IT-Sicherheit
9. Februar 2025
Was ist Schatten-IT
Schatten-IT bezeichnet sämtliche IT-Systeme, Software und Geräte, die in einem Unternehmen ohne offizielle Genehmigung oder Kenntnis der IT-Abteilung genutzt werden. Oft passiert das nicht aus böser Absicht: Mitarbeitende möchten schneller und flexibler arbeiten oder greifen auf private Cloud-Speicher, Messenger-Dienste, Apps oder externe Webservices zurück, die sie von zuhause kennen. Beispiele sind etwa das Speichern von Kundendaten auf privaten Cloud-Laufwerken (Google Drive, Dropbox etc.) oder die Nutzung eines privaten Smartphones für geschäftliche E-Mails.
Das Problem: Sobald solche Tools und Geräte außerhalb des festgelegten Sicherheitsrahmens verwendet werden, ist unklar, wie und wo Daten gespeichert werden oder ob kritische Sicherheitsupdates durchgeführt werden. Dadurch entstehen erhebliche Risiken für das gesamte Unternehmen.
Warum ist Schatten-IT so problematisch?
Datenverlust und Sicherheitslücken
Wenn Mitarbeitende Informationen über private Cloud-Speicher teilen oder auf private Geräten speichern, entgehen diese Daten der Kontrolle des Unternehmens. Im Ernstfall – etwa bei einem Hackerangriff oder Datenleck – kann es sein, dass vertrauliche Unternehmensdaten unbemerkt abfließen. Das kann nicht nur zu Imageschäden führen, sondern auch rechtliche Folgen haben, besonders wenn personenbezogene Daten betroffen sind (Stichwort DSGVO).
Mögliche Lizenzverstöße
Viele Apps und Programme sind kostenlos, jedoch nur für die private Nutzung. Setzen Mitarbeitende diese Tools beruflich ein, kann dies gegen die Nutzungsbedingungen verstoßen. Stellt der Anbieter dies fest, können hohe Strafzahlungen drohen. Das kommt zwar nicht ständig vor, ist aber auch nicht so selten, wie man denken könnte.
Ungesicherte private Hardware
Bei der Verwendung privater Geräte (Smartphones, Laptops etc.) können Unternehmen nicht nachvollziehen, ob die Geräte ausreichend geschützt sind. Besteht ein aktueller Virenschutz? Werden regelmäßige Updates installiert? Werden starke Passwörter und Zwei-Faktor-Authentifizierung eingesetzt? Eine infizierte Privat-Hardware kann schnell zum Einfallstor für Schadsoftware werden und das gesamte Unternehmensnetzwerk gefährden.
Komplexe Verantwortlichkeit beim Verlassen des Unternehmens
Wenn ein Mitarbeiter das Unternehmen verlässt, bleiben womöglich Kundendaten, Passwörter oder interne Dokumente auf dessen privatem Gerät zurück. Wer weiß dann von diesen Daten? Wer löscht sie? Und was, wenn sensible Daten unwissentlich weiter verbreitet werden oder auf Servern außerhalb der EU liegen? Solche Fragen führen nicht nur zu Sicherheitsrisiken, sondern auch zu Problemen bei Anfragen rund um Datenschutz und Compliance.
Wie können Unternehmen Schatten-IT verhindern?
Mitarbeitende sensibilisieren
Oft ist es schlicht Unwissenheit oder der Wunsch nach mehr Komfort, der zur Nutzung privater Lösungen führt. Indem Sie regelmäßig über die Risiken aufklären und konkrete Beispiele zeigen, bauen Sie ein Bewusstsein für IT-Sicherheit auf.
Offener Dialog statt starrer Verbote
Gehen Sie aktiv auf Ihre Mitarbeitenden zu. Fragen Sie, warum sie bestimmte Tools nutzen möchten. Vielleicht gibt es gute Gründe – etwa weil ein Programm die Zusammenarbeit erleichtert. Wenn sich die Vorteile bestätigen, sollte das Tool offiziell geprüft und genehmigt werden. So wird die „Schatten-IT“ ins Licht geholt und in sichere Bahnen gelenkt.
Klare Regeln und Trennung von Privat und Geschäft
Legen Sie schriftlich fest, welche Geräte und Software genutzt werden dürfen und was ausdrücklich verboten ist. Das gilt auch für die private Nutzung von beruflichen Geräten bzw. die dienstliche Nutzung privater Hardware. Eine klare, verständliche Richtlinie erspart späteren Ärger und macht allen Mitarbeitenden deutlich, wo die Grenzen liegen.
Regelmäßige Überprüfung
Schatten-IT entsteht oft schleichend. Halten Sie daher Augen und Ohren offen, ob neue Tools im Unternehmen kursieren, die nicht bekannt sind. Kurze Wege und eine offene Unternehmenskultur erleichtern es, frühzeitig gegenzusteuern.
Ein kurzer Blick auf SERGO
Wir bei SERGO arbeiten derzeit an einem neuen Feature, das genau hier ansetzt:
In unserem Kundenportal werden Sie bald die Möglichkeit haben, Ihre Mitarbeitenden hinzuzufügen und per Klick ein automatisches Dokument zu erstellen, das die wichtigsten Punkte rund um Schatten-IT erläutert.
So können Sie leicht verständlich und verbindlich festhalten, nur freigegebene Geräte und Software zu nutzen.
Wer neugierig ist, kann sich auf unserer Website über die Roadmap informieren und sehen, wie das Feature weiterentwickelt wird.
Fazit
Schatten-IT kann auch kleinen Unternehmen große Probleme bereiten. Dabei ist es häufig nicht die böse Absicht der Mitarbeitenden, sondern Unwissenheit oder Bequemlichkeit, die zu Lücken im Sicherheitskonzept führen. Mit klaren Richtlinien, regelmäßiger Sensibilisierung und einem offenen Dialog lässt sich Schatten-IT jedoch gut in den Griff bekommen.
Sensibilisieren Sie Ihre Mitarbeitenden
Stellen Sie offizielle Alternativen für Tools bereit
Überwachen und überprüfen Sie regelmäßig Ihre Infrastruktur
So bleiben Ihre Daten besser geschützt, und Ihr Unternehmen vermeidet unangenehme Überraschungen.