Was ist Shadow IT und warum stellt sie ein Risiko dar?
Shadow IT, Software, die Mitarbeitende ohne Genehmigung der IT nutzen, ist größer und gefährlicher, als die meisten Organisationen glauben. Was es ist, wie es entsteht und wie man damit umgeht.
- 1. Oktober 2024
- 5 Min.
Shadow IT ist eine der größten blinden Flecken im Enterprise-Software-Management. Der Begriff bezieht sich auf alle Technologien, Software, Apps, Cloud-Speicher und Kommunikationstools, die Mitarbeitende ohne ausdrückliche Genehmigung von IT oder Einkauf einsetzen. Und das Wachstum ist größer, als die meisten Organisationen vermuten.
Wie entsteht Shadow IT?
Shadow IT entsteht fast immer aus einem echten Problem. Ein Mitarbeiter benötigt ein Tool, um seine Arbeit zu erledigen, der Genehmigungsprozess dauert zu lange oder die von der IT angebotene Alternative ist unpraktisch. Der kürzeste Weg ist die Erstellung eines kostenlosen Kontos oder ein kleines Abonnement auf der Firmenkreditkarte.
Was als eine einzelne Person mit einem Tool beginnt, wächst schnell. Kollegen schließen sich an, Dateien werden über nicht genehmigte Plattformen geteilt und vertrauliche Firmendaten landen auf Servern außerhalb der EU, ohne dass es jemand bemerkt.
Warum ist Shadow IT ein Problem?
Shadow IT hat drei konkrete Folgen:
1. Sicherheitsrisiken. Nicht genehmigte Tools werden weder auf Sicherheit überprüft, noch aktualisiert oder überwacht. Sie öffnen die Tür für Datenlecks und Cyberangriffe.
2. Compliance-Risiken. Daten, die über nicht genehmigte Tools verarbeitet werden, liegen außerhalb der DSGVO-Kontrolle der Organisation. Im Falle eines Datenlecks haftet die Organisation dennoch.
3. Verschwendung. Organisationen zahlen für zentralisierte Tools, während Mitarbeitende parallel kostenlose oder günstige Alternativen nutzen. Eine Konsolidierung ist ohne Übersicht unmöglich.
Shadow IT und NIS2
Mit der Einführung von NIS2 wird Shadow IT zu einem noch größeren Risiko. Die Sorgfaltspflicht verpflichtet Organisationen, einen aktuellen Überblick über alle Software und Anbieter zu haben, einschließlich Tools, die außerhalb des formalen Einkaufsprozesses beschafft wurden. Shadow IT macht diese Übersicht per Definition unvollständig.
Wie geht man Shadow IT an?
Der Ansatz beginnt nicht mit Verboten, sondern mit Verstehen. Warum nutzen Mitarbeitende bestimmte Tools? Was fehlt im genehmigten Angebot? Nur wenn diese Fragen beantwortet sind, kann effektiv konsolidiert und das formelle Softwareangebot verbessert werden.
Praktische Schritte: Kreditkartenabrechnungen und Rechnungen auf unbekannte Software-Abonnements analysieren, eine Mitarbeitendenbefragung zu genutzten Tools durchführen und die Ergebnisse an IT und Einkauf zurückmelden, um einen konsolidierten Ansatz zu ermöglichen.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was genau ist Shadow IT?
Shadow IT umfasst alle Software und Technologien, die Mitarbeitende ohne Zustimmung oder Wissen von IT oder Einkauf nutzen. Das können kostenlose Tools, persönliche Cloud-Speicher oder nicht genehmigte Kommunikationsplattformen sein.
Wie groß ist das Shadow IT-Problem in durchschnittlichen Organisationen?
Studien zeigen, dass durchschnittlich 40-60 % der SaaS-Tools innerhalb einer Organisation nicht zentral verwaltet werden. Das tatsächliche Ausmaß von Shadow IT wird systematisch unterschätzt.
Wie erkenne ich, welche Shadow IT in meiner Organisation vorhanden ist?
Beginnen Sie mit einem Software-Audit anhand von Kreditkartenabrechnungen, Rechnungsanalysen und einer Mitarbeitendenbefragung. Zusätzlich können Tools wie Zylo, Torii oder Blissfully helfen, SaaS-Nutzung automatisch zu erkennen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.