Was ist Shadow IT und warum stellt sie ein Risiko dar?
Shadow IT – Software, die Mitarbeitende ohne Zustimmung der IT verwenden – ist größer und gefährlicher, als die meisten Firmen glauben. Was es ist, wie es entsteht und wie man es in den Griff bekommt.
- 1. Oktober 2024
- 5 Min.
Shadow IT ist einer der größten blinden Flecken im Enterprise-Softwaremanagement. Der Begriff umfasst alle Technologien, Software, Apps, Cloud-Speicher und Kommunikations-Tools, die Mitarbeitende ohne ausdrückliche Freigabe von IT oder Einkauf verwenden. Und sie wächst schneller, als die meisten Unternehmen wahrhaben wollen.
Wie entsteht Shadow IT?
Shadow IT entsteht fast immer aus einem echten Problem heraus. Ein Mitarbeiter braucht ein Tool, um seine Arbeit zu erledigen, das Genehmigungsverfahren dauert zu lange oder die von der IT angebotene Alternative ist unpraktisch. Der schnellste Weg ist oft ein kostenloses Konto anzulegen oder ein kleines Abo mit der Firmenkreditkarte zu bezahlen.
Was als ein einziger User mit einem Tool beginnt, wächst rasch. Kollegen steigen ein, Dateien werden über nicht genehmigte Plattformen geteilt, und sensible Firmendaten landen auf Servern ausserhalb der EU, ohne dass es jemand merkt.
Warum ist Shadow IT ein Problem?
Shadow IT hat drei konkrete Folgen:
1. Sicherheitsrisiken. Nicht genehmigte Tools werden nicht auf Sicherheit geprüft, nicht aktualisiert und nicht überwacht. Sie öffnen Türen für Datenlecks und Cyberangriffe.
2. Compliance-Risiken. Daten, die über nicht genehmigte Tools verarbeitet werden, liegen ausserhalb der DSGVO-Kontrolle des Unternehmens. Im Falle eines Datenlecks haftet das Unternehmen trotzdem.
3. Verschwendung. Unternehmen zahlen für zentralisierte Tools, während Mitarbeitende parallel kostenlose oder billige Alternativen nutzen. Konsolidierung ist ohne Überblick unmöglich.
Shadow IT und NIS2
Mit dem Inkrafttreten von NIS2 wird Shadow IT zu einem noch grösseren Risiko. Die Sorgfaltspflicht verpflichtet Unternehmen, eine aktuelle Übersicht aller Software und Anbieter zu haben – inklusive Tools, die ausserhalb des formellen Einkaufsprozesses beschafft wurden. Shadow IT macht diese Übersicht per Definition unvollständig.
Wie geht man Shadow IT an?
Der Ansatz beginnt nicht mit Verboten, sondern mit Verstehen. Warum verwenden Mitarbeitende bestimmte Tools? Was fehlt im genehmigten Angebot? Erst wenn diese Fragen beantwortet sind, kann man effektiv konsolidieren und das offizielle Softwareangebot verbessern.
Praktische Schritte: Analyse von Kreditkartenabrechnungen und Rechnungen auf unbekannte Software-Abos, Durchführung einer Mitarbeitenden-Befragung zu verwendeten Tools und Rückkopplung der Ergebnisse an IT und Einkauf für einen konsolidierten Ansatz.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was genau ist Shadow IT?
Shadow IT umfasst alle Software und Technologien, die Mitarbeitende ohne Zustimmung oder Wissen von IT oder Einkauf verwenden. Denkbar sind gratis Tools, persönliche Cloud-Speicher oder nicht genehmigte Kommunikationsplattformen.
Wie gross ist das Shadow IT-Problem in durchschnittlichen Unternehmen?
Studien zeigen, dass durchschnittlich 40–60 % der SaaS-Tools in einem Unternehmen nicht zentral verwaltet werden. Das tatsächliche Ausmass von Shadow IT wird systematisch unterschätzt.
Wie entdecke ich, welche Shadow IT in meinem Unternehmen vorhanden ist?
Beginnen Sie mit einer Software-Auditierung durch Analyse von Kreditkartenabrechnungen, Rechnungsprüfung und einer Mitarbeitendenbefragung. Zusätzlich können Tools wie Zylo, Torii oder Blissfully helfen, die SaaNutzung automatisch zu erkennen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Angebote bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.