktive oder schlechte Tools

Das offizielle Projektmanagement-Tool ist umständlich. Trello ist einfach besser. Die Lösung: Nutzer in die Tool-Auswahl einbeziehen und moderne Alternativen aktiv bewerten.

3. Unkenntnis der Risiken

Mitarbeiter wissen schlicht nicht, dass ein privates Google Drive mit Firmendaten ein Problem ist. Awareness-Training speziell für Cloud- und SaaS-Nutzung schafft hier Abhilfe.

4. KI-Tools (aktuelles Hauptproblem 2024/2025)

ChatGPT und Claude werden für Code-Reviews, Textbearbeitung und Analysen genutzt. Die eingegebenen Daten landen in US-Rechenzentren und könnten als Trainingsdaten verwendet werden. Die Lösung: eine unternehmensweite KI-Richtlinie plus die Bereitstellung freigegebener KI-Tools.

Shadow IT entdecken

1. CASB (Cloud Access Security Broker)

Ein CASB analysiert den Netzwerktraffic und identifiziert automatisch alle genutzten Cloud-Dienste. Es bewertet dabei Risikoscores, Datenschutz-Compliance und Sicherheitszertifizierungen. Geeignete Tools: Microsoft Defender for Cloud Apps, Netskope, Zscaler CASB. Ein typisches Ergebnis: “Ihre Mitarbeiter nutzen 847 verschiedene SaaS-Apps - 12 davon mit hohem Risiko.”

2. DNS-Log-Analyse

Eine günstigere Alternative zum CASB ist die Auswertung des DNS-Resolvers: Welche Domains werden aufgelöst? Tools wie Pi-hole (mit Logging), Infoblox oder Cisco Umbrella mit Shadow IT Discovery ermöglichen diese Analyse. Der Vorteil: vorhandene Infrastruktur kann genutzt werden.

3. Browser Extension / Endpoint-Agent

Ein Agent auf den Endpunkten meldet aufgerufene URLs und installierte Browser-Erweiterungen. Er erkennt auch HTTPS-Traffic, wo die DNS-Analyse blind bleibt. Microsoft Defender for Endpoint bietet diese Funktion unter dem Namen “Cloud Discovery”.

4. SaaS-Nutzungs-Analyse via IAM

  • OAuth-Apps: Entra ID zeigt alle Apps an, denen Nutzer Zugriff gewährt haben
  • E-Mail-Weiterleitungsregeln: Hinweis auf ein privates E-Mail-Konto
  • Kreditkarten-Abrechnungsanalyse (in Kooperation mit Finance): wiederkehrende SaaS-Transaktionen aufspüren

Shadow IT bewerten und reagieren

Nicht alle Shadow IT ist gleich gefährlich.

Risikoklassifizierung

Hohes Risiko - sofortiger Handlungsbedarf:

  • Apps die Firmendaten mit KI-Training teilen (kostenlose ChatGPT-Version)
  • File-Sharing mit öffentlichem Link (WeTransfer, anonyme Pastebin-Dienste)
  • Remote-Access-Tools ohne IT-Kontrolle (TeamViewer, AnyDesk privat genutzt)
  • Code-Repositories mit Firmensecrets (privates GitHub)

Mittleres Risiko - regulieren, nicht verbieten:

  • Produktivitäts-Apps mit Firmendaten (Notion, Trello, Miro)
  • Cloud-Speicher (privates Google Drive, Dropbox)
  • Kommunikations-Apps für Geschäftliches (WhatsApp, Signal)

Niedriges Risiko - beobachten, ggf. freigeben:

  • Nachschlage-Apps und Lernplattformen ohne Firmendaten-Upload
  • Browser-Erweiterungen ohne Datenzugriff

Reaktions-Framework

RisikoklasseReaktion
HochSofort blockieren + Nutzer informieren + Alternative bereitstellen
MittelFreigabe-Prozess einleiten (30 Tage), bis dahin tolerieren
NiedrigBeobachten, im nächsten Review freigeben oder ignorieren

Cloud Governance: Shadow IT strukturell verhindern

1. SaaS-Freigabe-Prozess (Light Touch)

Ein standardisiertes Formular erfragt Zweck, Datenklassifizierung, Nutzeranzahl und Kosten. Das IT-Security-Team reviewt die Anfrage innerhalb von maximal fünf Werktagen für Low-Risk-Apps. Freigegebene Apps werden in einem App-Katalog im Intranet dokumentiert.

2. KI-Richtlinie (unbedingt nötig 2025)

  • Freigegebene KI-Tools: Microsoft Copilot (DSGVO-konform), GitHub Copilot Business
  • Verboten: Kostenloser ChatGPT mit Firmendaten, privater Claude mit API-Key
  • Graubereich klären: ChatGPT Enterprise mit eigenen Daten? Eigene LLM-Instanz on-premise?

3. CASB als permanentes Monitoring

Shadow IT-Erkennung ist kein einmaliger Scan, sondern eine kontinuierliche Aufgabe. Wöchentliche Reports über neue Shadow Apps und Risikoänderungen halten das Bild aktuell.

4. Kultur: IT als Enabler statt Gatekeeper

Mitarbeiter melden neue Tools proaktiv, wenn die IT schnell und konstruktiv reagiert. Das Prinzip “Bring uns das Tool, wir evaluieren es in fünf Tagen” schafft Vertrauen. Die Geschäftsführung sollte klar kommunizieren: Die Nutzung von Shadow IT hat bei Verstößen Konsequenzen - aber der einfachste Weg ist immer der offizielle.

Shadow IT ist ein Kulturfrage genauso wie eine Technologiefrage. Wer nur blockiert, verliert - die Mitarbeiter umgehen die Blockaden oder können nicht mehr produktiv arbeiten. Wer einen schnellen, fairen Freigabe-Prozess bietet und die richtigen Tools selbst bereitstellt, gewinnt das Vertrauen der Belegschaft und behalt die Kontrolle über seine Daten.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung