Shadow IT: Definition, Risiken und Gegenmaßnahmen

Verfasst von: Talabuev Ya.

Gartner schätzt, dass über 40 % der Mitarbeitenden Technologien nutzen, die nicht von ihren IT-Abteilungen verwaltet werden. Bis 2027 soll diese Zahl voraussichtlich auf beeindruckende 75 % ansteigen. Dies beschreibt das Phänomen der sogenannten Shadow IT, das bis zu 57 % der KMU betrifft. In diesem Artikel beleuchten wir die Ursprünge dieses Phänomens, die damit verbundenen Risiken und wie diese gemindert werden können.

• Was ist Shadow IT und warum ist sie gefährlich?
• Beispiele für Shadow IT und Gründe für ihre Verbreitung
• Examples of Shadow IT and Reasons for Their Spread
• Risiken der Shadow IT und die Chancen, die sie eröffnet
• Wie Sie eine sichere IT-Umgebung in Ihrem Unternehmen schaffen

Was ist Shadow IT und warum ist sie gefährlich? 

Shadow IT bezieht sich auf die Nutzung von Informationstechnologien, digitalen Geräten, Software und IT-Dienstleistungen durch Mitarbeitende ohne die Genehmigung der IT-Abteilung des Unternehmens. Obwohl Shadow IT oft in einem negativen Kontext diskutiert wird, ist dies nicht immer der Fall: Mitarbeitende installieren häufig Drittanbieter-Software oder abonnieren Dienste, um ihre Arbeit effizienter oder mit weniger Ressourcen zu erledigen. Dennoch glauben 76 % der kleinen und mittleren Unternehmen (KMU), dass Shadow IT eine ernsthafte Bedrohung für ihre Sicherheit darstellt.

Das Ausmaß dieses Phänomens ist beeindruckend: Fast ein Drittel der Mitarbeitenden hat Zugang zu SaaS-Anwendungen, die sie bei einem früheren Arbeitgeber genutzt haben, und 65 % dieser Dienste werden ohne Genehmigung des Unternehmens implementiert. Darüber hinaus hatten 55 % der Unternehmen im letzten Jahr Sicherheitsvorfälle, die direkt mit SaaS-Anwendungen in Verbindung standen.

In den letzten Jahren hat sich die Situation durch die Verbreitung von ChatGPT und anderen KI-Tools weiter verkompliziert: Laut Daten von Microsoft informieren etwas mehr als die Hälfte derjenigen, die solche Tools zu Arbeitszwecken nutzen, ihre Vorgesetzten nicht darüber.

Beispiele für Shadow IT und Gründe für ihre Verbreitung

Shadow IT umfasst am häufigsten verschiedene SaaS-Anwendungen (Google Docs, Dropbox, Slack) sowie andere Cloud-Dienste und beliebte KI-Tools wie ChatGPT. Bei einer genaueren Betrachtung dieses Phänomens lassen sich mehrere Gruppen von Informationssystemen identifizieren, die Mitarbeitende ohne Genehmigung der Unternehmensleitung nutzen:

• Plattformen für Text- und Videokommunikation (Zoom, WhatsApp, Telegram, Google Meet)
• Dienste zur Datenspeicherung und -freigabe (Google Drive, Box, Mega, OneDrive)
• Planungs- und Produktivitätstools (Trello, Asana, Miro)
• Dokumenteneditoren (Google Docs, Microsoft Office 365)
• Kostenlose Passwortmanager (KeePass, Keeper, Dashlane)
• Dienste zur Umfrage- und Feedbackerhebung (Google Forms, Typeform)
• VPN-Dienste (ExpressVPN, CyberGhost, Hide.me)
• Lernplattformen (Coursera, Udemy)

Die Verbreitung von Shadow IT ist oft auf die zunehmende Verfügbarkeit benutzerfreundlicher Technologien und das Bedürfnis der Mitarbeitenden zurückzuführen, ihre Arbeit effizienter zu gestalten, insbesondere wenn die offiziellen IT-Ressourcen nicht ausreichen oder zu langsam bereitgestellt werden.

Examples of Shadow IT and Reasons for Their Spread

Shadow IT most commonly includes various SaaS applications (Google Docs, Dropbox, Slack) and other cloud services, as well as popular AI tools like ChatGPT. When examining this phenomenon in more detail, we can identify several groups of information systems that employees use without management approval:

• Platforms for text and video communication (Zoom, WhatsApp, Telegram, Google Meet)
• Data storage and sharing services (Google Drive, Box, Mega, OneDrive)
• Planning and productivity tools (Trello, Asana, Miro)
• Document editors (Google Docs, Microsoft Office 365)
• Free password managers (KeePass, Keeper, Dashlane)
• Survey and feedback collection services (Google Forms, Typeform)
• VPN services (ExpressVPN, CyberGhost, Hide.me)
• Learning platforms (Coursera, Udemy)

Mitarbeitende wählen häufig IT-Tools eigenständig aus, weil die von der IT-Abteilung genehmigten Lösungen als unpraktisch, langsam oder funktional eingeschränkt empfunden werden oder nicht die erforderlichen Einstellungen bieten. Manchmal sind die benötigten Tools für eine effektive Arbeit schlichtweg nicht verfügbar. Hinzu kommt, dass sich die meisten Fachkräfte der Risiken, die mit der Nutzung nicht autorisierter Informationssysteme verbunden sind, nicht bewusst sind und diese nicht als Bedrohung für das Unternehmen wahrnehmen.

Risiken der Shadow IT und die Chancen, die sie eröffnet

Die Haupttreiber der Verbreitung von Shadow IT sind die digitale Transformation, die alle Geschäftsbereiche erfasst hat, der Anstieg von Cloud-Diensten und die Umstellung auf Remote- oder hybride Arbeitsmodelle. Zudem reagieren IT-Abteilungen oft zu langsam auf die sich wandelnden Anforderungen der Mitarbeitenden und können nicht immer zeitnah die benötigten Werkzeuge bereitstellen. Dies führt dazu, dass Mitarbeitende die Effizienz ihrer Arbeit über die Sicherheit stellen.

Welche negativen Folgen kann das haben?

• Die Verbreitung von Malware, die die gesamte Cybersicherheitslandschaft erschwert.
• Ein Anstieg von Schwachstellen, die der IT-Abteilung verborgen bleiben könnten.
• Datenverlust und Diebstahl (einschließlich durch fehlende Backups oder unsachgemäßes Passwortmanagement, wie das Speichern von Zugangsdaten in Google Sheets).
• Unfähigkeit, alle Aspekte der Unternehmenssicherheit zentral zu verwalten.
• Zunahme von schlecht informierten Geschäftsentscheidungen, da sie auf Ergebnissen verschiedener, nicht koordinierter Tools basieren.
• Nichteinhaltung von Branchenvorschriften, was zu Geldstrafen und anderen unerwarteten Kosten führen kann.

Shadow IT wird oft eingesetzt, um Kosten zu senken; dies geht jedoch nicht immer auf. In einigen Fällen kann die Skalierung dieser Systeme oder Dienste auf das gesamte Unternehmen den gegenteiligen Effekt haben. Ein Beispiel: Ein Cloud-Speicherdienst könnte für einzelne Nutzer kostenlos sein, aber die Kosten für eine Unternehmenslizenz könnten unerschwinglich hoch sein.

Gleichzeitig gibt es auch positive Aspekte des Shadow-IT-Phänomens. So können Shadow-IT-Systeme:

• Den Komfort und die Produktivität der Mitarbeitenden steigern, was potenziell erhebliche wirtschaftliche Vorteile für das gesamte Unternehmen mit sich bringt.
• IT-Kosten durch die Nutzung kostenloser, öffentlich zugänglicher Tools senken.
• Innovation auf Unternehmensebene fördern.

Wie Sie eine sichere IT-Umgebung in Ihrem Unternehmen schaffen

Experten prognostizieren, dass bis 2026 bis zu 10 % der Unternehmen ein Zero-Trust-Modell einführen werden. Dieses Modell geht davon aus, dass alle digitalen Geräte, Technologien und Systeme – sowohl innerhalb als auch außerhalb der Organisation – grundsätzlich als unzuverlässig (oder nicht autorisiert) betrachtet werden. Dies ist jedoch nur eine von vielen Komponenten eines sicheren und zentral verwalteten IT-Systems.

Weitere Schritte zur Reduzierung von Shadow IT umfassen:

• Kontinuierliches Monitoring: Dies ermöglicht eine rechtzeitige Identifizierung von Shadow IT (Geräte, Systeme und Anwendungen) innerhalb der Organisation.
• Offene IT-Politik: Entwickeln Sie eine IT-Richtlinie, die das Management dazu ermutigt, offen für neue Ideen, Vorschläge und Projekte zu sein.
• Bewusstsein der Mitarbeitenden: Schulen Sie Ihre Teams, damit sie sich der potenziellen Risiken bewusst sind.
• Fortlaufende Schulungen: Führen Sie regelmäßig Schulungen zu sicheren Arbeitspraktiken durch, die den Branchenstandards und den Anforderungen des Unternehmens entsprechen.
• Benutzerfreundliche Umgebungen: Schaffen Sie produktive und benutzerfreundliche Arbeitsumgebungen, die einfachen Zugang zu den notwendigen Ressourcen und Tools für eine effektive Arbeit bieten.
• Optimierung des Kontomanagements: Implementieren Sie Single Sign-On (SSO) für ein vereinfachtes Kontomanagement.

Durch diese Maßnahmen können Unternehmen eine sicherere und besser kontrollierte IT-Umgebung schaffen, die gleichzeitig die Effizienz und Innovationskraft fördert.

Colobridge-Experte:
„Wir erkennen das Problem der Shadow IT und bieten unseren Unternehmenskunden Cloud-Lösungen an, die als Instrument zur Bekämpfung dieses Phänomens dienen können. Gleichzeitig verstehen wir, dass dies eine komplexe Herausforderung ist, die nicht nur technische Maßnahmen erfordert, sondern auch erhebliche Veränderungen in der Unternehmenskultur und den Geschäftsprozessen. Unsere Rolle besteht darin, moderne Cloud-Lösungen bereitzustellen und die notwendige Expertise anzubieten (IT-Beratung für Unternehmen, Administration und Migrationsunterstützung).”

Erfahren Sie mehr darüber, wie die Cloud- und Infrastrukturlösungen von Colobridge Ihnen helfen können, eine sichere und produktive Umgebung für Ihre IT-Workloads zu schaffen und wie Sie die Datensicherheit in Ihrem Unternehmen verbessern können.