Schatten-IT

Shadow IT

Smartphone, Fitnessuhr und intelligente Kaffeemaschine sind schnell im firmeneigenen WLAN angemeldet. Cloud-Dienste lassen sich gut nutzen, um größere Datenmengen unkompliziert zu übertragen. Dieses Verhalten kann jedoch enorme Risiken für die Datensicherheit von Unternehmen bergen.

Was ist Schatten-IT eigentlich genau?

Der Begriff Schatten-IT bezieht sich auf die Nutzung von IT-Systemen, Software und Diensten innerhalb eines Unternehmens ohne ausdrückliche Genehmigung oder Kontrolle durch die IT-Abteilung.

In der heutigen hyper-vernetzten, digitalen Welt versuchen Unternehmen, mit der sich ständig weiterentwickelnden Technologie-Landschaft Schritt zu halten. Dieses Streben nach Innovation ist für die Erhaltung der Wettbewerbsfähigkeit für viele Unternehmen sicher unerlässlich, kann aber negative Auswirkungen haben, sollten Unternehmen in ihrem Drang nach schneller Entwicklung, Prozessoptimierung oder auch Gewinnsteigerung wesentliche Sicherheitsmerkmale – allen voran die IT-Sicherheit – vernachlässigen.

Das Vorhandensein von Schatten-IT ist für Unternehmen problematisch, wenn sie über einen längeren Zeitraum und ohne das Wissen der Verantwortlichen entstehen und sich im Unternehmen verfestigt. Dennoch können Organisationen auch positive Aspekte aus der Existenz einer Schatten-IT ableiten. Welche das sind, zeigen wir im folgenden Blogartikel. Wir tauchen tiefer in die Thematik der Schatten-IT ein und beleuchten ihre Ursachen, ihre Auswirkungen und die Maßnahmen, die im Umgang mit Schatten-IT ergriffen werden sollten.

Die Entstehungsgeschichte der Schatten-IT

Wie bereits kurz erwähnt, entsteht eine Schatten-IT in der Regel, wenn Mitarbeitende in einem Unternehmen Lösungen, Dienstleistungen oder Tools verwenden, die von den zuständigen Personen oder von der verantwortlichen IT-Abteilung nicht bereitgestellt oder genehmigt wurden.

Die kann aus unterschiedlichen Gründen geschehen:

Bedürfnisse werden nicht getroffen: Möglicherweise haben Mitarbeitende spezielle Bedürfnisse, die von den offiziellen IT-Lösungen nicht erfüllt werden. Beispielsweise kann eine bestimmte Funktion von dem bereitgestellten Tool nicht ausgeführt werden oder die Handhabung stellt den Nutzenden vor Herausforderungen. Oftmals suchen Mitarbeiter und Mitarbeiterinnen dann auf eigene Faust nach Alternativen, um ihre Produktivität zu steigern oder ihre Arbeit zu optimieren.
Flexibilität und Schnelligkeit: Die offiziellen IT-Prozesse können manchmal langsam sein und Genehmigungen und Wartezeiten mit sich bringen. Wenn Mitarbeitende schnell handeln müssen, greifen sie oftmals auf Anwendungen zurück, die sie bereits kennen und mit denen sie vertraut sind, anstatt auf die offiziellen Lösungen zu warten.
Einfacher Zugang: Mit dem Aufkommen von Cloud-Diensten und leicht verfügbarer Software können sich Angestellte einfacher anmelden und die für ihre Bedürfnisse geeigneten Anwendungen nutzen, ohne dass die IT-Verantwortlichen eingeschaltet werden müssen.
Mangelndes Problembewusstsein: Teilweise sind sich die Mitarbeitenden nicht bewusst, dass das, was sie tun, unter die Kategorie der Schatten-IT fällt. Sie sehen es vielleicht eher als eine Umgehung als eine Abweichung von den offiziellen Prozessen.
Wahrgenommene Bürokratie: Wenn die IT-Abteilung als zu streng wahrgenommen wird oder die Prozesse als zu bürokratisch angesehen werden, vermeiden die Angestellten möglicherweise den Weg über die zuständigen Instanzen oder Personen.
Mangelndes Personal: Sollte die IT-Abteilung unterbesetzt sein oder die zuständigen Personen fallen krankheitsbedingt aus oder sind im Urlaub, kann es vorkommen, dass Mitarbeiterinnen und Mitarbeiter aus der Not heraus eigene Entscheidungen treffen und selbst nach Alternativen suchen und so zur Entstehung der Schatten-IT beitragen.

Es wird deutlich, dass die Gründe, warum eine Schatten-IT entstehen kann, vielfältig sind. Sehr schnell – und oft ohne sich dessen bewusst zu sein – kann jeder Mitarbeitende zur Entstehung einer Schatten-IT oder zur Ausbreitung einer bereits bestehenden Schatten-IT-Strukturen beitragen. Die folgenden alltägliche Arbeitssituationen zeigen, wie Mitarbeiter und Mitarbeiterinnen abseits der internen, sicheren IT-Infrastruktur agieren und welche möglichen Bedrohungen daraus resultieren.

Unerlaubte Cloud-Speicher-Nutzung:

Um einen zu großen Dateianhang zu versenden, nutzen Mitarbeitende persönliche Cloud-Speicherkonten, um Firmeninformationen auf ein anderes Gerät zu übertragen.

Mögliche Bedrohungen: Datenlecks, Verlust der Kontrolle über sensible Informationen, Verstöße gegen die Vorschriften, fehlende Verschlüsselung, potenzielle Gefährdung durch Cyberangriffe.

Messaging-Apps für die Arbeitskommunikation:

Verschiedene Teams nutzen unautorisierte Messaging-Apps, z.B. Whatsapp, für die schnelle Kommunikation untereinander.

Mögliche Bedrohungen: Fehlende Ende-zu-Ende-Verschlüsselung, potenziell unsichere Weitergabe vertraulicher Daten, fehlende Kontrolle über die Speicherung von Nachrichten, Risiko der Verbreitung von Malware durch Dateifreigabe.

Persönliche Projektmanagement-Tools:

Um Projekte besser planen, kontrollieren, monitoren und abwickeln zu können, setzen die Abteilungen ihre eigenen Management-Tools ein.

Mögliche Bedrohungen: Datenfragmentierung, Integrationsschwierigkeiten, Sicherheitsschwachstellen, Unfähigkeit, eine konsistente Projektaufsicht aufrechtzuerhalten, gefährdeter Datenschutz.

Nicht genehmigte SaaS-Abonnements:

Mitarbeitende abonnieren unautorisierte SaaS-Anwendungen, z.B. Microsoft 365, für bestimmte Aufgaben.

Mögliche Bedrohungen: Datenschutzverletzungen, fehlende Datenverschlüsselung, begrenzter Einblick in die Datenverarbeitungspraktiken Dritter, Risiko der Nichteinhaltung von Datenschutzvorschriften, Unzureichende Sicherheitseinstellungen, Fehlendes Sicherheitsupdate-Management

Was ist so gefährlich an Schatten-Geräten?

Allein diese vier Beispiele zeigen einige der möglichen Bedrohungen, die durch das Vorhandensein einer Schatten-IT entstehen könnten. Das Problem an der Nutzung von Schatten-Geräten lässt sich relativ leicht zusammenfassen: Was man nicht kennt, kann man nicht sichern.

Dadurch stellt jedes Gerät, jedes Programm ein mögliches Sicherheitsrisiko für Unternehmensdaten dar. Wenn die Verantwortlichen nicht von ihrer Existenz wissen, können sie nicht die notwendigen sicherheits- oder datenschutzrelevanten Vorkehrungen treffen. Auch können Mitarbeitende beispielsweise so nicht für die spezifischen Gefahren der einzelnen Technik sensibilisiert werden, Datenschutzeinstellungen werden nicht gesetzt und Sicherheitsprogramme wie Firewall nicht oder nur unzureichend eingerichtet.

Im Allgemeinen gilt, dass sich die Angriffsfläche für Cyberkriminelle erhöht, wenn zusätzliche Programme und Geräte eingesetzt werden und die IT-Infrastruktur dadurch komplexer wird. Dieser Faktor wird deutlich erhöht, wenn diese Anwendungen ungesichert genutzt werden.

Eine Schatten-IT kann zwar auch positive Auswirkungen auf ein Unternehmen haben (Förderung von Innovation, schnellere Entscheidungsfindung von Mitarbeitenden oder auch die Erforschung von neuen Technologien), dennoch überwiegen die Risiken.

Neben den oben-genannten Datensicherheitsrisiken, dem Verlust von Daten und Kontrolle oder die Verstöße gegen Compliance-Richtlinien, können auch zusätzliche Kosten für das Unternehmen entstehen, sollten beispielsweise verschiedene Abteilungen ähnliche Anwendungen getrennt voneinander nutzen und so doppelt für Lizenzen oder Abos bezahlen. Auch können sich Produktivitätsverluste oder auch Probleme bei der Skalierung einstellen, sollte die Schatten-IT nicht für Wachstumsprozesse ausgelegt sein.

Umgang und Bekämpfung der Schatten-IT

Wird festgestellt, dass sich eine Schatten-IT im Unternehmen etabliert hat oder im Begriff ist, sich zu entwickeln, sollten Maßnahmen ergriffen werden. Das Ziel sollte sein, ein sicheres, effizientes und produktives Arbeitsumfeld für die Beschäftigten zu schaffen. Eine Analyse, warum sich die Schatten-IT ausgebreitet hat, ist empfehlenswert. Vielleicht ist einer der oben genannten Gründe der Auslöser. Anschließend sollten die Beweggründe verstanden und gemeinsam mit dem Team an der Lösung des Problems gearbeitet werden. Dies kann erreicht werden, indem folgende Tipps befolgt werden.

Erkennen und Verstehen: Es sollte verstanden werden, warum die Schatten-IT existiert oder warum sie entstanden ist. Es ist wichtig, die Beweggründe zu verstehen und auf die Bedürfnisse der Mitarbeitenden einzugehen.
Offene Kommunikation: Ermutigen Sie die Belegschaft, ihre Bedürfnisse offen und transparent mit der IT-Abteilung oder den verantwortlichen Personen zu teilen und zu besprechen.
Aufklärung: Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter über die Risiken einer Schatten-IT.
Kooperative Lösungen: Arbeiten Sie mit den Mitarbeitenden zusammen an Lösungen. Finden Sie gemeinsam mit dem Team Dienstleistungen, Werkzeuge und Anwendungen, die den Bedürfnissen gerecht werden.
Prozessoptimierung: Implementieren Sie straffe Prozesse für die Einführung neuer Anwendungen, die Genehmigung von neuen Technologien und die Bereitstellung dieser Tools.
Regelmäßige Audits und Feedback-Schleifen: Führen Sie regelmäßige Untersuchungen durch, um nicht autorisierte Anwendungen zu identifizieren und befragen Sie Ihre Mitarbeitenden, ob sie mit bestehenden Prozessen und Anwendungen zufrieden sind.
Aktualisierungen: Halten Sie die verwendete IT auf dem aktuellen Stand, um sie an die sich ändernden Bedürfnisse anzupassen.
Feiern Sie Erfolge: Zeigen Sie Ihrem Team auf, warum eine Anwendung oder eine Lösung genutzt werden sollte oder welche positiven Entwicklungen sich durch die Nutzung eingestellt haben.

Smartphones, fitness trackers, and smart coffee machines are quickly connected to the company’s Wi-Fi. Cloud services are often used to transfer large amounts of data with ease. However, this behavior can pose significant risks to a company’s data security.

What exactly is Shadow IT?

The term Shadow IT refers to the use of IT systems, software, and services within a company without the explicit approval or control of the IT department.

In today’s hyper-connected digital world, companies are trying to keep pace with an ever-evolving technology landscape. While this drive for innovation is often essential for maintaining competitiveness, it can have negative consequences if companies neglect critical security aspects — especially IT security — in their efforts to accelerate development, optimize processes, or increase profits.

Shadow IT becomes problematic when it develops and spreads within the organization without the knowledge of those responsible and becomes entrenched over time. However, there can also be positive aspects, which this article will explore. We take a closer look at the causes and impacts of Shadow IT, and which actions companies can take to manage it effectively.

How does Shadow IT emerge?

As mentioned, Shadow IT usually arises when employees use tools or services that have not been provided or approved by IT.

This can happen for various reasons:

Unmet needs: Employees may have specific requirements that official IT solutions do not fulfill. A particular feature may be missing, or the tool may be difficult to use. Employees often look for alternatives on their own to boost productivity.
Need for speed and flexibility: Official IT processes can be slow and involve long approval cycles. When employees need to act quickly, they may turn to familiar tools instead of waiting.
Easy access to tools: With the rise of cloud services and easily accessible software, it’s easier than ever to sign up for applications independently of the IT department.
Lack of awareness: Some employees simply don’t realize they’re engaging in Shadow IT. They see it as working around a problem, not breaking policy.
Perceived bureaucracy: If the IT department is seen as rigid or overly bureaucratic, employees may avoid seeking approval altogether.
Understaffed IT team: If the IT team is short-staffed, on leave, or unavailable, employees may take matters into their own hands out of necessity.

The reasons are many – and often unconscious. Every employee can contribute to the growth of Shadow IT. The following real-world examples show how employees might act outside the secure IT environment and the risks this behavior brings.

Common examples of Shadow IT and their risks

Unauthorized use of cloud storage:
To send large files, employees use personal cloud storage accounts to transfer company data to other devices.
Risks: Data leaks, loss of control over sensitive data, regulatory violations, lack of encryption, vulnerability to cyberattacks.

Messaging apps for business communication:
Teams use unauthorized messaging apps like WhatsApp for fast internal communication.
Risks: Lack of end-to-end encryption, unsafe data sharing, no control over message storage, risk of malware via file sharing.

Personal project management tools:
Departments use their own tools to plan, monitor, and execute projects.
Risks: Data fragmentation, integration issues, security gaps, lack of oversight, privacy risks.

Unauthorized SaaS subscriptions:
Employees sign up for SaaS services like Microsoft 365 without IT approval.
Risks: Data privacy violations, missing encryption, poor transparency on third-party data processing, non-compliance with regulations, weak security settings, lack of update management.

What makes shadow devices so dangerous?

These examples show how Shadow IT can pose serious threats. The key problem is simple: you can’t secure what you don’t know exists.

Every unauthorized device or application can introduce security risks. If IT isn’t aware of them, it can’t apply necessary data protection or security measures. Employees won’t receive training for those tools, privacy settings may not be configured, and essential tools like firewalls may be missing or ineffective.

In general, the more systems and devices are added to the IT infrastructure, the greater the attack surface for cybercriminals — especially if these tools are not properly secured.

While Shadow IT can bring some benefits, such as encouraging innovation, faster decision-making, or exploring new technologies, the risks often outweigh the rewards.

In addition to security and compliance risks, Shadow IT can lead to higher costs, for example when multiple departments pay for similar tools independently. It can also cause productivity losses or scaling problems, especially if unofficial tools are not designed to grow with the business.

Managing and reducing Shadow IT

If Shadow IT is detected or beginning to emerge, appropriate measures should be taken. The goal is to create a secure, efficient, and productive digital environment for employees. Start by analyzing why Shadow IT has spread. Identify the root causes and work with your teams to address the issues constructively.

Here are some recommended steps:

Recognize and understand the issue: Learn why Shadow IT exists and what needs are driving it.
Encourage open communication: Create an open environment where staff can share their needs with IT.
Raise awareness: Educate employees about the risks and consequences of Shadow IT.
Develop collaborative solutions: Work together with teams to find suitable, approved tools that meet their needs.
Streamline processes: Make it easier to request and approve new tools and technologies.
Perform regular audits and feedback rounds: Identify unauthorized apps and check whether existing tools meet user expectations.
Keep systems updated: Maintain current, adaptable IT infrastructure to meet evolving needs.
Celebrate success stories: Highlight examples of how approved solutions improved workflows or security.