Was ist Shadow IT und warum stellt sie ein Risiko dar?
Shadow IT, Software, die Mitarbeitende ohne Zustimmung der IT-Abteilung nutzen, ist grösser und gefährlicher, als die meisten Organisationen annehmen. Was es ist, wie es entsteht und wie man damit umgeht.
- 1. Oktober 2024
- 5 Min.
Shadow IT ist eine der grössten blinden Flecken im Enterprise-Software-Management. Der Begriff umfasst alle Technologien, Software, Apps, Cloud-Speicher und Kommunikationstools, die Mitarbeitende ohne ausdrückliche Zustimmung von IT oder Einkauf nutzen. Und es wächst schneller als den meisten Organisationen bewusst ist.
Wie entsteht Shadow IT?
Shadow IT entsteht fast immer aus einem echten Bedürfnis. Ein Mitarbeiter braucht ein Tool, um seine Arbeit zu erledigen, das Genehmigungsverfahren dauert zu lange oder die von der IT angebotene Alternative ist unpraktisch. Der kürzeste Weg ist, ein kostenloses Konto zu erstellen oder ein kleines Abo auf die Firmenkreditkarte zu setzen.
Was als eine einzelne Person mit einem Tool beginnt, wächst schnell. Kolleginnen und Kollegen schliessen sich an, Dateien werden über nicht genehmigte Plattformen geteilt und unternehmenssensible Daten landen auf Servern ausserhalb der EU, ohne dass jemand es bemerkt.
Warum ist Shadow IT ein Problem?
Shadow IT hat drei konkrete Folgen:
1. Sicherheitsrisiken. Nicht genehmigte Tools werden nicht auf Sicherheit überprüft, nicht aktualisiert und nicht überwacht. Sie sind ein offenes Einfallstor für Datenlecks und Cyberangriffe.
2. Compliance-Risiken. Daten, die über nicht genehmigte Tools verarbeitet werden, fallen ausserhalb der DSGVO-Kontrolle der Organisation. Bei einem Datenleck haftet die Organisation trotzdem.
3. Verschwendung. Organisationen bezahlen für zentralisierte Tools, während Mitarbeitende parallel kostenlose oder günstige Alternativen nutzen. Eine Konsolidierung ist ohne Überblick unmöglich.
Shadow IT und NIS2
Mit der Einführung von NIS2 wird Shadow IT zu einem noch grösseren Risiko. Die Sorgfaltspflicht verpflichtet Organisationen, einen aktuellen Überblick über alle Software und Anbieter zu haben, inklusive Tools, die ausserhalb des formellen Einkaufsprozesses angeschafft wurden. Shadow IT macht diesen Überblick per Definition unvollständig.
Wie geht man Shadow IT an?
Der Ansatz beginnt nicht mit Verboten, sondern mit Verstehen. Warum nutzen Mitarbeitende bestimmte Tools? Was fehlt im genehmigten Angebot? Erst wenn diese Fragen beantwortet sind, kann man effektiv konsolidieren und das formelle Softwareangebot verbessern.
Praktische Schritte: Kreditkartenabrechnungen und Rechnungen auf unbekannte Software-Abonnemente analysieren, Mitarbeitendenbefragungen zu genutzten Tools durchführen und die Erkenntnisse an IT und Einkauf zurückmelden für einen konsolidierten Ansatz.
Häufig gestellte Fragen
Die am häufigsten gestellten Fragen zu diesem Thema.
Was genau ist Shadow IT?
Shadow IT umfasst alle Software und Technologien, die Mitarbeitende ohne Zustimmung oder Wissen von IT oder Einkauf nutzen. Denken Sie an kostenlose Tools, persönliche Cloud-Speicher oder nicht genehmigte Kommunikationsplattformen.
Wie gross ist das Shadow-IT-Problem in einer durchschnittlichen Organisation?
Studien zeigen, dass durchschnittlich 40–60% der SaaS-Tools in einer Organisation nicht zentral verwaltet werden. Das tatsächliche Ausmass von Shadow IT wird systematisch unterschätzt.
Wie erkenne ich, welche Shadow IT in meiner Organisation vorhanden ist?
Beginnen Sie mit einem Software-Audit über Kreditkartenabrechnungen, Rechnungsanalysen und Mitarbeitendenbefragungen. Zusätzlich können Tools wie Zylo, Torii oder Blissfully helfen, SaaS-Nutzung automatisch zu erfassen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Konditionen bei über 4'000 Anbietern. Unabhängig, transparent, innert 24 Stunden.