Fördern Sie die sichere Einführung von KI in Ihrer Belegschaft: Bauen Sie KI-Kompetenz auf, die Ihre Daten, Compliance und den Ruf Ihres Unternehmens schützt.

Kontakt
Languages
Frau mit Smartphone in der Hand, auf dem sie nicht genehmigte Software von einem Cloud-Service herunterlädt.

Schatten-IT: Definition, Risiken, Beispiele und Strategien

Zuletzt aktualisiert am: 14. April 2026 · 10 min read
Zurück zum Glossar

Mitarbeitende nutzen oft ungeprüfte Apps für mehr Effizienz im Alltag. Diese Schatten-IT hebelt Ihre Sicherheit aus. So gewinnen Sie die Kontrolle zurück.

Inhalt

  1. Definition-Was-ist-Schatten-IT?
  2. Ursachen
  3. Beispiele
  4. Risiken von Schatten-IT
  5. KI x Schatten-IT
  6. Was tun gegen Schatten-IT?
  7. Wie SoSafe hilft

Überblick: Schatten-IT

  • Schatten-IT umfasst alle nicht genehmigten IT-Ressourcen und Tools im Unternehmensnetzwerk
  • Das Streben nach mehr Effizienz und starre Freigabeprozesse treiben den Einsatz unautorisierter Anwendungen an
  • Cloud-Dienste und private Hardware vergrößern die Angriffsfläche und erschweren die Einhaltung der DSGVO
  • Transparente IT-Richtlinien und Cloud Access Security Broker machen verborgene Netzwerke wieder kontrollierbar
  • Die Awareness-Plattform von SoSafe minimiert menschliche Risiken durch gezieltes E-Learning und Gamification

Sie erfassen den Umfang am besten durch automatisierte Netzwerk-Scans und Log-Analysen. Security Information and Event Management (SIEM) oder Firewalls werten Datenströme gezielt aus. Cloud Access Security Broker (CASB) überwachen zudem externe Zugriffe. Diese Tools machen verborgene Anwendungen für Sie sichtbar.

Für Datenschutzverstöße steht rechtlich betrachtet grundsätzlich die Geschäftsführung gerade. Einzelne Teammitglieder belangen Gerichte fast nie, sofern diese ohne böse Absicht handelten. Ihre Hauptaufgabe als CISO liegt daher woanders. Sorgen Sie für glasklare Vorgaben und protokollieren Sie alle IT-Freigaben sauber. Nur so existiert im Schadensfall ein belastbarer Nachweis.

Ein klares Freigabeverfahren verwandelt unregulierte Schatten-IT zügig in ein wertvolles Firmenwerkzeug. Den Anfang macht immer ein gründlicher Check der DSGVO-Konformität durch Ihre Fachleute. Passt das Sicherheits-Setup? Dann erwerben Sie im nächsten Schritt reguläre Lizenzen. Administratoren binden die neue Software abschließend fest in das bestehende IT-Management ein.

Definition: Was ist Schatten-IT?

Unter Schatten-IT (auch Shadow IT) versteht man die Nutzung nicht genehmigter Software, Hardware oder IT-Ressourcen innerhalb des Unternehmensnetzwerks.

Die Auswirkungen lassen sich mit Geheimgängen in einer Burg veranschaulichen: Egal, wie viele Wachtposten die Eingänge der Burg bewachen – wenn es im Inneren jemanden gibt, der Eindringlingen über eine verborgene Tür Zugang verschafft, sind alle Bemühungen der Wachen, die Burg vor Feinden zu schützen, umsonst. Betrachten wir die Organisation als Burg, dann bildet das IT-Team die Wache. Durch die Nutzung von Schatten-IT umgehen Mitarbeitende die Sicherheitsprotokolle, die das System schützen sollen, und bieten Angreifenden ungeschützte Eintrittstore, die den Wachen (dem IT-Team) verborgen bleiben.  

Angestellte kennen sich technisch heute immer besser aus. Parallel dazu wächst das Problem der Schatten-IT für Organisationen rasant. Die Experten von Gartner liefern dazu eine alarmierende Prognose: Bis 2027 beschaffen 75 Prozent der Belegschaft eigene Technologietools komplett an der IT-Abteilung vorbei. Im Jahr 2022 lag dieser Wert noch bei rund 41 Prozent. Externe Cyberkriminelle greifen Systeme gezielt und böswillig an. Schatten-IT schlägt dagegen völlig unbemerkt von innen zu. Mitarbeitende installieren die Tools fast immer ahnungslos und wollen lediglich ihre täglichen Aufgaben schneller erledigen.

Ein Computerbildschirm, auf dem mehrere autorisierte Apps sowie eine nicht zugelassene App als symbolische Darstellung von Schatten-IT abgebildet sind.

Ursachen: Warum entsteht Schatten-IT?

Die Redensart „Work smarter, not harder“ spielt dabei eine entscheidende Rolle. Denn meistens steht hinter dem arglosen Download und Installieren von Tools das Ziel, eine Aufgabe effizienter auszuführen. Es kann sein, dass Mitarbeitende Tools entdecken oder aus dem privaten Bereich kennen, die besser für eine bestimmte Aufgabe geeignet oder einfacher zu nutzen sind als die von der IT-Abteilung genehmigten Tools. Shadow IT ist somit ein Schlüssel zu mehr Produktivität, aber gleichzeitig schafft sie für Hacker Zugangstore in die Unternehmenssysteme.

Doch welche Gründe haben Mitarbeitende, entgegen der Unternehmensrichtlinien zu handeln und nicht zuerst um Genehmigung zu bitten? Oft liegt es daran, dass die Genehmigungs- und Einführungsprozesse neuer Apps – besonders in großen Organisationen – ziemlich langwierig und umständlich sind und Mitarbeitende nicht schnell genug Rückmeldung erhalten. Um nicht durch administrative Prozesse aufgehalten zu werden, begeben sich Mitarbeitende auf eigene Faust auf die Suche nach schnelleren, effektiveren Lösungen, was wiederum Schatten-IT fördert.

Auch die zunehmende Beliebtheit von Remote Work spielt hier mit rein. Dabei arbeiten Mitarbeitende nicht selten an persönlichen Geräten mit nicht autorisierter Software. Geschieht dies ohne das Wissen der IT-Abteilung, kann diese die durch Schatten-IT genutzten Geräte und Systeme nicht effektiv schützen und die gesamte Organisation wird angreifbar. Auch BOYD-Regelungen („Bring Your Own Device“) bieten Cyberkriminellen neue Zugriffsmöglichkeiten, indem sie sich zunächst Zugang auf weniger gut geschützte private Geräte verschaffen und von dort aus in das besser gesicherte Unternehmensnetzwerk eindringen.

Beispiele von Schatten-IT

Schatten-IT kann die verschiedensten Formen annehmen. Dazu gehört nicht nur der Download einer App oder eines Add-ons. Bereits das Koppeln der eigenen Smartwatch mit dem Smartphone, das wiederum mit dem Unternehmensnetzwerk verbunden ist, führt zu möglichen Sicherheitslücken. Nachfolgend die häufigsten Arten von Schatten-IT mit Beispielen und damit einhergehende Risiken.

Arten von Schatten-IT: Cloud-Services, Hardware, Schatten-Software, OAuth-Protokoll.

Cloud-Services

Cloud-Services ist die geläufigste Art von Shadow IT. Vermeintlich harmlose Apps zur Zusammenarbeit im Team oder zum Teilen von Dateien zwischen Abteilungen können ein hohes Sicherheitsrisiko für Organisationen darstellen. Zu den beliebtesten Cloud-Services gehören Dropbox, Google Drive und OneDrive zum Speichern und Teilen von Dateien, aber auch andere SaaS-Lösungen wie Zoom, Shopify, Salesforce und Zendesk.

Hardware

Zu dieser Kategorie von Shadow IT gehören neben persönlichen Laptops, Tablets und Computern auch IoT- und USB-Geräte, Smartwatches, Servergeräte, Smartphones und sogar Freisprechtelefone. Werden persönliche Geräte mit an den Arbeitsplatz gebracht, können die Kontoeinstellungen dazu führen, dass sie automatisch eine Verbindung mit dem Unternehmensnetzwerk herstellen. Da diese Geräte der Schatten-IT meist jedoch nicht mit den nötigen Sicherheitsmaßnahmen ausgestattet sind und die IT-Abteilung sie nicht auf dem Schirm hat, bieten sie ideale Eintrittstore für Cyberkriminelle in das Hauptnetzwerk.

Schatten-Software

Passwortmanager, VPN-Clients, Remote-Access-Apps wie TeamViewer oder AnyDesk, aber auch Messaging-Apps wie WhatsApp und Telegram – wenn solche Programme nicht von IT-Experten installiert und genehmigt werden, können sie zum Sicherheitsrisiko und Zugangspunkt für Angreifende werden. Dasselbe gilt für Kollabourationstools wie Slack, Trello und Asana.

Infobox mit einer Warnung zu den Risiken von Schatten-Software.

Doch auch das IT-Team selbst ist vor Schatten-IT nicht sicher. Obwohl die Wahrscheinlichkeit niedriger ist, dass IT-Experten schädliche Tools nutzen, haben sie durch ihre privilegierten Zugriffsrechte auf wichtige Ressourcen grundsätzlich ein höheres Risiko. Hinzu kommt, dass es sich bei Schatten-Software nicht immer um im Handel erhältliche Softwarelösungen handeln muss. Ihre eigenen IT-Fachkräfte programmieren oft kleine Hilfsprogramme selbst. Diese Fähigkeit hilft im Arbeitsalltag enorm. Ohne offizielle Freigabe durch Ihr Security-Team entsteht so jedoch ein massives Sicherheitsrisiko. Selbst geschriebener Code wird schnell zur gefährlichen Schatten-IT.

OAuth-Protokoll

Versteckte Schatten-IT entsteht im Alltag oft durch schnelle OAuth-Genehmigungen (Open Authorization). Externe Apps fordern diese Zugriffsrechte per Klick direkt bei Ihren Anwendern an. Der Standard an sich bietet bequemen Komfort. Nutzer verknüpfen Anwendungen nahtlos miteinander und sparen sich die lästige Passworteingabe. Andererseits erhalten Drittanbieter-Apps jedoch jedes Mal, wenn der User in einem Pop-up-Fenster die Verbindung und den Zugriff auf andere Apps genehmigt, auch das Recht, Nutzerdaten zu sammeln und zu speichern. Oft werden solche Genehmigungen erteilt, ohne dass sich der User der möglichen Folgen bewusst ist – wie die Gefährdung sensibler Unternehmensdaten oder der Verstoß gegen Compliance-Vorgaben und Datenschutzgesetze wie die DSGVO.

Das OAuth-Protokoll und andere Arten von Schatten-IT stellen zwar ein Risiko für Organisationen dar. Gleichzeitig hat sie jedoch auch positive Seiten, die wir nicht außer Acht lassen dürfen: Schatten-IT kann der erste Schritt hin zu effektiveren Arbeitsprozessen sein, Mitarbeitende befähigen und ihre Problemlösungsfähigkeiten fördern. Von manchen Schatten-IT-Assets profitiert die Organisation als Ganzes, da sie zur Steigerung der Produktivität in verschiedenen Unternehmensbereichen beitragen können. Ohne das Miteinbeziehen der IT-Abteilung können die Risiken die Vorteile jedoch schnell überwiegen.

Risiken von Schatten-IT

Schatten-IT ist geradezu prädestiniert für Hackerangriffe. Unabhängig davon, wie stark die Sicherheitskultur und -richtlinien innerhalb der Organisation sind, nutzen Angreifende jede Möglichkeit aus, für ihre böswilligen Zwecke in Unternehmensnetze einzudringen. Und haben sie sich einmal Zugang verschafft, kann dies weitreichende Folgen haben. Dies sind einige der Gefahren von Schatten-IT:

  • Fehlende Kontrolle: Was die IT nicht kennt, schützt sie nicht. Ungenehmigte Tools bleiben außerhalb jeder Überwachung. Schatten-IT hinterlässt blinde Flecken, die Angreifer gezielt ausnutzen.
  • Compliance-Verstöße: Ungenehmigte Programme verletzen DSGVO-Vorgaben oft automatisch. Mitarbeitende handeln dabei ohne böse Absicht. Bei einer Prüfung drohen trotzdem empfindliche Bußgelder und Reputationsschäden.
  • Datenverlust: Private Tools erfüllen interne Sicherheitsstandards meist nicht. Angreifer haben dort leichtes Spiel. Verschwinden Daten aus solchen Anwendungen, greift kein Unternehmens-Backup.
  • Technische Brüche: Fremde Software fügt sich selten in bestehende IT-Strukturen ein. Ihr Security-Team verliert dabei wertvolle Sichtbarkeit. Bei einem echten Vorfall reagiert es zu langsam.
  • Wachsende Angriffsfläche: Jedes nicht autorisierte Gerät gibt Hackern die Chance auf ein zusätzliches Einfallstor und vergrößert somit die Angriffsfläche. Dass ein Versuch zu einem erfolgreichen Einbruch wird, wird so immer wahrscheinlicher.
  • Veraltete Daten: In isolierten Anwendungen veralten Informationen schnell. Niemand gleicht sie zentral ab. Teams arbeiten dann unwissentlich mit fehlerhaften Dokumenten.
  • Versteckte Kosten: Angestellte zahlen oft privat für bereits lizenzierte Tools. Doppelte Ausgaben sind die Folge. Kommt es zu einem Angriff, kostet die Wiederherstellung zusätzlich viel Geld.
  • Informationssilos: Unautorisierte Programme blockieren den Informationsfluss zwischen Abteilungen. Wissen bleibt in Silos stecken. Die erhoffte Effizienz kehrt sich schnell ins Gegenteil.

Wie KI die Zunahme von Schatten-IT befeuert

Während die Beliebtheit von KI rasant ansteigt, wird auch die Schatten-IT zu einem immer größeren Problem. Auf der Suche nach zeiteffizienten, kreativen Lösungen probieren Mitarbeitende wie auch Management verschiedene KI-Tools aus. Geschieht das ohne das Wissen oder die Genehmigung der IT-Abteilung, entsteht durch diese Art von Schatten-IT ein Sicherheitsrisiko für das gesamte Netzwerk und die Unternehmensdaten.

Da KI auch für IT-Experten noch relatives Neuland ist, gibt es noch kaum Protokolle zu ihrer Implementierung. Hinzu kommt, dass sich KI so schnell weiterentwickelt, dass IT-Abteilungen nur schwer mithalten können und viele Organisationen unzureichend vor verdächtigen oder unzuverlässigen KI-Tools geschützt sind. Als Konsequenz verbieten viele Organisationen die Nutzung von KI vollständig – und erzielen damit genau den gegenteiligen Effekt, da sie so Mitarbeitende dazu treiben, bei der Nutzung von KI-Tools noch riskanter und kreativer vorzugehen. Durch ein vollständiges Verbot büßt die Organisation zudem die unzähligen Vorteile ein, die KI birgt.

Organisationen sollten ihren Mitarbeitenden entgegenkommen und Wege finden, ihnen die sichere Nutzung von produktivitätssteigernden KI-Tools zu ermöglichen. Einige Lösungsansätze zeigen wir im Folgenden auf.

Was können Organisationen gegen Schatten-IT tun?

Schatten-IT wird meist nicht zu böswilligen Zwecken genutzt, sondern mit der Absicht, die eigene Effizienz zu steigern. Sie erhöht zwar das Risiko der Organisation für nicht autorisierten Zugriff auf die Systeme. Gleichzeitig würde eine Maßregelung der Mitarbeitenden jedoch einen nachteiligen Effekt haben – Frustration und fehlende Motivation zur Weiterentwicklung und Optimierung können die Folge sein. Vielmehr sollten Organisationen wissbegierige und proaktiv denkende Mitarbeitende bestärken und ihnen die Möglichkeit bieten, ihre eigene Produktivität mit der Unterstützung des IT-Teams zu steigern.

Nachfolgend einige Wege für Organisationen, das Risiko von Schatten-IT zu reduzieren und den Innovationsgeist am Leben zu halten.

  • Nutzerbedürfnisse verstehen: Mitarbeitende greifen zu fremden Tools, weil offizielle Lösungen sie im Stich lassen. Fragen Sie nach, wo der Schuh drückt. Dann liefert die IT passende Antworten.
  • IT-Richtlinien aktualisieren: Veraltete Regeln provozieren Schatten-IT geradezu. Schaffen Sie klare, aktuelle Vorgaben. Mitarbeitende brauchen einen einfachen Weg, neue Tools offiziell zu beantragen.
Infobox, die erklärt, was eine Schatten-IT-Richtlinie ist.
  • Entwickeln einfacher Prozesse: Neben IT-Richtlinien, die die regelmäßige Einführung neuer Software und Hardware vorsehen, ist es ratsam, einen Alternativweg bereitzustellen, der die unkomplizierte Genehmigung neuer Tools ermöglicht. So können Mitarbeitende auf den nötigen IT-Support zählen, ohne durch die Nutzung nicht genehmigter Tools Risiken einzugehen.
  • Nutzung eines CASB: Ein Cloud Access Security Broker (CASB) ist ein cloudbasiertes Tool, das eine sichere Nutzung von Cloud-Services unter Berücksichtigung der Cybersicherheits-Richtlinien der Organisation gewährleistet. CASB stellen zudem Datenschutz-Richtlinien bereit, bieten Zugangskontrollen und erkennen ungewöhnliche Aktivitäten.
  • Überprüfen der Kostenabrechnungen: In Zusammenarbeit mit der Finanzabteilung haben Sicherheitsbeauftragte die Möglichkeit, Kostenabrechnungen und andere Dokumente auf Spuren von Schatten-IT zu überprüfen und so alle Aktivitäten innerhalb der Organisation im Blick zu behalten. Dabei können auch Erstattungsanfragen für IT-Ausgaben auffallen, die zu niedrig sind, um den Beschaffungsprozess zu durchlaufen.
  • Security-Awareness-Training anbieten: Kaum jemand nutzt Schatten-IT mit böser Absicht. Die meisten wissen einfach nicht, was auf dem Spiel steht. Gutes Training schließt diese Wissenslücke nachhaltig.

So hilft SoSafe Organisationen, Risiken von Schatten-IT zu reduzieren

Schatten-IT verschwindet nicht durch Verbote. Organisationen brauchen stattdessen eine ehrliche Antwort auf die Frage, warum Mitarbeitende überhaupt nach eigenen Lösungen suchen. Klare Richtlinien, offene Kommunikationskanäle und regelmäßiges Awareness-Training schaffen die Grundlage dafür, Innovationsfreude und IT-Sicherheit gleichzeitig zu leben.

Die Awareness-Plattform von SoSafe enthält ein umfangreiches E-Learning-Modul, das Mitarbeitenden wichtiges Wissen und die nötigen Tools an die Hand gibt, mit denen sie Ihre Organisation vor unrechtmäßigem Zugriff schützen können. Durch interaktives E-Learning mit Gamification-Elementen erfahren Ihre Mitarbeitenden, wie sie die Nutzung nicht genehmigter Software, Hardware und Anwendungen erkennen und mögliche schädliche Folgen von Schatten-IT vermeiden können. Nach Abschluss des Moduls wissen sie genau, wo sie sichere Software und Hardware finden und wie sie sie auf sichere Weise nutzen können.

Durch effektives Security Awareness-Training stärken Sie die Sicherheit Ihrer Daten, schaffen einheitliche Prozesse über alle Abteilungen hinweg und vermeiden Kompatibilitätsprobleme. So stellen Sie sicher, dass Ihre stärkste Verteidigungslinie gegen Cyberbedrohungen – Ihre Mitarbeitenden – motiviert bleibt, neue Technologien zu erkunden und gleichzeitig wichtige Sicherheitsstandards zu beachten.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual
Diese Site ist auf wpml.org als Entwicklungs-Site registriert. Wechseln Sie zu einer Produktionssite mit dem Schlüssel remove this banner.

Die Human Risk Platform, die Sie in Tagen statt Monaten bereitstellen können

Bereits Kunde?

Implementieren Sie Security Awareness der Unternehmensklasse in nur 2 Tagen – mit nur 20 Minuten Zeitaufwand für das Management.

Erfahren Sie, wie unsere gamifizierte Microlearning-Methode zu 70 % aktiven Meldungen in 6 Monaten führt.

Erfahren Sie, wie Organisationen wie Ihre in nur 18 Monaten ihre Phishing-Klickraten von 20 % auf 3,5 % reduziert haben.

Konformität & Sicherheit

ISO 27001
TISAX
GDPR
The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions

Erleben Sie unsere Produkte aus erster Hand

Nutzen Sie unsere Online-Testumgebung, um herauszufinden, wie unsere Plattform Ihr Team bei der kontinuierlichen Abwehr von Cyber-Bedrohungen unterstützen und die Sicherheit Ihres Unternehmens gewährleisten kann.

The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions
Produkte

Cyber-Security-Awareness-Training

Nutzen Sie die Kraft von personalisiertem E-Learning, Storytelling und Gamification, um Sicherheitsgewohnheiten nachhaltig zu verändern.

Phishing-Simulation-Tool

Mit effektivem Phishing-Training Mitarbeitende befähigen, Bedrohungen zu erkennen und aktiv zu melden.

Cyber-Security-Chatbot

Lassen Sie Ihre Mitarbeitenden zur proaktiven Verteidigungslinie werden – mit Sofie, unserem Cyber-Security-AI-Assistant für MS Teams & Slack.

Human-Risk-Management-Platform

Human Risk OS: Ihr Security-Dashboard für menschliche Risiken – in Echtzeit erkennen, priorisieren und nachhaltig reduzieren.

Entdecken Sie unsere Lösungen mit unseren Produkttouren

Human Risk OS Virtuelle Touren starten
Lösungen

Compliance mit Sicherheitsanforderungen

Automatisieren und beschleunigen Sie die Zeit bis zur Compliance

Aufbau einer Sicherheitskultur

Integrieren Sie sicheres Verhalten in die DNA Ihres Unternehmens

Sicherheitsbewusstsein im öffentlichen Sektor

Wappnen Sie Mitarbeitende für realistische Angriffsszenarien

Cybersecurity-Awareness in der Fertigungsbranche

Schulen Sie Ihre gesamte Belegschaft und halten Sie die Compliance ein

Entdecken Sie Erfolgsgeschichten unserer Kunden

Jetzt lesen
Preise
Ressourcen

Lesen

Reports Guides Blog Cyberlexicon Perks Kunden-Erfolgsgeschichten

Anschauen

Webinare Stories of digital self-defence

Hören

Human Firewall Podcast

Besuchen

Alle Events Human Firewall Conference

Test

Danger Lab Phishing Spiel Testen Sie Ihre Cyberresilienz NIS-2-Compliance-Check

Empfohlener

Fördern Sie die sichere Einführung von KI in Ihrer Belegschaft

Bauen Sie KI-Kompetenz auf, die Ihre Daten, Compliance und den Ruf Ihres Unternehmens schützt.

Ressourcen erkunden
Unternehmen

Schließ dich unserem Heldenteam an

Du suchst einen Job mit echtem Impact?

Werde mit uns zum Cyber-Hero und mach die digitale Welt ein Stückchen sicherer.

Jetzt bewerben
Partner
Partner MSP Partner
Kontakt Login
Languages

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.