Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
IT-Governance Glossar

Shadow IT - Unkontrollierte IT außerhalb der IT-Governance

Shadow IT bezeichnet alle IT-Systeme, Software, Dienste und Geräte die Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung nutzen. Klassische Beispiele: privater Dropbox-Account für Kundendaten, WhatsApp-Gruppe für Projektkoordination, ChatGPT für firmeninterne Dokumente. Shadow IT entsteht aus Frustration über IT-Bürokratie - und schafft unkontrollierbare Risiken für Sicherheit, Compliance und Datenschutz.

Shadow IT ist nicht Bösartigkeit - es ist ein Symptom von IT, die die Bedürfnisse der Nutzer nicht erfüllt. Wenn das Ticketsystem 2 Wochen braucht um eine App freizugeben, lösen Mitarbeiter das Problem selbst. Das Ergebnis: unkontrollierte Datenflüsse, Datenschutzverstöße und Sicherheitslücken die niemand kennt.

Ausmaß und Arten von Shadow IT

Zahlen aus der Praxis (Gartner 2024)

  • 41% aller Unternehmens-IT-Ausgaben gehen an Shadow IT
  • Unternehmen kennen nur 49% ihrer tatsächlich genutzten Cloud-Apps
  • CIOs unterschätzen tatsächliche App-Zahl um 30-40x

Häufigste Shadow-IT-Kategorien

Kommunikation:

  • WhatsApp/Telegram für Kundenkommunikation (DSGVO-Problem!)
  • Private Gmail für Projektarbeit (“Firmen-Outlook ist zu umständlich”)
  • Consumer-Zoom statt Enterprise-Lizenz

Datenspeicherung:

  • Dropbox, Google Drive, iCloud: Firmendaten auf privaten Accounts
  • USB-Sticks: “Ich nehm die Datei kurz mit nach Hause”
  • Privathandy-Fotos von Bildschirmen (Meeting-Präsentationen!)

Produktivität:

  • Trello, Notion, Airtable ohne IT-Genehmigung
  • ChatGPT/Claude für Vertragsbearbeitung, Code-Review (!)
  • Canva, Adobe Express für Marketing-Materialien

Technisch:

  • Entwickler nutzen npm-Pakete ohne Security-Review
  • AWS/Azure-Accounts auf Kreditkarte des Entwicklers
  • Chrome Extensions mit Datenzugriff (Grammarly liest E-Mails!)
  • GitHub Public Repos mit internem Code

Geräte:

  • Privates Smartphone für Firmenzwecke (kein MDM)
  • Smart-Home-Geräte im Büronetz (Alexa hört mit!)
  • Privatrechner für Home-Office (kein EDR, unverschlüsselt)

Risiken von Shadow IT

1. Datenschutz/DSGVO

Szenario: Vertrieb nutzt privaten Dropbox für Kundenliste

  • Personenbezogene Daten außerhalb der kontrollierten Umgebung
  • Kein AVV mit Dropbox-Consumer (Pflicht nach Art. 28!)
  • Datenpanne: DSGVO-Meldung, 4% Umsatz Bußgeld
  • Kein Löschkonzept: Daten bleiben für immer auf privatem Account

2. Datenverlust

Szenario: Entwickler löscht privaten AWS-Account mit Firmendaten

  • Keine IT-Kontrolle → kein Backup
  • Keine Kostenkontrolle → überraschende Cloud-Rechnung

3. Sicherheitslücken

Szenario: Marketing nutzt ungeprüftes Webinar-Tool

  • Tool hat Vulnerability (RCE)
  • Angreifer nutzt Tool als Einstiegspunkt ins Firmennetz

4. ChatGPT-Risiken (aktuell sehr relevant)

Szenario: Mitarbeiter fügt Kundenvertrag in ChatGPT ein für Summary

  • Daten werden möglicherweise für OpenAI-Training genutzt
  • Vertrag enthält PII + Geschäftsgeheimnisse
  • Faktische Weitergabe an Dritte ohne Rechtsgrundlage
  • Samsung-Fall 2023: Interne Quellcode in ChatGPT eingegeben → wurde bekannt!

5. Compliance-Verletzungen

  • ISO 27001: unkontrollierte Assets verlieren Certification
  • NIS2: Sicherheitsmaßnahmen die keine IT-kontrollierten Systeme umfassen
  • Branchen-Compliance: HIPAA, PCI DSS, TISAX verlangen Kontrolle

Shadow IT entdecken

1. Cloud Access Security Broker (CASB)

  • Analyse des Web-Traffics: welche Cloud-Apps werden genutzt?
  • Microsoft Defender for Cloud Apps (M365): sofort einsatzbereit
  • Zeigt: “1.247 verschiedene Cloud-Apps im Einsatz” (typisch!)
  • Risk Score pro App: Dropbox Consumer = HIGH RISK

2. DNS-Analyse

  • DNS-Logs analysieren: welche Domains werden aufgerufen?
  • Categorization: “File Sharing”, “AI Services”, “Consumer Social”
  • Tool: Zeek + ELK, Pi-hole für Sichtbarkeit

3. Firewall-Logs

  • Ausgehende Verbindungen analysieren
  • Verdächtig: viele Uploads zu File-Sharing-Diensten (Exfiltration?)

4. Endpoint-Analyse

  • Intune/SCCM: installierte Software inventarisieren
  • Browser-Extensions in Unternehmens-Browser
  • Lokale Freigaben: Dateien die außerhalb geshared werden

5. Mitarbeiter-Befragung

  • Ehrliche Fragen: “Welche Tools nutzen Sie die IT nicht kennt?”
  • Anonyme Befragung: ehrlichere Antworten
  • Ohne Strafe! Sonst keine ehrlichen Antworten

6. Finanzdaten

  • Kreditkarten-Abrechnungen: SaaS-Subscriptions?
  • IT-Budget vs. tatsächliche Cloud-Ausgaben
  • AWS Organizations: alle AWS-Accounts unter einem Dach

Shadow IT managen (nicht eliminieren!)

Falsche Reaktion (häufig)

“Alle nicht-genehmigten Apps sofort sperren!”

Ergebnis:

  • Mitarbeiter umgehen Sperre (VPN, Privat-Handy)
  • Produktivitätsverlust
  • IT als Feind wahrgenommen
  • Shadow IT geht noch weiter unter

Richtige Reaktion

1. Verstehen: Warum nutzen Mitarbeiter diese Tools?

  • Welches Bedürfnis wird nicht von offizieller IT erfüllt?
  • Oft: zu umständlich, zu langsam, zu alt

2. Risiko-Assessment:

  • Welche Shadow-IT ist kritisch (Kundendaten)? → sofort adressieren
  • Welche ist akzeptables Risiko (private Notiz-App)? → tolerieren

3. Sanktionieren vs. Legalisieren:

  • Häufig genutztes Tool → Unternehmensversion anschaffen!
  • “Mitarbeiter nutzen Dropbox → IT kauft OneDrive-Business”
  • Kommunizieren: “Hier ist die offizielle, sichere Alternative”

4. CASB-Policies:

  • Hochrisiko-Apps blocken: Consumer Cloud Storage für Uploads
  • Mittelrisiko-Apps erlauben + monitoren: Kanban-Tools
  • Niedrigrisiko: erlauben

5. AI-Policy (aktuell kritisch!):

  • Unternehmens-ChatGPT (Azure OpenAI, Claude Enterprise) bereitstellen
  • Klar kommunizieren: keine Firmendaten in Consumer-AI-Tools
  • Technische Kontrolle: DLP-Regel “Kreditkartennummer / Vertrags-Keywords” → Block Upload zu ChatGPT/Consumer-AI

Kulturell: IT als Enabler, nicht Verhinderer

  • IT-Abteilung: “Ihr habt ein Problem, wir helfen euch es sicher zu lösen”
  • Nicht: “Ihr dürft das nicht”
  • App-Request-Prozess: max. 5 Werktage, klare Kriterien

AWARE7 Leistungen zum Thema

ISO 27001 Beratung

Ausführlicher Wiki-Artikel

IT Asset Management (ITAM) und Cybersicherheit: Alles inventarisieren, alles schützen

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

DSGVO und IT-Sicherheit: Technische Anforderungen, TOMs und Umsetzung

14 min Lesezeit

Verwandte Begriffe

CASB - Cloud Access Security Broker Cloud Security - Sicherheit in AWS, Azure und GCP Compliance (IT-Sicherheits-Compliance) DSGVO (Datenschutz-Grundverordnung)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung