Schatten-IT – Risiken minimieren, Chancen erkennen, Mitarbeitende stärken

Im Schatten lauert die Gefahr. Doch bringt man die verborgene Software eines Unternehmens ans Licht, finden sich dort auch interessante Chancen. Schauen wir uns Schatten-IT darum einmal differenziert an.

In diesem Beitrag: 

Schatten-IT ist ein Phänomen, das in vielen Unternehmen Alltag und gleichzeitig unbekannt ist. Mitarbeitende nutzen für ihre Arbeit Tools wie Dropbox, WhatsApp oder private Cloud-Speicher, ohne das intern mit den Administratoren abzustimmen. Das ist bequem, die Tools meist kostenfrei – doch die Nutzung kann im schlimmsten Fall teuer werden.

Denn das Verwenden nicht autorisierter Tools birgt Sicherheitsrisiken.

Und das ist vielen Menschen nicht bewusst.

Ein prominentes Beispiel für den Schaden durch Schatten-IT ist der Fall von Hillary Clinton. Sie nutzte während ihrer Zeit als US-Außenministerin einen privaten E-Mail-Server. Rund 60.000 Nachrichten soll sie darüber in der Zeit verschickt oder erhalten haben – viele davon mit Inhalten, die sensibel waren.

Der Fall Clinton wurde dadurch zum Symbol für die Risiken unkontrollierter IT-Nutzung.

Umgekehrt kann der Einsatz von Schatten-IT aber auch positiv enden: Das heute weit verbreitete Kommunikationstools Slack entstand als internes, nicht genehmigtes Projekt und wurde später zu einer weltweiten Erfolgsgeschichte.

Die Beispiele zeigen: Schatten-IT ist ein oft unterschätztes Risiko. Sie kann zwar helfen, Innovation zu fördern, aber auch Sicherheitslücken öffnen. Entscheidend ist, wie bewusst Unternehmen und Mitarbeitende mit ihr umgehen.

Schauen wir uns darum das Thema einmal genauer an.

Was ist Schatten-IT?

Als Schatten-IT werden informationstechnische Lösungen bezeichnet, die Mitarbeitende einer Organisation oder eines Unternehmens nutzen, ohne dass die IT-Abteilung davon weiß.

Diese nicht autorisierten Softwarelösungen sind natürlich nicht allesamt gefährlich oder ein Sicherheitsrisiko. Dennoch stellen sie ein Problem dar, denn deren Nutzung könnte ein Verstoß gegen unternehmensinterne Regeln oder sogar Gesetze sein.

Schatten-IT in Zahlen

Warum wird Schatten-IT verwendet?

Die Gründe für das Ausweichen auf nicht genehmigte Anwendungen sind meist, dass die offiziellen Lösungen zu kompliziert, langsam oder unflexibel sind, oder gleich gänzlich fehlen.

Oft stecken gutgemeinte Eigeninitiativen von Abteilungen oder Teammitgliedern dahinter, die ihre Produktivität steigern möchten. Da wird dann auf die privat gern genutzte Anwendung zurückgegriffen, ohne sich der Risiken bewusst zu sein.

Typische Beispiele für Schatten-IT im Arbeitsalltag:

• Nutzung privater E-Mail-Adressen für dienstliche Zwecke
• Installieren nicht genehmigter Software
• Verwenden von File-Sharing-Diensten ohne Sicherheitsfreigabe, um Projektdaten zu teilen
• Nutzung von Cloud-Speichern ohne IT-Beteiligung (Google Drive, Dropbox)
• Einsatz von Chat- und Messaging-Apps (WhatsApp, Telegram)
• Einsatz von SaaS-Diensten ohne Freigabe (z.B. Projektmanagement-Tools wie Trello oder Asana)

Derartige unautorisierte Ergänzungen der bestehenden IT-Struktur können zu Sicherheitslücken führen.

Die zunehmende Digitalisierung, mehr Homeoffice verbunden mit der Nutzung eigener Geräte, haben die Thematik Schatten-IT noch verstärkt. Die Mitarbeitenden handeln in den seltensten Fällen böswillig – sie wissen es nur nicht besser.

Hier gilt es, Kompetenzen aufzubauen und für die Gefahren zu sensibilisieren.

Schatten-IT: eine Medaille mit zwei Seiten

Wie groß der Anteil inoffizieller Tools in Unternehmen ist, kann nur geschätzt werden. Es wird von um die 40 Prozent aller IT-Anwendungen ausgegangen. Daran kann man ermessen, wie verbreitet dieses Phänomen ist. Nicht jede inoffizielle Anwendung birgt ausschließlich Risiken, es gibt durchaus auch Vorteile.

Chancen & Nutzen

Das Szenario ist meist ähnlich: Mitarbeitende stoßen im Arbeitsalltag an Grenzen und suchen daraufhin nach einem neuen oder besseren Tool. Dieser überwiegend unbeabsichtigte Regelverstoß fördert kurzfristig die Zusammenarbeit und Effizienz. Teams finden gemeinsam Lösungen, kommunizieren direkter oder profitieren von automatisierten Routineaufgaben. Darüber hinaus kann Schatten-IT ein wertvoller Hinweisgeber für Innovationspotenzial sein. Sie zeigt deutlich: Wo besteht ein Bedarf?

Zwei Beispiele verdeutlichen das.

Typisches Praxisbeispiel: KI-Tools im Arbeitsalltag

Aktuelle Studien zeigen: KI-Tools werden zunehmend eigenständig im Arbeitsalltag eingesetzt, ohne eine formale Freigabe durch die IT-Abteilung. Ein typisches Szenario kann so aussehen: Ein Mitarbeiter einer Versicherung nutzt ChatGPT, um ein automatisiertes Skript zur Schadensprüfung zu entwickeln. Diese Lösung entstand zwar außerhalb der offiziellen Strukturen, wird aber später ganz offiziell übernommen, weil sie den Arbeitsalltag verbessert.

Reales Positivbeispiel: Slack – vom Nebenprodukt zum Unternehmen

Das heute weltweit genutzte Kommunikationstool Slack entstand, weil das Team beim Spieleentwickler Tiny Speck mit den offiziellen Kommunikationsanwendungen unzufrieden war. Die Lösung: Es entwickelte ein eigenes Programm für die Teamkommunikation – ohne Freigabe der IT-Abteilung. Dieses interne Nebenprojekt wurde zunächst innerhalb des Unternehmens zur Erfolgsgeschichte, und später in der ganzen Welt.

Schatten-IT kann also wichtige Innovationsimpulse liefern, sofern sie verantwortungsvoll genutzt wird. Unternehmen, die die Eigeninitiative ihrer Mitarbeitenden begleiten, können sogar davon profitieren.

Risiken & Herausforderungen

Schatten-IT kann hilfreich sein, birgt aber auch eine Reihe von Risiken, die im schlimmsten Fall teuer sind. So drohen neben finanziellen auch rechtliche und organisatorische Konsequenzen.

Datensicherheit: In der unzureichenden Absicherung liegt eines der größten Risiken bei der Nutzung externer Systeme. Dadurch können sensible Daten unverschlüsselt übertragen oder auf fremden Servern gespeichert werden.

Compliance-Verstöße: Für personenbezogene Daten und deren Verarbeitung und Speicherung gelten hierzulande strenge Regeln. Werden beispielsweise Tools eingesetzt, deren Server außerhalb der EU angesiedelt sind, entsprechen deren Datenschutzstandards oft nicht den europäischen Anforderungen. In dem Fall kann die Nutzung dieser Tools gegen die Datenschutz-Grundverordnung (DSGVO) oder gegen branchenspezifische Aufsichtsrichtlinien (z.B. BaFin, BSI oder MaRisk) verstoßen. Neben Bußgeldern drohen hier auch Reputationsschäden und ein Vertrauensverlust, der sich negativ auf die Bilanz auswirken kann.

Cybersecurity: Wird die inoffizielle Software nicht regelmäßig aktualisiert und überwacht, können Sicherheitslücken entstehen. Diese kann von Cyberkriminellen ausgenutzt werden. Phishing, Ransomware und Datenabflüsse gibt es häufig dort, wo die IT keine Sicht auf verwendete Systeme hat und wo deswegen keine zentralen Sicherheitsprotokolle existieren.

Fehlende Integration und Effizienzverlust: Auch organisatorisch ist Schatten-IT eine Herausforderung, da die nicht autorisierten Tools nicht in das bestehende Software-Framework integriert sind. Das führt oft zu Dateninseln, Redundanzen und unklaren Prozessabläufen.

Die Nutzung unterschiedlicher Anwendungen kann Reporting, Projektsteuerung und IT-Support erschweren.

Unternehmen sollten Schatten-IT frühzeitig aufspüren, bevor sie Schaden anrichtet – durch gezielte Schulungen, technische Kontrollen und klare Prozesse.

Rechtliche Aspekte und branchenspezifische Vorgaben

Neben unternehmensinternen Problemen kann die Nutzung von Schatten-IT auch rechtliche Auswirkungen haben. Insbesondere bei der Verarbeitung von personenbezogenen Daten greifen datenschutz-, arbeits- und haftungsrechtliche Bestimmungen.

Datenschutzrecht (DSGVO & BDSG)

In der EU gilt die Datenschutz-Grundverordnung (DSGVO). Nach ihr müssen Unternehmen technische und organisatorische Maßnahmen treffen, um personenbezogene Daten zu schützen. Die Nutzung von manchen Apps, wie etwa privaten Cloud-Diensten oder Messaging-Apps, kann einen Verstoß gegen die DSGVO darstellen, wenn keine Auftragsverarbeitung oder Sicherheitsprüfung vorliegt.

Im Ernstfall drohen neben empfindlichen Bußgeldern auch Reputationsschäden.

Arbeits- und Haftungsrecht

Mitarbeitende, die vorsätzlich gegen interne IT-Richtlinien verstoßen und dadurch Schaden verursachen, riskieren Abmahnungen oder persönliche Haftung.

Arbeitgeber haben ihrerseits die Verpflichtung, klare IT-Richtlinien bereitzustellen und regelmäßige Schulungen anzubieten. Ansonsten kann ihnen im Schadensfall eine Verletzung der Organisations- oder Aufsichtspflicht angelastet werden.

Branchenregelungen und Aufsicht

Wie streng die Nutzung von Schatten-IT reguliert ist, hängt stark von der jeweiligen Branche ab: Dieser rechtliche Rahmen bzw. diese Besonderheit gilt in diesen Branchen:

• Finanz- und Versicherungswesen: Schatten-IT kann hier als Compliance-Verstoß gewertet werden. Grund: strenge Vorgaben der BaFin sowie der Mindestanforderungen an das Risikomanagement (MaRisk).
• Gesundheitswesen: Nutzung nicht zugelassener Software kann Patientendaten gefährden und somit gegen DSGVO und §203 StGB (Schweigepflicht) verstoßen.
• Öffentlicher Sektor/Behörden: Diese unterliegen besonderen Sicherheitsvorschriften wie dem BSI-Grundschutz und eGovernment-Gesetzen. Private oder nicht zertifizierte Tools sind meist ausdrücklich untersagt.
• Industrie & Mittelstand: In vielen Unternehmen wird die Nutzung von inoffizieller Software weniger streng gehandhabt, solange keine personenbezogenen Daten betroffen sind – dennoch können auch hier Haftungs- und Geheimnisschutzvorgaben (GeschGehG) gelten.

Praxisbeispiele: Die Risiken von Schatten-IT

Die oben aufgeführten rechtlichen und technischen Risiken sind keine Theorie – sie haben bereits mehrfach zu realen Vorfällen geführt. Diese drei prominenten Fälle zeigen, wie unterschiedlich die Folgen sein können:

Hillary Clinton

Während ihrer Zeit als US-Außenministerin nutzte Hillary Clinton einen privaten E-Mail-Server für dienstliche Kommunikation. Dieser war nicht Teil der offiziellen IT-Infrastruktur des Ministeriums.

Was als rein pragmatische Lösung begann, entwickelte sich zu einem Skandal. Die Gründe:

• Der private Server war nicht ausreichend geschützt.
• Sensible Regierungsdaten könnten deswegen potenziell in falsche Hände geraten.
• Zudem verstieß das Vorgehen gegen Archivierungs- und Sicherheitsrichtlinien.

Obwohl keine strafrechtlichen Konsequenzen folgten, war der Vertrauensschaden enorm und ein Beispiel dafür, wie Schatten-IT selbst auf höchster Ebene Glaubwürdigkeit und Sicherheit gefährden kann.

KordaMentha

Das Beratungsunternehmen KordaMentha musste 2023 öffentlich bekennen, dass sensible Kundendaten versehentlich frei zugänglich waren. Der Grund hierfür:

• Es wurde eine Cloud Speicherlösung außerhalb der zentralen IT genutzt.
• Die Plattform wurde eigenständig eingerichtet - ohne Sicherheitsprüfung oder zentrale Freigabe.
• Ein Fehler dabei verursachte die unabsichtliche Datenfreigabe.

Das Unternehmen reagierte mit Schulungsprogrammen und strengeren Richtlinien für Cloud-Dienste, um ähnliche Vorfälle künftig zu vermeiden.

Wirecard

Schatten-IT kann auch gezielt für Manipulation und Betrug genutzt werden.

Bei Wirecard betrieben Mitarbeitende im Auslandsgeschäft eigene IT-Systeme und Server. Diese waren nicht mit dem offiziellen Buchungssystem verbunden. Mithilfe dieser Schatten-IT wurden fiktive Umsätze und Guthaben ausgewiesen. Die Folgen:

• Milliardenbeträge wurden über Jahre manipuliert.
• Die Kontrollsysteme griffen nicht, weil die Schatten-Systeme außerhalb der Governance liefen.
• Der Betrug führte schließlich zum Zusammenbruch des Unternehmens.

Schatten-IT kann für kriminelle Aktivitäten genutzt werden. Nur klare Transparenz und Compliance verhindern solche Risiken.

Strategien gegen Schatten-IT

Schatten-IT lässt sich nicht vollständig vermeiden – und muss es auch nicht, wie die teilweise positiven Ergebnisse zeigen.

Sinnvoll ist hingegen, die Nutzung von neuen Tools in die richtigen Bahnen zu lenken und Wildwuchs mit den richtigen Strategien gezielt einzudämmen. Im Mittelpunkt der Strategien hierzu stehen die Mitarbeitenden. Wir unterstützen Sie dabei, Ihre Teams zu sensibilisieren und aktiv einzubinden.

Schaffen Sie Transparenz

Statt alternative IT-Lösungen pauschal zu verbieten, sollten Unternehmen verstehen, warum Mitarbeitende Schatten-IT nutzen. Gibt es neuen Bedarf oder sind die bestehenden Systeme veraltet?

Finden Sie es durch regelmäßige Feedbackrunden, IT-Sprechstunden oder digitale Ideenplattformen heraus.

Setzen Sie Schulungsangebote gezielt ein

Regelmäßige Trainings, um IT-Kompetenzen für die bereits vorhandenen Tools gezielt aufzubauen, sind eine wirksame Prävention gegen Schatten-IT. Dabei sollten die Schulungen ganz nah an der Arbeitsrealität sein und konkrete Anwendungsfälle aus dem Arbeitsalltag aufgreifen.

„Oftmals sind die vom Unternehmen freigegebenen IT-Lösungen besser als Ihr Ruf. Viele Mitarbeitende kennen die Möglichkeiten der Softwarelösungen vielleicht gar nicht und greifen deshalb auf Schatten-IT zurück. Dieses Potenzial könnte durch gezielte Schulungen erschlossen werden.“
- Christian Gronowski, Experte SAP-Lernkonzepte, ML GRUPPE

Setzen Sie auf Awareness-Trainings und Governance

Neben technischen Schulungen ist es sinnvoll, Mitarbeitende für Risiken zu sensibilisieren, etwa durch Awareness-Programme zu Themen wie Datensicherheit, Social Engineering oder Phishing.

Ergänzend sollten Unternehmen klare Regeln für die sichere IT-Nutzung etablieren.

• Welche Tools sind erlaubt?
• Wie erfolgt eine Freigabe?
• Wer trägt Verantwortung für Kontrolle und Schulung?

Diese klare Governance-Struktur schafft Sicherheit und Eigenverantwortung gleichermaßen.

Kombinieren Sie verschiedene Lernformate

Als Begleitung für IT-Sicherheit und Compliance bietet sich eine Kombination verschiedener Lernformate an:

• E-Learning-Module für vertieftes Wissen
• Microlearning-Einheiten zur schnellen Auffrischung
• Blended-Learning-Konzepte, die Präsenz und digitale Lernformen verbinden

So entwickeln Mitarbeitende digitale Routine – eine entscheidende Voraussetzung, um Schatten-IT dauerhaft zu vermeiden.

Zusammenarbeit zwischen IT, HR und Compliance

Effektive Prävention gegen Schatten-IT gelingt nur im Zusammenspiel. IT-Abteilungen, Personalentwicklung und Compliance sollten zusammenarbeiten, um alle Aspekte zu berücksichtigen, die in diese Thematik hineinspielen: organisatorische, technische und nicht zuletzt menschliche. Wenn Technik, Organisation und Menschen an einem Strang ziehen, entsteht Vertrauen – und genau dort beginnt echte IT-Sicherheit.

Fazit: Wissen als Schlüssel zur sicheren IT-Nutzung

Gezielte Schulungen befähigen Mitarbeitende, sich der Risiken der Schatten-IT bewusst zu werden und vorhandene digitale Tools sicher und souverän einzusetzen. So können sie Bedarfe klar kommunizieren und an sicheren und effizienten Prozessen mitwirken.

Wir entwickeln dafür Lernformate, die wirken – praxisnah, anwendbar und fundiert:

• IT-Trainings, die Anwendung sicher machen.
• Gezielte Lernangebote für SAP und digitale Tools, die Kompetenzen aufbauen.
• Moderne E-Learnings und Blended-Learning-Konzepte, die Wissen lebendig machen und motivieren.

Unsere Lernlösungen sind persönlich, nahbar und wirksam, um Mitarbeitende zu stärken und Unternehmen zukunftssicher aufzustellen.

Wir begleiten Sie auf Ihrer Lernreise, damit Neues gelingt und Wissen ankommt.

Schatten-IT verhindern, Innovation fördern

Möchten Sie die Schatten-IT Ihres Unternehmens offenlegen und das Team sensibilisieren, ohne Neues zu ersticken? Sprechen Sie mit uns …