Einloggen
Frau mit Smartphone in der Hand, auf dem sie nicht genehmigte Software von einem Cloud-Service herunterlädt.

Schatten-IT

Als Schatten-IT (oder Shadow IT) werden Software, Hardware oder Cloud-Dienste bezeichnet, die Mitarbeitende ohne die Genehmigung der IT-Abteilung nutzen. Ohne den nötigen Schutz durch das Sicherheitsteam werden Shadow-IT-Assets für die Organisation schnell zum Sicherheitsrisiko.

11. Oktober 2023 · 10 Min

Was versteht man in der Cyber Security unter Schatten-IT?

Vermutlich gibt es kaum Mitarbeitende, die noch nie mit einer Form von Schatten-IT in Berührung kamen oder zumindest versucht waren, sie zu nutzen. Denn unter Schatten-IT (auch Shadow IT) versteht man die Nutzung nicht genehmigter Software, Hardware oder IT-Ressourcen innerhalb des Unternehmensnetzwerks.

Die Auswirkungen lassen sich mit Geheimgängen in einer Burg veranschaulichen: Egal, wie viele Wachtposten die Eingänge der Burg bewachen – wenn es im Inneren jemanden gibt, der Eindringlingen über eine verborgene Tür Zugang verschafft, sind alle Bemühungen der Wachen, die Burg vor Feinden zu schützen, umsonst. Betrachten wir die Organisation als Burg, dann bildet das IT-Team die Wache. Durch die Nutzung von Schatten-IT umgehen Mitarbeitende die Sicherheitsprotokolle, die das System schützen sollen, und bieten Angreifenden ungeschützte Eintrittstore, die den Wachen (dem IT-Team) verborgen bleiben.  

Während sich die IT-Kenntnisse der Menschen allgemein immer weiter verbessern, wird auch die Problematik von Shadow IT für Organisationen stets relevanter. Gemäß den Vorhersagen der Experten von Gartner werden bis 2027 75 Prozent der Mitarbeitenden ohne das Wissen des IT-Teams Technologietools beschaffen, ändern oder erstellen – verglichen mit 41 Prozent 2022. Während die meisten Cyber-Sicherheitsrisiken auf bösartigen Absichten der Cyberkriminellen basieren, ist Schatten-IT eine Bedrohung, die von innen kommt – ausgehend von Mitarbeitenden, die meist unwissentlich und mit guten Absichten handeln. Trotzdem ist Schatten-IT ein Problem, das für Organisationen das Risiko für Sicherheitszwischenfälle, Datendiebstahl und nicht autorisierten Zugriff erhöht.

Ein Computerbildschirm, auf dem mehrere autorisierte Apps sowie eine nicht zugelassene App als symbolische Darstellung von Schatten-IT abgebildet sind.

Ursachen: Warum entsteht Schatten-IT?

Die Redensart „Work smarter, not harder“ spielt dabei eine entscheidende Rolle. Denn meistens steht hinter dem arglosen Download und Installieren von Tools das Ziel, eine Aufgabe effizienter auszuführen. Es kann sein, dass Mitarbeitende Tools entdecken oder aus dem privaten Bereich kennen, die besser für eine bestimmte Aufgabe geeignet oder einfacher zu nutzen sind als die von der IT-Abteilung genehmigten Tools. Shadow IT ist somit ein Schlüssel zu mehr Produktivität, aber gleichzeitig schafft sie für Hacker Zugangstore in die Unternehmenssysteme.

Doch welche Gründe haben Mitarbeitende, entgegen der Unternehmensrichtlinien zu handeln und nicht zuerst um Genehmigung zu bitten? Oft liegt es daran, dass die Genehmigungs- und Einführungsprozesse neuer Apps – besonders in großen Organisationen – ziemlich langwierig und umständlich sind und Mitarbeitende nicht schnell genug Rückmeldung erhalten. Um nicht durch administrative Prozesse aufgehalten zu werden, begeben sich Mitarbeitende auf eigene Faust auf die Suche nach schnelleren, effektiveren Lösungen.

Auch die zunehmende Beliebtheit von Remote Work spielt hier mit rein. Dabei arbeiten Mitarbeitende nicht selten an persönlichen Geräten mit nicht autorisierter Software. Geschieht dies ohne das Wissen der IT-Abteilung, kann diese die Geräte und Systeme nicht effektiv schützen und die gesamte Organisation wird angreifbar. Auch BOYD-Regelungen („Bring Your Own Device“) bieten Cyberkriminellen neue Zugriffsmöglichkeiten, indem sie sich zunächst Zugang auf weniger gut geschützte private Geräte verschaffen und von dort aus in das besser gesicherte Unternehmensnetzwerk eindringen.

Arten von Schatten-IT

Schatten-IT kann die verschiedensten Formen annehmen. Dazu gehört nicht nur der Download einer App oder eines Add-ons. Bereits das Koppeln der eigenen Smartwatch mit dem Smartphone, das wiederum mit dem Unternehmensnetzwerk verbunden ist, führt zu möglichen Sicherheitslücken. Nachfolgend die häufigsten Arten von Schatten-IT und damit einhergehende Risiken.

Arten von Schatten-IT: Cloud-Services, Hardware, Schatten-Software, OAuth-Protokoll.

Cloud-Services

Cloud-Services ist die geläufigste Art von Shadow IT. Vermeintlich harmlose Apps zur Zusammenarbeit im Team oder zum Teilen von Dateien zwischen Abteilungen können ein hohes Sicherheitsrisiko für Organisationen darstellen. Zu den beliebtesten Cloud-Services gehören Dropbox, Google Drive und OneDrive zum Speichern und Teilen von Dateien, aber auch andere SaaS-Lösungen wie Zoom, Shopify, Salesforce und Zendesk.

Hardware

Zu dieser Kategorie von Shadow IT gehören neben persönlichen Laptops, Tablets und Computern auch IoT- und USB-Geräte, Smartwatches, Servergeräte, Smartphones und sogar Freisprechtelefone. Werden persönliche Geräte mit an den Arbeitsplatz gebracht, können die Kontoeinstellungen dazu führen, dass sie automatisch eine Verbindung mit dem Unternehmensnetzwerk herstellen. Da diese Geräte meist jedoch nicht mit den nötigen Sicherheitsmaßnahmen ausgestattet sind und die IT-Abteilung sie nicht auf dem Schirm hat, bieten sie ideale Eintrittstore für Cyberkriminelle in das Hauptnetzwerk.

Schatten-Software

Passwortmanager, VPN-Clients, Remote-Access-Apps wie TeamViewer oder AnyDesk, aber auch Messaging-Apps wie WhatsApp und Telegram – wenn solche Programme nicht von IT-Experten installiert und genehmigt werden, können sie zum Sicherheitsrisiko und Zugangspunkt für Angreifende werden. Dasselbe gilt für Kollaborationstools wie Slack, Trello und Asana.

Infobox mit einer Warnung zu den Risiken von Schatten-Software.

Doch auch das IT-Team selbst ist vor Schatten-IT nicht sicher. Obwohl die Wahrscheinlichkeit niedriger ist, dass IT-Experten schädliche Tools nutzen, haben sie durch ihre privilegierten Zugriffsrechte auf wichtige Ressourcen grundsätzlich ein höheres Risiko. Hinzu kommt, dass es sich bei Schatten-Software nicht immer um im Handel erhältliche Softwarelösungen handeln muss. Oft verfügen IT-Experten über Programmierkenntnisse und können selbst Software schreiben – eine wertvolle Fähigkeit, aber gleichzeitig ein Sicherheitsrisiko für die Organisation, wenn die intern entwickelte Software nicht vom Sicherheitsteam freigegeben wurde.

OAuth-Protokoll

Eine häufige Form der Schatten-IT sind OAuth-Genehmigungen (Open Authorization), die Drittanbieter-Apps von Usern einholen. An sich ist der OAuth-Standard eine nützliche Lösung, die Anwendungen den Zugang zu Nutzerdaten ermöglicht, ohne jedes Mal die Login-Daten eingeben zu müssen. Andererseits erhalten Drittanbieter-Apps jedoch jedes Mal, wenn der User in einem Pop-up-Fenster die Verbindung und den Zugriff auf andere Apps genehmigt, auch das Recht, Nutzerdaten zu sammeln und zu speichern. Oft werden solche Genehmigungen erteilt, ohne dass sich der User der möglichen Folgen bewusst ist – wie die Gefährdung sensibler Unternehmensdaten oder der Verstoß gegen Compliance-Vorgaben und Datenschutzgesetze wie die DSGVO.

Das OAuth-Protokoll und andere Arten von Schatten-IT stellen zwar ein Risiko für Organisationen dar. Gleichzeitig hat sie jedoch auch positive Seiten, die wir nicht außer Acht lassen dürfen: Schatten-IT kann der erste Schritt hin zu effektiveren Arbeitsprozessen sein, Mitarbeitende befähigen und ihre Problemlösungsfähigkeiten fördern. Von manchen Schatten-IT-Assets profitiert die Organisation als Ganzes, da sie zur Steigerung der Produktivität in verschiedenen Unternehmensbereichen beitragen können. Ohne das Miteinbeziehen der IT-Abteilung können die Risiken die Vorteile jedoch schnell überwiegen.

Risiken von Schatten-IT

Schatten-IT ist geradezu prädestiniert für Hackerangriffe. Unabhängig davon, wie stark die Sicherheitskultur und -richtlinien innerhalb der Organisation sind, nutzen Angreifende jede Möglichkeit aus, für ihre böswilligen Zwecke in Unternehmensnetze einzudringen. Und haben sie sich einmal Zugang verschafft, kann dies weitreichende Folgen haben. Dies sind einige der Gefahren von Schatten-IT:

  • Fehlende Aufsicht und Kontrolle: Solange die IT-Abteilung nicht weiß, dass Shadow IT genutzt wird, kann sie keine Sicherheitsrichtlinien einführen, Bedrohungen überwachen oder mögliche Schwachstellen ermitteln. Die Folge: Daten und Systeme liegen geradezu ungeschützt frei.
  • Probleme bei der Compliance: Durch die Nutzung nicht genehmigter Hardware und Software kann es zu unbeabsichtigten Verstößen gegen Datenschutzgesetze, die DSGVO oder andere regulatorische Anforderungen kommen. Das kann wiederum rechtliche Folgen oder Rufschädigung nach sich ziehen.
  • Datenverlust: Nicht autorisierte Software ist nicht mit den erforderlichen Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen ausgestattet, was den unrechtmäßigen Zugriff und Diebstahl sensibler Daten erleichtert. Hinzu kommt, dass über Shadow-IT-Tools gestohlene Daten nicht durch das Back-up-System der Organisation wiederhergestellt werden können.
  • Kompatibilitätsprobleme: Bei der Nutzung von Schatten-IT kann es zu Kompatibilitätsproblemen mit den IT-Systemen und der Infrastruktur der Organisation kommen. Die fehlende Integration führt wiederum zu Lücken in den Sicherheitskontrollen, was eine schnelle Reaktion bei Sicherheitsvorfällen und das Beheben von Schwachstellen erschwert.
  • Größere Angriffsfläche: Schatten-IT-Hardware und -Software bilden mögliche Eintrittstore für Cyberkriminelle und erhöhen somit das Risiko für einen erfolgreichen Cyberangriff.
  • Veraltete Informationen: Da Schatten-IT-Tools nicht zentral überwacht werden, können Sie Daten enthalten, die nicht durch die Organisation korrigiert oder aktualisiert wurden.
  • Finanzielle Verluste: Bei Schatten-IT handelt es sich oft um Alternativlösungen zu vergleichbaren Tools, die bereits genehmigt und in die Unternehmensprozesse integriert sind. Sie führt somit zu doppelt so hohen Ausgaben. Kommt es durch die Verwendung von Schatten-IT zu einem Cyberangriff, ist außerdem der Aufwand an Zeit und Ressourcen zur Wiederherstellung deutlich höher.
  • Ineffiziente Ressourcenzuweisung: Shadow-IT-Software und -Hardware behindern das Teilen von Informationen zwischen den Abteilungen, was Produktivitäts- und Effizienzeinbußen bedeutet.

Wie KI die Zunahme von Schatten-IT befeuert

Während die Beliebtheit von KI rasant ansteigt, wird auch die Schatten-IT zu einem immer größeren Problem. Auf der Suche nach zeiteffizienten, kreativen Lösungen probieren Mitarbeitende wie auch Management verschiedene KI-Tools aus. Geschieht das ohne das Wissen oder die Genehmigung der IT-Abteilung, entsteht ein Sicherheitsrisiko für das gesamte Netzwerk und die Unternehmensdaten.

Da KI auch für IT-Experten noch relatives Neuland ist, gibt es noch kaum Protokolle zu ihrer Implementierung. Hinzu kommt, dass sich KI so schnell weiterentwickelt, dass IT-Abteilungen nur schwer mithalten können und viele Organisationen unzureichend vor verdächtigen oder unzuverlässigen KI-Tools geschützt sind. Als Konsequenz verbieten viele Organisationen die Nutzung von KI vollständig – und erzielen damit genau den gegenteiligen Effekt, da sie so Mitarbeitende dazu treiben, bei der Nutzung von KI-Tools noch riskanter und kreativer vorzugehen. Durch ein vollständiges Verbot büßt die Organisation zudem die unzähligen Vorteile ein, die KI birgt.

Organisationen sollten ihren Mitarbeitenden entgegenkommen und Wege finden, ihnen die sichere Nutzung von produktivitätssteigernden KI-Tools zu ermöglichen. Einige Lösungsansätze zeigen wir im Folgenden auf.

Was können Organisationen gegen Schatten-IT tun?

Schatten-IT wird meist nicht zu böswilligen Zwecken genutzt, sondern mit der Absicht, die eigene Effizienz zu steigern. Sie erhöht zwar das Risiko der Organisation für nicht autorisierten Zugriff auf die Systeme. Gleichzeitig würde eine Maßregelung der Mitarbeitenden jedoch einen nachteiligen Effekt haben – Frustration und fehlende Motivation zur Weiterentwicklung und Optimierung können die Folge sein. Vielmehr sollten Organisationen wissbegierige und proaktiv denkende Mitarbeitende bestärken und ihnen die Möglichkeit bieten, ihre eigene Produktivität mit der Unterstützung des IT-Teams zu steigern.

Nachfolgend einige Wege für Organisationen, das Risiko von Schatten-IT zu reduzieren und den Innovationsgeist am Leben zu halten.

  • Berücksichtigen der User-Anforderungen: Wenn die Bedürfnisse der Mitarbeitenden klar sind, kann das IT-Team bessere Lösungen bereitstellen und die Wahrscheinlichkeit von Shadow IT reduzieren. Was bringt Mitarbeitende dazu, nicht genehmigte Tools zu nutzen? Was brauchen sie, was ihnen die aktuellen Tools nicht bieten können?
  • Aktualisieren von IT-Richtlinien: Entgegenkommende IT-Richtlinien kombiniert mit der Aufklärung der Mitarbeitenden sind die optimalen Voraussetzungen, Fortschritt zu unterstützen und das Risiko von Schatten-IT zu reduzieren. Organisationen brauchen klare Richtlinien und müssen sicherstellen, dass ihre Mitarbeitenden wissen, wie sie neue Technologie anfragen und in ihren Arbeitsalltag integrieren können, ohne die eigene Organisation den Gefahren von Schatten-IT auszusetzen.
Infobox, die erklärt, was eine Schatten-IT-Richtlinie ist.
  • Entwickeln einfacher Prozesse: Neben IT-Richtlinien, die die regelmäßige Einführung neuer Software und Hardware vorsehen, ist es ratsam, einen Alternativweg bereitzustellen, der die unkomplizierte Genehmigung neuer Tools ermöglicht. So können Mitarbeitende auf den nötigen IT-Support zählen, ohne durch die Nutzung nicht genehmigter Tools Risiken einzugehen.
  • Nutzung eines CASB: Ein Cloud Access Security Broker (CASB) ist ein cloudbasiertes Tool, das eine sichere Nutzung von Cloud-Services unter Berücksichtigung der Cybersicherheits-Richtlinien der Organisation gewährleistet. CASB stellen zudem Datenschutz-Richtlinien bereit, bieten Zugangskontrollen und erkennen ungewöhnliche Aktivitäten.
  • Überprüfen der Kostenabrechnungen: In Zusammenarbeit mit der Finanzabteilung haben Sicherheitsbeauftragte die Möglichkeit, Kostenabrechnungen und andere Dokumente auf Spuren von Schatten-IT zu überprüfen und so alle Aktivitäten innerhalb der Organisation im Blick zu behalten. Dabei können auch Erstattungsanfragen für IT-Ausgaben auffallen, die zu niedrig sind, um den Beschaffungsprozess zu durchlaufen.
  • Bereitstellen von Awareness-Training: Oft sind sich Mitarbeitende der Gefahren von Schatten-IT gar nicht bewusst. Durch gezieltes Training kann vermittelt werden, wie wichtig es ist, ausschließlich genehmigte Technologie-Assets zu nutzen.

So hilft SoSafe Organisationen, das Risiko von Schatten-IT zu reduzieren

In den Hochzeiten des Technologiezeitalters ist es umso wichtiger, dass Organisationen die Risiken und möglichen Folgen von Schatten-IT kennen. Organisationen müssen Wege finden, kreatives und innovatives Denken zu fördern und gleichzeitig ihre Ressourcen vor Bedrohungen zu schützen. Sie können sicheres Verhalten unterstützen, indem sie effektive Schatten-IT-Richtlinien entwickeln, die Kommunikationskanäle zwischen Mitarbeitenden und Sicherheitsteam öffnen und kontinuierliches Awareness-Training für Mitarbeitende bieten.

Die Awareness-Plattform von SoSafe enthält ein umfangreiches E-Learning-Modul, das Mitarbeitenden wichtiges Wissen und die nötigen Tools an die Hand gibt, mit denen sie Ihre Organisation vor unrechtmäßigem Zugriff schützen können. Durch interaktives E-Learning mit Gamification-Elementen erfahren Ihre Mitarbeitenden, wie sie die Nutzung nicht genehmigter Software, Hardware und Anwendungen erkennen und mögliche schädliche Folgen vermeiden können. Nach Abschluss des Moduls wissen sie genau, wo sie sichere Software und Hardware finden und wie sie sie auf sichere Weise nutzen können.

Durch effektives Awareness-Training stärken Sie die Sicherheit Ihrer Daten, schaffen einheitliche Prozesse über alle Abteilungen hinweg und vermeiden Kompatibilitätsprobleme. So stellen Sie sicher, dass Ihre stärkste Verteidigungslinie gegen Cyberbedrohungen – Ihre Mitarbeitenden – motiviert bleibt, neue Technologien zu erkunden und gleichzeitig wichtige Sicherheitsstandards zu beachten.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Product Premiere:
The Human Risk OS™

Gestalten Sie die Zukunft des Human Risk Managements

Wir laden Sie herzlich ein am 23. Mai mit uns die Zukunft des Human Risk Management zu gestalten! Nehmen Sie teil an unserem Brand Showcase & Product Launch zum Human Risk OS™ – live in Köln oder virtuell im Livestream!

Register now