Schatten-IT beschäftigt die Verantwortlichen in Unternehmen nun schon seit vielen Jahren – Tendenz zunehmend. Wie kann DNS-Security konkret dabei helfen, die Herausforderung Schatten-IT nachhaltig in den Griff zu bekommen?
Schatten-IT-Strukturen sind eine ernst zu nehmende Herausforderung für die IT-Sicherheit.
(Bild: ra2 studio - stock.adobe.com)
Das Phänomen der Schatten-IT ist ein leidiges Thema in vielen Unternehmen. So existieren dort oft parallele, inoffizielle Zweitsysteme, die vor allem in Fachabteilungen neben der eigentlichen IT-Infrastruktur ein Eigenleben führen. Was sind nun die Gründe und wichtigsten Treiber für diese Entwicklung? Oft ist die Nutzung entsprechender Systeme der Bequemlichkeit der Mitarbeitenden geschuldet: Es geht schneller und ist einfacher, auf vertraute Anwendungen zurückzugreifen – anstatt die offiziell im Unternehmen genehmigten Applikationen zu verwenden. Dies ermöglicht in vielen Fällen ein effizienteres Arbeiten. Beispielsweise nutzen manche Angestellte ihre privaten Smartphones auch für Firmenzwecke (BYOD) oder teilen Daten über Cloud-Ressourcen wie Dropbox. Ein weiteres Beispiel: Obwohl das Unternehmen über ein CRM-System verfügt, sind manche Mitarbeitende damit derart überfordert, dass sie ihre Kontakte und Aktionen weiterhin in den gewohnten Excel-Listen verwalten. So entsteht ein unkontrollierter IT-Wildwuchs aus privaten Geräten, Software-Tools und Insellösungen, die nicht von der zentralen IT verwaltet, kontrolliert und abgesichert werden.
Schatten-IT birgt enorme Sicherheitsrisiken
Die größte Herausforderung solcher Strukturen liegt auf Seiten der IT-Sicherheit: So entspricht die verwendete Hard- und Software in den wenigsten Fällen den unternehmensinternen Sicherheitsrichtlinien, die für die offiziell eingesetzten Technologien gelten. Die Systeme weisen häufig massive Schwachstellen auf, von denen die arglosen Anwender nichts wissen. Dies kann als willkommenes Einfallstor für böswillige Hacker und Cyber-Kriminelle dienen. Dadurch wird nicht nur die Sicherheit der Prozesse, sondern auch die Business-Kontinuität und im Extremfall sogar die Existenz des Unternehmens gefährdet. Dies gilt insbesondere dann, wenn Malware oder Ransomware bestimmte Geschäftsabläufe oder ganze Abteilungen komplett lahmlegen.
Dabei sind nicht nur die firmeninternen Prozesse und Systeme, sondern vor allem die Daten einem kritischen Sicherheitsrisiko ausgesetzt. Dies ist vor allem bei der sorglosen Nutzung von Filesharing-Diensten wie Dropbox oder anderen Freeware-Lösungen für den Austausch großer Datenmengen der Fall: Dadurch können unter Umständen vertrauliche oder datenschutzrechtlich sensible Informationen in die Hände des Dienstanbieters gelangen. Dieses Risiko besteht insbesondere dann, wenn die Daten nicht zusätzlich verschlüsselt werden. Dies gefährdet nicht nur die Datenintegrität des Unternehmens, sondern kann auch rechtliche Konsequenzen haben. Denn nach den geltenden Compliance-Richtlinien wie etwa der europäischen Datenschutz-Grundverordnung (DSGVO) sind Unternehmen zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten verpflichtet. Gehen Daten durch ein Sicherheitsleck verloren, müssen die Verantwortlichen im Unternehmen – unter Umständen sogar persönlich – dafür haften. Je nach Organisationsstruktur trifft es hier die Geschäftsführung, den Finanzvorstand, den CIO oder auch den Compliance-Beauftragten.
Aufklärung als zentrales Element der Vorbeugung
Um nun der Ausbreitung von Schatten-IT-Strukturen entgegenzuwirken und entsprechende negative Auswirkungen für das Unternehmen einzudämmen, kommen verschiedenste Maßnahmen in Betracht: Als probates Mittel dient hier zunächst ein hinreichendes Maß an Aufklärung. So sollten die Mitarbeitenden der Fachbereiche in enger Zusammenarbeit mit der IT-Abteilung und einem Vertreter der Geschäftsführung gezielt für das Thema Datensicherheit und die entsprechenden Compliance-Anforderungen sensibilisiert werden. Dabei müssen die IT-Verantwortlichen in der Lage sein, den Anwendern eine nutzerfreundliche und gleichzeitig hochsichere Umgebung zur Verfügung zu stellen. So kommen Letztere erst gar nicht in Versuchung, auf zweifelhafte – aber sehr effiziente und einfach zu handhabende – Schatten-IT-Systeme auszuweichen. Sinnvoll ist es auch, das Personal zur konstruktiven Mitarbeit in puncto IT-Optimierung ins Boot zu holen. Beispielsweise können Angestellte dazu aufgefordert werden, eigene Verbesserungsvorschläge für IT-Anwendungen und die Hardware-Ausstattung einzubringen. Sofern diese den Compliance-Richtlinien und Performance-Anforderungen entsprechen, können sie durchaus Teil der unternehmensweiten IT-Architektur werden.
Neben einer offenen Kommunikation und einem konstruktiven Dialog zwischen der IT-Abteilung und den Anwendern in den Fachbereichen sind zudem Maßnahmen auf technischer Ebene zu empfehlen. So sollten professionelle Tools eingesetzt werden, um Schatten-IT-Aktivitäten effektiv aufzuspüren. Dazu zählt beispielsweise auch die Implementierung eines Früherkennungssystems, das die Prozesse lückenlos überwacht. Geradezu prädestiniert hierfür ist eine Lösung auf Basis von DNS-Security. DNS (Domain Name System) -Systeme verbinden Clients mit Web-Adressen. Gibt ein User beispielsweise eine URL ein, startet der Server zur Erkennung des Hostnamens eine DNS-Anfrage. Der DNS-Server informiert im Anschluss den DNS-Client über die IP-Adressen, welche die angeforderte URL hosten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
DNS als Einfallstor für Cyber-Angriffe
Das DNS fungiert in IT-Systemen als wunder Punkt und öffnet Tor und Tür für Cyber-Angriffe. Kriminelle Hacker haben dies längst erkannt und nutzen die Schwachstelle, um in fremde Netzwerke einzudringen, Informationen zu stehlen, Daten zu verschlüsseln oder im Extremfall diese zu eliminieren. Daher muss das DNS in besonderer Weise geschützt werden. Und nicht nur das. Zusätzlich lässt sich das System aktiv zur Verteidigung einsetzen. Denn es ist in der Lage, die Absicht des gesamten IP-Verkehrs lückenlos zu erkennen. Daher leistet das System wertvolle Dienste als erste Verteidigungslinie (First Line of Defense) gegen Cyber-Attacken. Aufgrund des transparenten Überblicks über die gesamte Netzwerkaktivität und der zentralen Rolle als verbindendes Element zwischen Nutzer, Webinhalten und Browser eignet sich das DNS optimal als wirksames Verteidigungsbollwerk. Darüber hinaus bietet das System Funktionen zur Erkennung von Anomalien sowie vorausschauende Sicherheits-Features zur Blockierung verdächtiger Verbindungen.
Das DNS-basierte Monitoring von Traffic- und Netzwerkdaten trägt dazu bei, das Verhalten der Nutzer besser nachzuvollziehen. Dadurch lassen sich Schatten-IT-Strukturen präzise erkennen und Gegenmaßnahmen einleiten. So haben bereits viele Unternehmen die Wirksamkeit von DNS-Security erkannt und nutzen das System, um gegen entsprechende Aktivitäten vorzugehen. Daher fungiert die Technologie mittlerweile als bevorzugte Lösung zur Entdeckung und Eindämmung von Schatten-IT. Dies bestätigt auch der DNS Threat Report 2022 von EfficientIP: Demnach erachten 51 Prozent der befragten Unternehmen DNS als genauso wichtig für die Erkennung wie Firewalls, die Deep Packet Inspection (DPI) nutzen.
Fazit
Schatten-IT-Strukturen sind eine ernst zu nehmende Herausforderung für die IT-Sicherheit. Um wirksam dagegen vorzugehen, ist Unternehmen eine zweigleisige Strategie zu empfehlen: Zum einen ist umfassende Aufklärungsarbeit gefragt. Damit werden Mitarbeitende überzeugt, sich an die sicherheitskonforme Nutzung der IT-Systeme zu halten. Die zweite Säule der Strategie bilden technische Lösungen wie etwa DNS-Security. Diese sind geeignet, um Schatten-IT-Aktivitäten verlässlich aufzuspüren und bilden die Basis für effektive Gegenmaßnahmen.
Über den Autor: Rocco Koll trägt die Verantwortung für das Management und das strategische Wachstum bei Efficient IP, dem Spezialisten für Netzwerkautomatisierung und IT-Sicherheit.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/09/01098c52b88c8298ee8bf2f780af6eb5/0128800268v2.jpeg "Mit neuen leistungsfähigen Alltags-Computern erweitert Asus auf der CES 2026 das KI-Portfolio. (Bild: Asus)")
:quality(80)/p7i.vogel.de/wcms/65/e9/65e9691bb1f542b515a931e0f22d3273/0128745989v2.jpeg "KI für den Datenaustausch zwischen Endgeräten: Lenovo Qira ist eine geräteübergreifende und personalisierte Umgebungsintelligenz. (Bild: © Lenovo)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/03/4e/034e2a4aab1c634431efddc929966abb/0126708928v1.jpeg "Cloud-Transformation und dazu noch die Anforderungen an Digitale Souveränität stellen IT-Organisationen vor neue strategische Weichenstellungen. (Bild: © photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/9e/029e79e40c236d0ea03d94117e95e600/0123578819v1.jpeg "Unternehmen, die keine Kontrolle über Schatten-KI-Anwendungen haben, riskieren schwerwiegende Datenschutzverletzungen und Sicherheitsrisiken. (Bild: Midjourney / KI-generiert)")