Was ist Shadow IT und warum ist es ein Risiko?
Shadow IT, Software, die Mitarbeitende ohne Zustimmung der IT verwenden, ist grösser und gefährlicher, als die meisten Organisationen glauben. Was es ist, wie es entsteht und wie Sie damit umgehen.
- 1. Oktober 2024
- 5 Min.
Shadow IT ist eine der grössten blinden Flecken im Unternehmenssoftware-Management. Der Begriff umfasst alle Technologien, Software, Apps, Cloud-Speicher, Kommunikationstools, die Mitarbeitende ohne ausdrückliche Genehmigung durch IT oder Einkauf nutzen. Und das Wachstum ist grösser, als die meisten Organisationen annehmen.
Wie entsteht Shadow IT?
Shadow IT entsteht fast immer aus einem echten Problem. Ein Mitarbeitender braucht ein Tool, um seine Arbeit zu erledigen, der Genehmigungsprozess dauert zu lange oder die von IT angebotene Alternative ist unpraktisch. Der schnellste Weg ist, ein Gratis-Konto zu erstellen oder ein kleines Abo mit der Firmenkreditkarte zu bezahlen.
Was als eine Person mit einem Tool beginnt, wächst schnell. Kolleginnen und Kollegen steigen ein, Dateien werden über nicht genehmigte Plattformen geteilt und unternehmenssensible Daten landen auf Servern ausserhalb der EU, ohne dass es jemand bemerkt.
Warum ist Shadow IT ein Problem?
Shadow IT hat drei konkrete Folgen:
1. Sicherheitsrisiken. Nicht genehmigte Tools werden nicht auf Sicherheit geprüft, nicht aktualisiert und nicht überwacht. Sie sind ein offenes Tor für Datenlecks und Cyberangriffe.
2. Compliance-Risiken. Daten, die über nicht genehmigte Tools verarbeitet werden, fallen ausserhalb der DSGVO-Kontrolle der Organisation. Bei einem Datenleck haftet die Organisation trotzdem.
3. Verschwendung. Organisationen bezahlen für zentralisierte Tools, während Mitarbeitende parallel kostenlose oder günstige Alternativen nutzen. Ohne Übersicht ist Konsolidierung unmöglich.
Shadow IT und NIS2
Mit dem Inkrafttreten von NIS2 wird Shadow IT zu einem noch grösseren Risiko. Die Sorgfaltspflicht verpflichtet Organisationen, eine aktuelle Übersicht über alle Software und Anbieter zu haben, inklusive Tools, die ausserhalb des formellen Einkaufsprozesses angeschafft wurden. Shadow IT macht diese Übersicht per Definition unvollständig.
Wie geht man Shadow IT an?
Der Umgang beginnt nicht mit Verboten, sondern mit Verstehen. Warum nutzen Mitarbeitende bestimmte Tools? Was fehlt im genehmigten Angebot? Erst wenn diese Fragen beantwortet sind, kann man effektiv konsolidieren und das formelle Softwareangebot verbessern.
Praktische Schritte: Analysieren Sie Kreditkartenabrechnungen und Rechnungen auf unbekannte Software-Abos, führen Sie eine Mitarbeitendenbefragung zu verwendeten Tools durch und geben Sie die Erkenntnisse an IT und Einkauf zurück für einen konsolidierten Ansatz.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was genau ist Shadow IT?
Shadow IT umfasst alle Software und Technologien, die Mitarbeitende ohne Wissen oder Genehmigung von IT oder Einkauf nutzen. Dazu gehören Gratis-Tools, persönliche Cloud-Speicher oder nicht genehmigte Kommunikationsplattformen.
Wie gross ist das Shadow IT-Problem in der durchschnittlichen Organisation?
Untersuchungen zeigen, dass durchschnittlich 40-60% der SaaS-Tools in einer Organisation nicht zentral verwaltet werden. Das tatsächliche Ausmass von Shadow IT wird systematisch unterschätzt.
Wie erkenne ich, welche Shadow IT in meiner Organisation existiert?
Beginnen Sie mit einem Software-Audit via Kreditkartenabrechnungen, Rechnungsanalyse und einer Mitarbeitendenbefragung. Ergänzend können Tools wie Zylo, Torii oder Blissfully helfen, SaaS-Nutzung automatisch zu erkennen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Konditionen bei über 4'000 Lieferanten. Unabhängig, transparent, innert 24 Stunden.