Schatten-IT scheint praktisch, doch unautorisierte und privat genutzte Apps bergen erhebliche Risiken für Datensicherheit und Effizienz. Martin Karlsson, Chief Information Security Officer bei Quinyx, zeigt, wie Unternehmen Risiken eindämmen und sichere, transparente Kommunikationsstrukturen schaffen.
Martin Karlsson, Chief Information Security Officer bei Quinyx: "Um die Nutzung von Schatten-IT in den Griff zu bekommen, braucht es klare Maßnahmen und eine durchdachte, langfristige Kommunikationsstrategie."
(Bild: Quinyx)
Quinyx Trendstudie: State of the Frontline Workforce 2024
(Bild: Quinyx)
Digitale Unternehmenskommunikation sollte vor allem eines sein: sicher, effizient und verlässlich. Doch besonders in Blue-Collar-Bereichen nutzen viele Mitarbeiter weiterhin lieber private Kommunikationskanäle wie WhatsApp, statt offizielle Unternehmens-Apps und -Tools. Laut Studienbericht "The State of the Frontline Workforce 2024" greifen in Deutschland ganze 83 Prozent der Angestellten in Unternehmen mit Schichtdiensten auf diese sogenannte Schatten-IT zurück. In anderen Ländern wie Großbritannien oder Schweden sind Unternehmens-Apps für die interne Kommunikation weit verbreiteter, hierzulande werden private Messenger-Apps immer noch als praktikable Alternative angesehen.
Was auf den ersten Blick schnell und praktisch erscheint, hinterlässt mehr als nur einen faden Beigeschmack. Schatten-IT öffnet Tür und Tor für Datenschutzverletzungen, ineffiziente Absprachen und zusätzliche Aufwände bei der Einhaltung von Compliance-Vorgaben. Dabei geht es längst nicht nur um IT-Sicherheitsrichtlinien, sondern auch um das Wohlbefinden der Mitarbeiter. Wenn berufliche und private Kommunikation auf WhatsApp und Co. zusammenläuft, bleiben effiziente Absprachen auf der Strecke und die klare Grenze zwischen Arbeits- und Privatleben verschwimmt zusehends. Gerade für Unternehmen, die langfristig konkurrenzfähig bleiben wollen, ist es höchste Zeit, Schatten-IT nicht nur als internes Ärgernis, sondern als echtes Risiko ernst zu nehmen.
Warum wegsehen keine Option ist
Schatten-IT hat sich mittlerweile in die tägliche Kommunikation vieler Unternehmen eingeschlichen. Auf den ersten Blick mag es bequem wirken, private Apps und Tools auch für dienstliche Zwecke zu nutzen. Allerdings wird hier eine Grauzone betreten, in der Datensicherheit kaum gewährleistet ist. Sensible Informationen, die über private Messenger-Dienste wie WhatsApp ausgetauscht werden, lassen sich nicht ausreichend schützen und oft nicht einmal nachvollziehen. So entstehen für das Unternehmen Risiken, die kaum zu kontrollieren sind. Zwar kann WhatsApp auch eine End-to-End-Verschlüsselung vorweisen, doch im Unternehmensumfeld reicht das nicht aus: Denn die internationalen App-Anbieter erlauben weder Zugriffskontrollen noch zentrale Überwachung. So sind sensible Informationen – etwa Kundendaten, interne Protokolle oder vertrauliche strategische Dokumente – plötzlich in ungesicherten Chatverläufen auf privaten mobilen Endgeräten gespeichert, die sich jeder Kontrolle der IT-Abteilung entziehen. Ohne geschützte Speicherorte und zentrale Protokollierung fehlt jegliche Nachvollziehbarkeit, und Datenlecks oder unbefugte Zugriffe bleiben häufig so lange unentdeckt, bis der Schaden bereits eingetreten ist.
Zusätzlich sind IT-Teams machtlos, wenn es darum geht, Sicherheitsvorfälle in diesen unkontrollierten Netzwerken zurückzuverfolgen oder darauf zu reagieren. Schatten-IT schafft eine gefährliche Parallelwelt, in der vertrauliche Informationen möglicherweise auf privaten Geräten verweilen, in ungesicherten WLAN-Netzen ausgetauscht werden oder durch fehlende App-Schutzmechanismen anfällig für Angriffe sind. Unternehmen, die hochsensible Daten verwalten, verstoßen so potenziell gegen Sorgfaltspflichten und Sicherheitsstandards, ganz abgesehen von zentralen Fragen des Datenschutzes. Die Konsequenzen sind weitreichend: von Bußgeldern bei Datenschutzverletzungen bis hin zu irreparablen Imageschäden oder Informationsleaks.
Und dann ist da natürlich noch die Frage nach der Effizienz
Wenn Mitarbeiter über private Apps kommunizieren, kann es schnell unübersichtlich werden. Wichtige Infos verschwinden in der Flut von WhatsApp-Nachrichten, gehen in privaten Chats unter oder erreichen nicht alle Beteiligten zur richtigen Zeit. Um sicherzustellen, dass trotzdem alle auf dem neuesten Stand sind, braucht es oft doppelte Absprachen, Feedback-Schleifen, unnötige Meetings – schlicht nicht notwendigen und teuren Mehraufwand. Das Resultat: Verwirrung und Zeitverschwendung. Ohne eine zentrale Kommunikationsplattform verteilt sich alles auf unzählige private Geräte und Apps, und jede Information landet irgendwo – nur nicht dort, wo sie gebraucht wird. Für die Teams bedeutet das mühsames Zusammensuchen, ständiges Nachfragen und eine hohe Fehlerquote, weil einfach der allgemeine Überblick fehlt. Selbst kleine Änderungen oder neue Projekteinsätze werden zur Herausforderung, wenn keine klare Kommunikationsstruktur vorhanden ist und sich Informationen im Chaos privater Chats verlieren.
Unternehmen verschwenden nicht nur bares Geld; auch Zeit und Energie, die besser in produktive Handlungen fließen sollten, verpuffen im Wirrwarr der Schatten-IT. Gerade für die IT-Abteilung ist es ein zusätzlicher Kraftakt, ständig alle Kanäle im Blick zu behalten und sicherzustellen, dass der Betrieb nicht ins Stocken gerät. Langfristig kann sich kein Unternehmen diesen Effizienzverlust leisten.
Effektive Strategien gegen Schatten-IT
Um die Nutzung von Schatten-IT in den Griff zu bekommen, braucht es klare Maßnahmen und eine durchdachte, langfristige Kommunikationsstrategie. Ein zentraler Schritt ist die Einführung einer DSGVO-konformen Kommunikationsplattform, die für die interne Nutzung in Unternehmen konzipiert ist. Solche Plattformen spielen besonders im Workforce Management eine entscheidende Rolle: Hier geht es darum, Arbeitskräfte effizient zu planen und zu steuern. Wenn Mitarbeiter jedoch auf private Kommunikationskanäle zurückgreifen, wird die Koordination von zentralen Elementen wie Dienstplänen oder Schichtanpassungen unnötig erschwert. Das führt nicht nur zu Informationslücken, sondern behindert auch die reibungslose Zusammenarbeit zwischen Teams und Abteilungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kommunikationsplattformen bieten nicht nur eine höhere Datensicherheit, sondern auch umfassende Kontroll- und Dokumentationsfunktionen – Vorteile, die private Apps schlichtweg nicht bieten können. Wichtig ist dabei die Auswahl von Tools, die spezifische Funktionen wie Audit-Trails und rollenbasierte Zugriffskontrollen mitbringen. Diese ermöglichen es der IT-Abteilung, alle Kommunikationswege im Auge zu behalten und einen klaren Überblick darüber zu haben, wer auf welche Informationen zugreifen kann. So lässt sich das Sicherheitsrisiko aktiv minimieren und gleichzeitig eine klare Trennung zwischen beruflichen und privaten Nachrichten herstellen.
Eine weitere wichtige Maßnahme ist die strukturierte Zugriffskontrolle und das Implementieren von Überwachungsmechanismen. Die Sicherung sensibler Unternehmensdaten beginnt bei der gezielten Zugangsbeschränkung und wird durch eine kontinuierliche Überwachung ergänzt. In der Praxis bedeutet das: Eine zentrale Plattform ermöglicht es, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen („Least Privilege”-Prinzip). Automatisierte Monitoring-Tools, die ungewöhnliche Aktivitäten – etwa wiederholte Zugriffsversuche oder unübliche Datenmengen – melden, helfen dabei, Risiken in Echtzeit zu erkennen. So behalten IT-Teams die Übersicht und können gezielt Sicherheitsvorfälle verhindern, bevor es zu kritischen Datenverlusten kommt.
Die Mitarbeiter gezielt informieren und einbinden
Doch technische Maßnahmen allein reichen nicht aus: Auch die Mitarbeiter selbst müssen eingebunden werden. Ein häufiger Grund für Schatten-IT ist Unwissen. Viele Mitarbeiter sind sich der Risiken privater Messenger gar nicht bewusst oder greifen darauf zurück, weil sie keine einfach zugänglichen und leicht handhabbaren Alternativen kennen. Hier sind regelmäßige Schulungen und praxisnahe Aufklärung entscheidend. Eine interaktive Schulung, die reale Szenarien und mögliche Folgen zeigt, verdeutlicht, warum es nicht nur für das Unternehmen, sondern auch für die Mitarbeiter selbst sicherer ist, nur genehmigte Kanäle zu nutzen. Die IT-Abteilung kann außerdem gezielt benutzerfreundliche Alternativen aufzeigen und sicherstellen, dass Mitarbeiter diese kennen und verstehen. So wird der Anreiz, auf private Apps zurückzugreifen, von Anfang an verringert.
Fazit: Schatten-IT gezielt minimieren
Schatten-IT mag auf den ersten Blick harmlos wirken, doch die versteckten Risiken für Datensicherheit, Effizienz und Compliance sind erheblich. Unternehmen, die langfristig konkurrenzfähig bleiben wollen, kommen nicht darum herum, gezielt gegen unautorisierte Kommunikationskanäle vorzugehen. Mit einer zentralen Kommunikationsplattform, klaren Zugriffskontrollen und regelmäßigen Schulungen lässt sich das Risiko nicht nur eindämmen, sondern es entsteht auch eine Kommunikationsstruktur, die Mitarbeiter und IT gleichermaßen entlastet. Wer Schatten-IT konsequent minimiert, schafft Raum für eine sichere und produktive Zusammenarbeit.
Über den Autor
Martin Karlsson ist Chief Information Security Officer bei Quinyx.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/cb/24/cb242bd94c1c922b7acd32be2c91c9d9/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der Künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/e5/ade5de9fdf2919d873cd1384e173feec/0129269175v2.jpeg "Die T Cloud Public soll dem europäischen Bedürfnis nach Cloud-Souveränität gerecht werden und sich auf Augenhöhe mit den Hyperscalern begeben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/fa/6bfa3799ec2833886c5932834bb01668/0128802998v1.jpeg "Die Leistungsfähigkeit moderner Infrastrukturen ist heute selten das Problem. Trotzdem geraten viele IT-Organisationen unter Druck. (Bild: Gettyimages 1222958278 / Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/5b/77/5b77fccd92dcdc0beb9297aab7ebef7a/0129255749v2.jpeg "Das Assessment-Paper der Timetoact Group vergleicht die großen Cloud-Anbieter – europäische Lösungen müssen sich nicht verstecken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/aa/55aa1085fca6b8cbeb7326cead80be35/0129191109v2.jpeg "Pure Storage und Rubrik integrieren die automatische Erkennung von Anomalien in den Cyber Resilience Stack. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/c1/07c10f0ef99b1aaa8ec4e689bab584d6/0129245033v2.jpeg "Der Microsoft Copilot Readiness Service, der auf der Technologie von AvePoint basiert, reagiert auf die zunehmenden Anforderungen an Sicherheit, Compliance und ROI-Optimierung. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/fd/46/fd46fd85a12362858653e9a2fffe13f3/0124818577v2.jpeg "Die weltweite geopolitische Lage bleibt angespannt – und mit ihr die Unsicherheiten im Datenschutz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/9e/029e79e40c236d0ea03d94117e95e600/0123578819v1.jpeg "Unternehmen, die keine Kontrolle über Schatten-KI-Anwendungen haben, riskieren schwerwiegende Datenschutzverletzungen und Sicherheitsrisiken. (Bild: Midjourney / KI-generiert)")