Was ist Shadow IT und warum ist sie ein Risiko?
Shadow IT, Software, die Mitarbeitende ohne Genehmigung der IT nutzen, ist größer und gefährlicher, als die meisten Organisationen glauben. Was sie ist, wie sie entsteht und wie man sie angeht.
- 1. Oktober 2024
- 5 Min.
Shadow IT ist eine der größten blinden Flecken im Management von Unternehmenssoftware. Der Begriff bezieht sich auf alle Technologien, Software, Apps, Cloud-Speicher und Kommunikationstools, die Mitarbeitende ohne ausdrückliche Genehmigung der IT oder des Einkaufs verwenden. Und sie wächst stärker, als die meisten Organisationen sich bewusst sind.
Wie entsteht Shadow IT?
Shadow IT entsteht fast immer aus einem echten Problem. Ein Mitarbeiter braucht ein Tool, um seine Arbeit zu erledigen, die Genehmigungsverfahren dauern zu lange oder die von der IT angebotene Alternative ist unpraktisch. Der schnellste Weg ist, ein kostenloses Konto zu erstellen oder ein kleines Abonnement über die Firmenkreditkarte abzuschließen.
Was als eine Person mit einem Tool beginnt, wächst schnell. Kollegen steigen ein, Dateien werden über nicht genehmigte Plattformen geteilt und sensible Geschäftsdaten landen auf Servern außerhalb der EU, ohne dass es jemand bemerkt.
Warum ist Shadow IT ein Problem?
Shadow IT hat drei konkrete Folgen:
1. Sicherheitsrisiken. Nicht genehmigte Tools werden nicht auf Sicherheit geprüft, nicht aktualisiert und nicht überwacht. Sie sind ein offenes Tor für Datenlecks und Cyberangriffe.
2. Compliance-Risiken. Daten, die über nicht genehmigte Tools verarbeitet werden, entziehen sich der DSGVO-Kontrolle der Organisation. Bei einem Datenleck haftet die Organisation trotzdem.
3. Verschwendung. Organisationen zahlen für zentralisierte Tools, während Mitarbeitende parallel kostenlose oder günstige Alternativen nutzen. Eine Konsolidierung ist ohne Überblick unmöglich.
Shadow IT und NIS2
Mit der Einführung von NIS2 wird Shadow IT zu einem noch größeren Risiko. Die Sorgfaltspflicht verpflichtet Organisationen, einen aktuellen Überblick über alle Software und Anbieter zu haben, auch über Tools, die außerhalb des formalen Beschaffungsprozesses erworben wurden. Shadow IT macht diesen Überblick per Definition unvollständig.
Wie geht man Shadow IT an?
Der Ansatz beginnt nicht mit Verboten, sondern mit Verstehen. Warum nutzen Mitarbeitende bestimmte Tools? Was fehlt im genehmigten Angebot? Erst wenn diese Fragen beantwortet sind, kann effektiv konsolidiert und das formale Softwareangebot verbessert werden.
Praktische Schritte: Analysieren Sie Kreditkartenabrechnungen und Rechnungen auf unbekannte Software-Abonnements, führen Sie eine Mitarbeitendenbefragung zu genutzten Tools durch und geben Sie die Ergebnisse an IT und Einkauf für einen konsolidierten Ansatz zurück.
Häufig gestellte Fragen
Die am häufigsten gestellten Fragen zu diesem Thema.
Was genau ist Shadow IT?
Shadow IT umfasst alle Software und Technologien, die Mitarbeitende ohne Genehmigung oder Wissen der IT oder des Einkaufs nutzen. Dazu gehören kostenlose Tools, persönliche Cloud-Speicher oder nicht genehmigte Kommunikationsplattformen.
Wie groß ist das Shadow IT-Problem in der durchschnittlichen Organisation?
Studien zeigen, dass durchschnittlich 40-60 % der SaaS-Tools in einer Organisation nicht zentral verwaltet werden. Das tatsächliche Ausmaß von Shadow IT wird systematisch unterschätzt.
Wie finde ich heraus, welche Shadow IT in meiner Organisation vorhanden ist?
Beginnen Sie mit einem Software-Audit anhand von Kreditkartenabrechnungen, Rechnungsanalysen und einer Mitarbeitendenbefragung. Ergänzend können Tools wie Zylo, Torii oder Blissfully bei der automatischen Erkennung der SaaS-Nutzung helfen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.