Schatten-IT birgt enorme Risiken für Unternehmen. IT-Administratoren und Entscheider sollten Strategien kennen, um unerwünschte IT-Nutzung zu erkennen und zu unterbinden.
Thomas Kranz von Trusted Advisor erläutert die Gefahren, die von Schatten-IT ausgehen, und zeigt, wie man mit dem Thema umgehen sollte.
(Bild: www.trusted-advisor.com)
Schatten-IT beschreibt die unautorisierte Nutzung von IT-Ressourcen in Unternehmen, sei es Software, Cloud-Dienste oder Hardware, die ohne Wissen oder Zustimmung der IT-Abteilung verwendet wird. Mitarbeiter, die ohne Freigabe private Geräte oder nicht genehmigte Anwendungen nutzen, schaffen unkontrollierbare IT-Infrastrukturen, die erhebliche Sicherheitsrisiken darstellen.
Das Problem ist nicht neu, doch seine Bedeutung hat in der Ära der digitalen Transformation zugenommen. Nur: Was können IT-Administratoren tun, um Schatten-IT aufzuspüren und das Unternehmen zu schützen?
Was ist Schatten-IT?
Schatten-IT umfasst alle IT-Systeme, Anwendungen oder Geräte, die nicht offiziell von der IT-Abteilung verwaltet werden. Sie entsteht oft aus dem Wunsch der Mitarbeiter, Prozesse zu beschleunigen oder ihre Arbeitsweise zu optimieren. Häufig greifen sie dabei auf externe Anwendungen wie Cloud-Dienste, SaaS (Software as a Service) oder selbst beschaffte Hardware zurück, um ihre Aufgaben effizienter zu bewältigen. Das geschieht meist ohne böswillige Absicht, kann jedoch schwerwiegende Folgen für die IT-Sicherheit und Compliance eines Unternehmens haben.
Die Risiken von Schatten-IT
Die größten Gefahren von Schatten-IT liegen in der fehlenden Kontrolle und Transparenz über die genutzten IT-Ressourcen. Unbekannte Anwendungen und Dienste entsprechen nicht den Sicherheitsrichtlinien des Unternehmens und stellen ein Einfallstor für Cyberangriffe oder Datenverluste dar. Weitere Risiken sind:
Sicherheitslücken: Schatten-IT entzieht sich der Kontrolle durch die IT-Abteilung, sodass Sicherheitsupdates und Patches häufig fehlen.
Compliance-Verstöße: Unautorisiert eingesetzte Software kann gegen Datenschutzrichtlinien und andere gesetzliche Vorschriften verstoßen.
Ineffizienz: Schatten-IT führt häufig zu unnötigen Doppelstrukturen und erhöhten Kosten, da offizielle IT-Ressourcen ungenutzt bleiben.
Diese Probleme stellen Unternehmen vor eine große Herausforderung, da Schatten-IT oft unbemerkt bleibt und IT-Entscheider wenig Einfluss auf diese Systeme haben.
Abb. 1: Wer diese Schritte befolgt, bekommt die Schatten-IT in den Griff!
(Bild: www.trusted-advisor.com)
Wie erkennen Unternehmen Schatten-IT?
Der erste Schritt zur Bekämpfung von Schatten-IT ist die vollständige Transparenz über die eingesetzten IT-Ressourcen. Wie genau man dabei vorgehen sollte, zeigt Abbildung 1. Das kann mithilfe von IT-Management-Tools und regelmäßigen Audits erreicht werden. Plattformen wie Beamy oder Proofpoint bieten eine umfassende Analyse der verwendeten SaaS-Anwendungen im Unternehmen und helfen dabei, unautorisierte Nutzung aufzudecken.
Eine weitere Möglichkeit besteht darin, Netzwerkverkehr und Softwareinstallationen kontinuierlich zu überwachen, um neue, unbekannte Anwendungen schnell zu identifizieren.
Technische Lösungen zur Eindämmung
Sobald Schatten-IT identifiziert ist, müssen konkrete Schritte unternommen werden, um diese zu eliminieren oder zu integrieren. Hierbei kommen Tools zur Anwendung, die speziell für das Management von SaaS-Anwendungen entwickelt wurden. SaaS-Management-Plattformen bieten IT-Entscheidern eine zentrale Übersicht über alle genutzten Dienste, ermöglichen eine effektive Überwachung und helfen dabei, Sicherheitslücken zu schließen. Ein Beispiel ist Beamy, das neben der Überwachung von SaaS-Anwendungen auch Risiken bewertet und Sicherheitsmaßnahmen vorschlägt.
IT-Governance stärken
Ein weiterer Schlüssel zur Reduzierung von Schatten-IT liegt in der Stärkung der IT-Governance. Klare Richtlinien zur Beschaffung und Nutzung von IT-Ressourcen sollten regelmäßig überprüft und kommuniziert werden. Durch die Schulung von Mitarbeitern und die Sensibilisierung für die Gefahren der Schatten-IT kann das Bewusstsein für IT-Sicherheitsrisiken gestärkt werden. Schulungsangebote, wie sie etwa der TÜV anbietet, helfen dabei, das Verständnis für den sicheren Umgang mit IT-Ressourcen zu fördern.
Enterprise Architecture Management (EAM) als Lösung
Einen weiteren Schutz gegen Schatten-IT bietet ein umfassendes Enterprise Architecture Management (EAM). EAM-Systeme bieten IT-Entscheidern eine zentrale Übersicht über die gesamte IT-Infrastruktur und erleichtern so die Planung und Kontrolle von IT-Ressourcen. Unternehmen sollten sicherstellen, dass alle verwendeten Anwendungen und Systeme in das EAM integriert sind. Durch die Nutzung professioneller EAM-Tools wie MEGA HOPEX oder LeanIX kann die Schatten-IT nahtlos in die offizielle IT-Governance eingegliedert werden.
Präventive Maßnahmen gegen Schatten-IT
Neben der Erkennung und Beseitigung von Schatten-IT sollten Unternehmen präventive Maßnahmen ergreifen, um die Entstehung von Schatten-IT zu verhindern. Hierbei spielen folgende Maßnahmen eine zentrale Rolle:
Regelmäßige Audits und Monitoring: Um Schatten-IT frühzeitig zu erkennen, sollten IT-Administratoren regelmäßig Audits durchführen und den Netzwerkverkehr überwachen.
Benutzerfreundliche IT-Lösungen bereitstellen: Oft entsteht Schatten-IT, weil die offiziellen IT-Systeme nicht den Anforderungen der Mitarbeiter entsprechen. Unternehmen sollten daher sicherstellen, dass ihre IT-Ressourcen flexibel und benutzerfreundlich sind.
Offene Kommunikation: Mitarbeiter sollten ermutigt werden, ihre Anforderungen und Wünsche an IT-Systeme offen zu kommunizieren, statt auf inoffizielle Lösungen auszuweichen.
Fazit: Sicherheit durch Transparenz
Schatten-IT bleibt eine Herausforderung, die sich nicht vollständig eliminieren lässt. Durch proaktive Maßnahmen und eine klare IT-Governance können Unternehmen jedoch das Risiko minimieren und ihre IT-Sicherheit stärken. Entscheidend ist die frühzeitige Erkennung und Integration von unautorisierten IT-Ressourcen in die offizielle IT-Landschaft. IT-Entscheider sollten sicherstellen, dass ihre Architekturmanagement-Strategie flexibel genug ist, um auf neue Herausforderungen in der IT-Sicherheit zu reagieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor
Thomas Kranz ist Senior Business Consultant bei der EAM Trusted Advisor GmbH und verfügt über 14 Jahre Erfahrung in der IT-Beratung mit Schwerpunkt auf Enterprise Architecture Management.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/d6/f2/d6f2f7dbd45703f162a3dd83882df6d7/0128882851v1.jpeg "Zum fünften Mal in Folge landen Cybervorfälle im Allianz Risk Barometer auf Platz 1 der weltweit größten Risiko. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/6b/9c6ba58e00036530abb6d893364c5bbc/0128795106v1.jpeg "Das Samsung Galaxy Book6 Pro, hier bei der Vorstellung auf der CES, kommt als 16-Zoll- und als 14-Zoll-Modell auf den Markt. Beide basieren auf Intels neuen Core-Ultra-300-Prozessoren. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/a0/66a0568c189a9a83de6783bde982e992/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/67/ce/67ceb969cfc87/s-c-logo.png "s-c-logo (Soft & Cloud GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4e/30/4e309fc5d2df4f2cb890ed9668908598/0122437784v1.jpeg "Martin Karlsson, Chief Information Security Officer bei Quinyx: \"Um die Nutzung von Schatten-IT in den Griff zu bekommen, braucht es klare Maßnahmen und eine durchdachte, langfristige Kommunikationsstrategie.\" (Bild: Quinyx)")
:quality(80)/p7i.vogel.de/wcms/02/9e/029e79e40c236d0ea03d94117e95e600/0123578819v1.jpeg "Unternehmen, die keine Kontrolle über Schatten-KI-Anwendungen haben, riskieren schwerwiegende Datenschutzverletzungen und Sicherheitsrisiken. (Bild: Midjourney / KI-generiert)")