Was ist Shadow IT und warum birgt sie ein Risiko?
Shadow IT, Software, die Mitarbeiter ohne Zustimmung der IT-Abteilung verwenden, ist grösser und gefährlicher als die meisten Unternehmen vermuten. Was es ist, wie es entsteht und wie man damit umgeht.
- 1. Oktober 2024
- 5 Min.
Shadow IT ist einer der grössten blinden Flecken im Enterprise-Software-Management. Der Begriff bezeichnet alle Technologie, Software, Apps, Cloud-Speicher und Kommunikationstools, die Mitarbeiter ohne explizite Genehmigung von IT oder Einkauf nutzen. Und sie wächst schneller, als die meisten Organisationen glauben.
Wie entsteht Shadow IT?
Shadow IT entsteht fast immer aus einem berechtigten Problem. Ein Mitarbeiter braucht ein Tool, um seine Arbeit zu erledigen, das Genehmigungsverfahren dauert zu lange oder die von der IT angebotene Alternative ist unpraktisch. Der kürzeste Weg ist, ein kostenloses Konto zu eröffnen oder ein kleines Abo auf der Firmenkreditkarte zu buchen.
Was als eine Person mit einem Tool beginnt, wächst schnell. Kollegen steigen mit ein, Dateien werden über nicht genehmigte Plattformen geteilt und geschäftskritische Daten landen auf Servern ausserhalb der EU, ohne dass jemand es bemerkt.
Warum ist Shadow IT ein Problem?
Shadow IT hat drei konkrete Folgen:
1. Sicherheitsrisiken. Nicht genehmigte Tools werden nicht auf Sicherheit geprüft, nicht aktualisiert und nicht überwacht. Sie öffnen die Tür für Datenlecks und Cyberangriffe.
2. Compliance-Risiken. Daten, die über nicht genehmigte Tools verarbeitet werden, liegen ausserhalb der DSGVO-Kontrolle der Organisation. Im Falle eines Datenlecks haftet die Organisation dennoch.
3. Verschwendung. Unternehmen bezahlen für zentralisierte Tools, während Mitarbeiter parallel kostenlose oder günstige Alternativen nutzen. Eine Konsolidierung ist ohne Übersicht unmöglich.
Shadow IT und NIS2
Mit der Einführung von NIS2 wird Shadow IT zum noch grösseren Risiko. Die Sorgfaltspflicht verpflichtet Unternehmen, einen aktuellen Überblick über alle Software und Anbieter zu haben, einschliesslich der Tools, die ausserhalb des formalen Einkaufsprozesses erworben wurden. Shadow IT macht diese Übersicht per Definition unvollständig.
Wie geht man Shadow IT an?
Der Ansatz beginnt nicht mit Verboten, sondern mit Verstehen. Warum nutzen Mitarbeitende bestimmte Tools? Was fehlt im genehmigten Angebot? Erst wenn diese Fragen beantwortet sind, kann man effektiv konsolidieren und das formelle Softwareangebot verbessern.
Praktische Schritte: Analysieren Sie Kreditkartenabrechnungen und Rechnungen auf unbekannte Software-Abonnements, führen Sie eine Mitarbeiterbefragung zu genutzten Tools durch und geben Sie die Erkenntnisse an IT und Einkauf zurück, um einen konsolidierten Ansatz zu gewährleisten.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was genau ist Shadow IT?
Shadow IT umfasst alle Software und Technologien, die Mitarbeitende ohne Zustimmung oder Wissen der IT oder des Einkaufs verwenden. Dazu gehören kostenlose Tools, persönliche Cloud-Speicher oder nicht genehmigte Kommunikationsplattformen.
Wie gross ist das Shadow IT-Problem in durchschnittlichen Organisationen?
Studien zeigen, dass durchschnittlich 40–60 % der SaaS-Tools in einer Organisation nicht zentral verwaltet werden. Das tatsächliche Ausmass von Shadow IT wird systematisch unterschätzt.
Wie finde ich heraus, welche Shadow IT in meiner Organisation existiert?
Beginnen Sie mit einem Software-Audit über Kreditkartenabrechnungen, Rechnungsanalysen und eine Mitarbeiterbefragung. Ergänzend können Tools wie Zylo, Torii oder Blissfully bei der automatischen Erkennung von SaaS-Nutzung helfen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.