Was ist Schatten-IT?
Schatten-IT in Unternehmen erklärt: Risiken verstehen, Chancen nutzen
Die Cyberbedrohung in Unternehmen hat nicht immer ausschliesslich externe Ursachen – oft lauert das Risiko verborgen im eigenen Haus, etwa im Fall von Schatten-IT (auch: Shadow IT).
Durch die fortschreitende Digitalisierung und die wachsende Verwendung von Online-Diensten in der Bevölkerung weitet sich dieses Phänomen zunehmend aus. Bis 2027 werden gemäss den Prognosen der Experten von Gartner 75% der Mitarbeitenden Technologietools ohne das Wissen des IT-Teams beschaffen, ändern oder erstellen. Zum Vergleich: 2022 waren es 41% (Quelle: gartner.com).
Inhaltsverzeichnis
- Was ist Schatten-IT?
- Welche Bereiche betrifft Schatten-IT?
- Warum nutzen Mitarbeitende Schatten-IT?
- Warum ist Schatten-IT schädlich?
- Spotlight Messenger: Die Risiken privater Messenger in Unternehmen
- Welche Vorteile und Chancen bringt Schatten-IT mit sich?
- Was tun gegen Schatten-IT?
- Threema Work als geschützter Business Messenger
- Was kann präventiv gegen Schatten-IT getan werden?
- Fazit
Was ist Schatten-IT?
Unter dem Begriff versteht man die Beschaffung und Nutzung von Hard- und Software in Unternehmen und Organisationen durch Mitarbeitende ohne die explizite Genehmigung der IT-Abteilung.
Diese Verwendung von nicht autorisierter, oftmals unsicherer Hard- und Software ist eine Herausforderung für die Cybersicherheit in Unternehmen und Organisationen. 80% der Sicherheitsverantwortlichen geben an, dass sie aufgrund von Schatten-IT mindestens einmal im Jahr mit einem sicherheitsrelevanten Vorfall befasst sind (Quelle: enteksystems.de).
Welche Bereiche betrifft Schatten-IT?
1) Software
Das starke Wachstum von Cloud- und Software-as-a-Service-Lösungen (SaaS) sowie der Trend zu Remote-Work oder Homeoffice fördern standortunabhängige Zusammenarbeit. Gleichzeitig hat diese Entwicklung, begünstigt durch die hohe Akzeptanz von SaaS-Tools, jedoch auch zu einem deutlichen Anstieg von Schatten-IT geführt. Cloud-Dienste und SaaS-Angebote sind oft leicht zugänglich, einfach zu bedienen und mit keinen oder sehr geringen Kosten verbunden.
Beispiele für Schatten-IT:
Mobiles Arbeiten gewinnt zunehmend an Bedeutung, weshalb auch Kommunikationslösungen immer wichtiger sind. Ein weit verbreitetes Szenario für Schatten-IT ist daher die berufliche Kommunikation mit Arbeitskollegen und Unternehmenskunden über nicht genehmigte Videokonferenz-Tools oder private Messenger-Dienste wie WhatsApp, Signal oder Telegram.
Schatten-IT bei Messengern
Schatten-IT bei Messengern
Mitarbeitende greifen für den schnellen und einfachen Informationsaustausch auch im Berufsalltag gerne auf ihre bevorzugten Chat-Apps zurück – insbesondere beim mobilen Arbeiten. Sie sind aus dem privaten Kontext daran gewöhnt, und häufig mangelt es an einer brauchbaren Unternehmens-Alternative. Entscheidend sind für sie die Benutzerfreundlichkeit und der Funktionsumfang von Messengern. Umständliche Lösungen werden nur widerwillig genutzt. In einer Threema-Studie von 2024 hielten es 50% der befragten Unternehmen für wahrscheinlich, dass Mitarbeitende private Chat-Apps für die interne Kommunikation nutzen, zusätzlich zu den vom Unternehmen zur Verfügung gestellten Kommunikationsmitteln. 43% nahmen darin an, dass Mitarbeitende sensible Informationen über Kunden, Partner und Lieferanten über nicht DSGVO-konforme Chat-Apps austauschen.
In der Team- und Zusammenarbeit fällt die Wahl häufig auf Cloud- und File-Sharing-Dienste wie Dropbox oder Google Drive, um geschäftliche Daten oder Dokumente zu teilen und gemeinsam zu bearbeiten. Ergänzend werden SaaS-Lösungen wie Google Docs oder Apps zur Workflow-Optimierung eingesetzt. Laut einer Gartner-Studie von 2024 laufen inzwischen über 40% der in Unternehmen genutzten Cloud-Dienste ausserhalb der Kontrolle der IT (Quelle: enteksystem).
Die nicht von der IT genehmigte Verwendung von Produktivitäts-Apps betrifft in erster Linie Applikationen für die gemeinsame Projektarbeit wie Slack, Trello und Asana, bei denen sich Mitarbeitende häufig eigenständig registrieren, um schnelle eine Lösung zur Hand zu haben. Der Nutzen liegt hier darin, Zeitplan und Fortschritt des Projekts im Blick zu behalten. Aber auch aus dem Bereich Social-Media-Management gibt es Lösungen, die in Form von Schatten-IT eingesetzt werden.
2) Schatten-KI
Der Begriff Schatten-KI beschreibt den nicht genehmigten Einsatz von Anwendungen aus dem Bereich künstlicher Intelligenz. Der Einsatz von KI ist bereits stark verbreitet, und immer häufiger werden nun auch KI-Tools wie Chatbots oder Bildgeneratoren (zum Beispiel ChatGPT, Gemini, Midjourney oder DALL-E) als Schatten-IT eingesetzt, also ohne formelle Genehmigung oder Aufsicht durch die IT-Abteilung.
3) Hardware
Das Smartphone begleitet uns stets und ist im Joballtag oft schneller zur Hand als der Firmenlaptop. Private Smartphones sind zwar äusserst praktisch, entziehen sich jedoch der Unternehmenskontrolle und den dazugehörigen Sicherheitsstrategien – und werden damit Teil der Schatten-IT. Gerade im Homeoffice oder beim mobilen Arbeiten verschwimmen die Grenzen zwischen privat und beruflich. Schnell wird dann mal zur Ad-hoc-Lösung gegriffen.
Weitere Beispiele für Hardware, die typischerweise in Form von Schatten-IT zum Einsatz kommt:
PCs
Private Laptops
Speichergeräte wie USB-Sticks oder externe Festplatten
Tablets
Netzwerkkomponenten wie Router oder Switches
Drucker und Scanner
Die IT-Richtlinien mancher Unternehmen sehen Bring Your Own Device (BYOD) vor. Bei dieser Strategie ist es gestattet, eigene Notebooks oder Smartphones für die Arbeit zu nutzen. Geschieht das unkontrolliert und ohne Einbindung der IT-Abteilung, liegt aber auch hier Schatten-IT mit den damit verbundenen Risiken vor.
Warum nutzen Mitarbeitende Schatten-IT?
Der Ursprung dieses Phänomens ist keineswegs bösartiger Natur, ganz im Gegenteil: Mitarbeitende nutzen private bzw. nicht autorisierte Applikationen oder Services immer öfter aus dem einfachen und praktischen Grund, dass diese Lösungen ihren Arbeitsalltag erleichtern und sie damit produktiver und effizienter sein können. Häufig mangelt es an geeigneten, offiziellen Lösungen, da diese beispielsweise das Nutzungsverhalten der Mitarbeitenden nicht aufgreifen, zu kompliziert, zu schlecht integriert, zu langsam, zu ineffizient oder schlichtweg unbrauchbar sind.
Oft wird eine schnelle Lösung gesucht, und Mitarbeitende wählen dann eine direkt nutzbare App oder einen Cloud-Service, um langwierige IT-Freigabeprozesse zu umgehen und sofort eine Lösung zur Hand zu haben. So trägt die IT paradoxerweise selbst zur Ausbreitung von Schatten-IT bei: 38% der Angestellten weichen laut Studien (https://www.zluri.com/blog/Shadow IT-statistics-key-facts-to-learn-in-2024) auf nicht freigegebene Tools aus, weil die IT-Reaktionszeiten zu langsam sind. Gerade im Homeoffice werden verstärkt nicht genehmigte Services eingesetzt.
Wesentliche Ursachen für die Entstehung von Schatten-IT im Überblick:
Leichte Verfügbarkeit und schnelles Wachstum von Cloud-Services- oder Software-as-a-Service-Lösungen, auf die alle Mitarbeitenden schnell und einfach zugreifen können
Unklare Zuständigkeiten bei der IT-Betreuung der Fachabteilungen
Mangelhafte Abstimmung, zu viel Bürokratie oder unzureichende Regelungen in der Zusammenarbeit zwischen den Fachabteilungen und der zuständigen IT-Abteilung
Offizielle Lösungen entsprechen nicht den Nutzungsgewohnheiten der Mitarbeitenden
Fehlendes Risikobewusstsein für potenzielle Folgen von Schatten-IT und fehlende Schulung der Mitarbeitenden
Budgetgrenzen
Nicht vorhandene Richtlinien
Warum ist Schatten-IT schädlich? Und welche Schäden resultieren aus Schatten-IT?
So nachvollziehbar der Wunsch nach schnellen und pragmatischen Lösungen ist: Unautorisierte Soft- und Hardware ist oftmals nicht geeignet, um vertrauliche Informationen und Daten ausreichend zu sichern. Zudem verlieren Organisationen und Unternehmen schnell den Überblick und die Kontrolle – gerade, wenn die Anzahl der nicht genehmigten Anwendungen einen Umfang annimmt, der in SaaS- und Cloud-Wildwuchs mündet. Der tritt ein, wenn die Anzahl der SaaS-Tools ein Mass erreicht, das eine effektive Verwaltung unmöglich macht. Das alles bringt Sicherheitsrisiken mit sich und hat mitunter gravierende Folgen für das Unternehmen oder die Organisation. Laut einer Studie geht nahezu jeder zweite Cyberangriff auf Shadow IT zurück, und die Kosten für deren Behebung belaufen sich im Durchschnitt auf mehr als 4,2 Millionen US-Dollar, was die verheerenden finanziellen Folgen der Schatten-IT für Unternehmen verdeutlicht (Quelle: https://www.zluri.com/blog/shadow-it-statistics-key-facts-to-learn-in-2024).
Die Risiken durch Schatten-IT im Überblick:
Sicherheitsrisiken und mangelhafte Datensicherheit
Erhöhtes Sicherheitsrisiko: Unzulässige oder ungesicherte Tools sind in der Regel nicht mit den erforderlichen Sicherheitsmassnahmen zum Schutz vor Cyberangriffen ausgestattet, was den unrechtmässigen Zugriff auf sensible Daten erleichtert. Nicht autorisierte Anwendungen enthalten oft Schwachstellen oder Fehlkonfigurationen (insbesondere in der Cloud) und bieten damit Einfallstore für Datenlecks, Malware und Cyberangriffe.
Unsichtbare Angriffe: Ohne das Wissen bzw. den Überblick der IT werden viele Vorfälle nicht entdeckt, was das Ausmass des Schadens erhöhen kann und wiederholte Angriffe mit der gleichen Vorgehensweise erleichtert.
Fehlende Pflege und Kontrolle: Ungepatchte Software – also solche, bei der keine Fehler behoben oder Sicherheitslücken geschlossen werden – begünstigt Cyberangriffe, es entstehen Schwachstellen. Schlimmstenfalls geht die Kontrolle über IT-Ressourcen komplett verloren.
Datenverlust: Da Schatten-IT nicht in das Backup-System und in Lifecycle-Prozesse der jeweiligen Organisation eingebunden ist, wird es schwer bis unmöglich, Daten wiederherzustellen, die über Shadow-IT-Systeme abhandengekommen sind.
Blinder Fleck in der Risikobewertung: Viele Unternehmen berücksichtigen Schatten-IT nicht, vergrössern damit die Angriffsfläche und riskieren schwere Schäden. Die IT braucht Transparenz darüber, welche Anwendungen genutzt werden, um Sicherheitsstrategien möglichst umfassend aufzusetzen.
Datenschutzverletzungen und Compliance-Verstösse:
Strict data protection and compliance requirements protect customers and business partners. If sensitive data Strenge Datenschutz- und Compliance-Vorgaben schützen Kunden und Geschäftspartner. Werden sensible Daten mit nicht genehmigter Software, die zudem nicht datenschutzkonform ist, verarbeitet, drohen Bussgelder und schwerwiegende Reputationsschäden.
Bei nicht zugelassenen Anbietern ist unklar, wie Daten gespeichert oder übertragen werden. Das erhöht das Risiko für Datenschutzverletzungen, unbefugte Zugriffe und Datenabfluss.
Bei Cloud-Speichern in Drittstaaten, ohne angemessenes Schutzniveau, sind Verstösse gegen DSGVO und branchenspezifische Regeln wahrscheinlich.
Ineffiziente Zusammenarbeit:
Shadow-IT-Anwendungen können zu zersplitterten und unkoordinierten Arbeitsabläufen, Daten- und Knowledge-Silos sowie inkonsistenten Daten führen. Wenn Daten über diverse Schatten-IT-Komponenten verteilt sind und keine zentrale Governance existiert, greifen Teams unter Umständen auf inoffizielle, ungültige, veraltete oder schlichtweg unterschiedliche Informationen zu. Nutzen Teams unterschiedliche Tools (z.B. Google Drive und Dropbox), entsteht zudem Mehrarbeit durch mehrfache Up- und Downloads, Versionierungsprobleme und Medienbrüche. In der Folge leidet die Produktivität der Mitarbeitenden, was sich langfristig negativ auf die gesamte Organisation auswirken kann.
Finanzielle Verluste:
Schatten-IT bringt mitunter erhebliche finanzielle Verluste mit sich. Kommt es durch die Verwendung von Schatten-IT zu einem Cyberangriff, ist der Aufwand an Zeit und Ressourcen zur Datenwiederherstellung und Schadensbehebung teils enorm. Dazu kommen eventuell noch Kosten, die mit juristischen Verfahren und Geldbussen zusammenhängen. Der wirtschaftliche Schaden, der mit Vertrauensverlust, Industriespionage und Datenmanipulation einhergeht, lässt sich nicht exakt beziffern, kann Unternehmen und Organisation aber elementar schädigen.
Zudem entstehen Mehrkosten durch zusätzliche Systeme, die parallel zu den offiziellen IT-Ressourcen genutzt werden.
Kompatibilitätsprobleme und fehlende Transparenz:
Bei der Nutzung von Schatten-IT kann es auch zu Kompatibilitätsproblemen mit den IT-Systemen und der Infrastruktur der Organisation kommen. SaaS‑Dienste können beispielsweise die Bandbreite beeinträchtigen. Die fehlende Integration führt wiederum zu Lücken in den Sicherheitskontrollen, was eine schnelle Reaktion bei Sicherheitsvorfällen und das Beheben von Schwachstellen erschwert.
Es entsteht zudem eine unübersichtliche IT-Landschaft: Offiziell bereitgestellte Lösungen bleiben ungenutzt oder werden durch Schatten-IT beeinträchtigt. Auch die zukunftssichere und effiziente Planung von IT-Architektur und Kapazitäten kann leiden. Zudem kann Schatten-IT die Umsetzung von Migrationen oder Updates erheblich erschweren.
Reputationsschäden:
Die Offenlegungen von sensiblen Daten und Datenpannen schädigt natürlich das Vertrauen der Kunden, Partner, Investoren und anderer wichtiger Stakeholder. Das kann für Unternehmen und Organisationen existenzielle Folgen haben. Die Wiederherstellung von Vertrauen ist in der Regel ein sehr kostenintensives und zeitaufwändiges Unterfangen.
Abseits von Risiken im Bereich der Datensicherheit und Datenschutz kommt bei der Schatten-KI noch eine Risikoebene hinzu: Die Nutzung nicht autorisierter KI-Modelle kann die Qualität von Ergebnissen und Entscheidungen erheblich beeinträchtigen. Risiken wie verzerrte Datengrundlagen oder Modelldrift können fehlerhafte strategische Weichenstellungen nach sich ziehen oder die Qualitätsstandards einer Organisation aufweichen und beeinträchtigen.
Spotlight Messenger: Die Risiken privater Messenger-Apps im Unternehmen
Die Nutzung privater Chat-Apps wie z.B. WhatsApp oder Telegram im professionellen Kontext ist weit verbreitet und zeigt beispielhaft die erheblichen Risiken für Unternehmen durch Schatten-IT:
Mangelhafter Schutz von Unternehmens- und Kundendaten
Messenger für den Privatgebrauch sind meist nicht ausreichend geschützt, um sensible Daten auszutauschen. Häufig werden nicht einmal moderate Sicherheitsanforderungen erfüllt, und so können interne Firmendaten leicht nach aussen gelangen. Zudem sind diese Messenger im Normalfall nicht DSGVO-konform. Viele Chat-Apps unterliegen zudem den Gesetzmässigkeiten in den USA, welche nicht mit der DSGVO vereinbar sind, denn Dienste mit Sitz in den USA müssen den dortigen Behörden Zugang zu Kundendaten gewähren. Die Nutzung von Chat-Diensten aus den USA stellt daher ein Datenschutzrisiko dar.
Setzen Mitarbeitende WhatsApp als Messenger für die Kommunikation mit Kunden oder Arbeitskollegen ein, werden diese Nutzerdaten auf fremden Servern gespeichert und Metadaten mit dem Meta-Konzern zu Marketingzwecken geteilt.
Eine sichere Alternative sind Kommunikationslösungen wie Threema Work. Hier werden sensible Daten unter anderem durch Zero-Knowledge-Architektur, Metadaten-Minimierung und durchgängige Ende-zu-Ende-Verschlüsselung kompromisslos geschützt.
Fehlende Administrierbarkeit
Consumer-Messenger genügen auch hinsichtlich der Nutzer-Administration meist in keiner Weise den Anforderungen von Unternehmen. Privat genutzte Chat-Apps lassen sich zum Beispiel weder für die Mitarbeitenden vorkonfigurieren, noch können Funktionseinschränkungen vorgenommen werden. Sie ermöglichen beispielsweise keine Kontaktverifizierung (durch Vertrauensstufen) oder Beschränkung auf interne Kontakte wie es Threema Work anbietet, womit Vorfälle wie «Signalgate» vermieden werden können.
Ausserdem besteht bei Mitarbeitenden-Abgängen oder verlorenen Geräten bei Consumer-Messengern im Normalfall nicht die Möglichkeit, den Zugriff auf die App und die enthaltenen Unternehmensdaten zu entziehen, so wie es Threema OnPrem über die Funktion DualLock ermöglicht. Geschäftliche Inhalte zirkulieren auf diese Weise ungehindert in der privaten Sphäre ehemaliger Angestellter oder gelangen gar in falsche Hände. Was das Sicherheits- und Datenschutz-Niveau betrifft, sind diese Lösungen für geschäftliche Zwecke also gänzlich ungeeignet.
Welche Vorteile und Chancen bringt Schatten-IT mit sich?
Neben den zahlreichen genannten Risiken und Herausforderungen kann das Phänomen Schatten-IT jedoch auch positive Auswirkungen haben.
Ein zentraler Aspekt ist die Produktivitätssteigerung: Wenn Mitarbeitende feststellen, dass offizielle Systeme ihre Anforderungen nicht erfüllen, suchen sie sich oft selbst adäquate Anwendungen. So nutzen sie Werkzeuge, die besser zu ihren Tätigkeiten passen, wodurch sie häufig schneller und effizienter arbeiten.
Hinzu kommt die Mitarbeiterzufriedenheit: Umständliche, langwierige IT‑Freigaben bremsen das Engagement. Erhalten Mitarbeitende dagegen den Handlungsspielraum, passende Lösungen selbst zu wählen, steigen Zufriedenheit und Motivation – was sich positiv auf die Arbeitsqualität auswirkt.
Schatten-IT kann ausserdem bisher ungelöste Probleme beheben und bislang unbekannte Verbesserungspotenziale sichtbar machen. Solche bedürfnisorientierten, flexiblen Lösungen lassen sich nach erfolgreichem Praxistest standardmässig in die Unternehmens‑IT überführen. Das optimiert Abläufe und stärkt die Innovationsdynamik.
Insgesamt unterstützt der pragmatische Umgang mit neuen Tools Unternehmen dabei, wettbewerbsfähig zu bleiben, bessere Lösungswege zu finden und schneller auf Veränderungen im Markt oder technologische Entwicklungen zu reagieren.
Was tun gegen Schatten-IT?
Schatten-IT gänzlich bekämpfen zu wollen, wird kaum gelingen, vielmehr muss der Fokus auf Transparenz und Risikoreduktion liegen. Es gilt also zunächst, Schatten-IT überhaupt sichtbar zu machen, um sie letztlich auf offizielle Bahnen zu lenken und in brauchbare Lösungen zu überführen. Ziel ist es, eine vollständige Übersicht aller im Unternehmen genutzten SaaS-Anwendungen zu erhalten, um zu sehen, bei welchen Prozessen und in welchen Bereichen Handlungsbedarf herrscht, denn letztlich ist Schatten-IT ein Indiz für fehlende oder mangelhafte Alternativen. Dazu sollten Unternehmen eine umfassende IT-Inventur und Netzwerkanalyse durchführen.
1) Monitoring und technische Kontrolle der IT-Umgebung
Ein effektives Monitoring der IT-Landschaft mit geeigneten Überwachungs- und Analyseprogrammen schafft Transparenz für die IT, macht inoffizielle Systeme sichtbar und bremst Systemwildwuchs. Security-Werkzeuge wie etwa CASB-Lösungen (Cloud Access Security Broker) können Schatten-IT-Aktivitäten erkennen und unterbinden, dass nicht genehmigte Softwarelösungen unentdeckt bleiben. Dabei sollte Schatten-IT stets in die laufende Risikobewertung einbezogen werden.
Ergänzend tragen regelmässige IT-Audits und spezialisierte SaaS-Management-Instrumente dazu bei, versteckte IT-Assets aufzudecken und die Übersicht wiederherzustellen. Je grösser das Unternehmen ist, desto wichtiger werden automatisierte Entdeckungsmethoden.
SaaS-Management-Tools lassen sich in zwei Kategorien einteilen:
SaaS-Management-Plattformen (SMP)
SMPs helfen, die unkontrollierte Verbreitung von Software einzudämmen, Lizenzen effizient zu nutzen, Zugriffsrichtlinien durchzusetzen und die sichere Nutzung von Cloud-Software in allen Bereichen zu gewährleisten.
Zudem lassen sich SMPs und CASB-Lösungen kombinieren: So können SMPs etwa CASB-Daten nutzen, um ein präziseres Bild über Zugriff, Nutzung und Risiken von SaaS-Anwendungen zu erhalten.
«SaaS Security Posture Management»-Lösungen (SSPM)
SSPM-Tools können Sicherheitsprobleme wie Fehlkonfigurationen, Probleme mit Nutzerberechtigungen und Compliance-Risiken in SaaS-Anwendungen aufzeigen. Sie sind stärker sicherheitsorientiert, während SMPs breitere Verwaltungs- und Transparenzfunktionen bereitstellen.
2) Mitarbeiterbefragungen und Workshops
Neben der technischen Kontrolle ist es empfehlenswert, für diese Bestandsübersicht auch alle Abteilungen zu konsultieren und Informationen darüber einzuholen, welche Produkte genutzt werden und welche Probleme sie lösen sollen. Anonyme Befragungen können dabei helfen, die Hemmschwelle für ehrliche Antworten zu senken, um so die Verwertbarkeit und Qualität der Aussagen zu unterstützen.
3) Schatten-IT mit sicheren und unternehmenskonformen Alternativen ersetzen
Durch den gezielten Dialog zwischen IT und Fachabteilungen wird zudem ein besseres Verständnis geschaffen, wo der tatsächliche Bedarf liegt oder warum es zur Beschaffung alternativer Lösungen abseits der offiziellen IT-Lösungen kommt. So können dann Prozesse verbessert werden und problematische Anwendungen bestenfalls mit sicheren Alternativen ersetzt werden, die den Nutzungsgewohnheiten der Mitarbeitenden entsprechen.
Sichere Alternative
Threema Work als vollwertiger und geschützter Business-Messenger
Angesichts der Tatsache, dass Messenger häufig in Form von Schatten-IT genutzt werden, scheint ein Verbot von Messaging-Diensten im unternehmerischen Umfeld auf den ersten Blick naheliegend. Doch dieser Schritt hätte gleich zwei wesentliche Nachteile: Zum einen würde er den schnellen und unkomplizierten Informationsaustausch per Instant Messaging unterbinden und damit die Produktivität und die Effizienz kommunikativer Arbeitsprozesse bremsen, zum anderen würden dadurch die etablierten Kommunikationsgewohnheiten der Mitarbeitenden ausser Acht gelassen.
Sinnvoller ist es daher, unternehmensintern einen dedizierten Business-Messenger wie Threema Work bereitzustellen, der sowohl dem gewohnten Nutzungsverhalten der Beschäftigten entspricht als auch die notwendige Kontrolle über sensible Daten und ein hohes Mass an Sicherheit gewährleistet. Threema Work, das auch als Desktop-Version genutzt werden kann, verfügt über alle wesentlichen Funktionen, die Mitarbeitende von einem zeitgemässen Instant Messenger erwarten, sowie einige nützliche Zusatzfunktionen für die tägliche Zusammenarbeit und den Arbeitsalltag, z.B. die Ruhezeit-Regelung und die Umfrage-Funktion oder auch Bildschirmfreigabe. Darüber hinaus stehen umfassende Verwaltungsfunktionen zur Verfügung mit zentraler Konfiguration aller Nutzerkonten und Anpassung an Unternehmensrichtlinien. So ist die Mitarbeiterzufriedenheit gewahrt und das Risiko für Cyberangriffe, Reputationsschäden und hohe Geldbussen aufgrund DSGVO-Verstössen wesentlich minimiert.
Was kann präventiv gegen Schatten-IT getan werden?
Es gibt auch eine Reihe präventiver Massnahmen, die ergriffen werden können, um die Entstehung von Schatten-IT einzudämmen. Wichtig ist ein proaktiver Ansatz, der auf Kontrolle, Aufklärung, eine gute Zusammenarbeit mit der IT-Abteilung und geeignete Lösungen setzt, statt nur Verbote auszusprechen.
1) Mitarbeiterbedürfnisse im Blick, sichere Alternativen im Angebot
Da die Hauptursache von Schatten-IT darin besteht, dass keine geeigneten Lösungen vorhanden sind, sollte ein Fokus darauf gelegt werden, die Bedürfnisse der Mitarbeitenden zu kennen und attraktive, geprüfte und benutzerfreundliche Alternativen anzubieten, um ihren Bedarf zu decken. Um das umsetzen zu können, sind eine offene Kommunikation sowie transparente, unkomplizierte und zügige Prozesse zwischen den Fachabteilungen und den zuständigen IT-Verantwortlichen wesentlich. Mitarbeitende sollten zudem aktiv dazu eingeladen werden, ihre Wünsche und Anforderungen gegenüber der IT-Abteilung offen zu äussern, sobald die vorhandenen Produkte ihren Bedarf nicht mehr decken.
2) Private Geräte sicher einsetzen
Die MDM-Technologie (Mobile Device Management) unterstützt bei der Administration und Absicherung von Geräten, die im geschäftlichen Umfeld genutzt werden. So können auch die privaten Geräte von Angestellten, beispielsweise im Falle einer BYOD-Policy (Bring Your Own Device), erfasst werden und so notwendige Apps und Instrumente zur Überwachung der Gerätenutzung zur Verfügung gestellt werden. Auch Threema Work kann mit jedem MDM-System verteilt werden, das die Standards Android Enterprise (Android) und Managed App Configuration (iOS) unterstützt.
3) Gefahren bewusst machen, Schatten-IT eindämmen
Viele Beschäftigte nehmen die von ihnen genutzten Tools gar nicht als potenzielle Gefahr wahr und kennen die mit Schatten-IT verbundenen Risiken nicht. Deshalb sind Schulung und Sensibilisierung wichtig. Mitarbeitenden sollte anhand praxisnaher Beispiele bewusst gemacht werden, welche Gefahren Shadow IT birgt und wie sie selbst zum Schutz von Unternehmensdaten beitragen können. Wer etwa weiss, dass ein «schneller» Datei-Upload zu einem unbekannten Webdienst im schlimmsten Fall Datenverlust oder Bussgelder nach sich zieht, handelt deutlich vorsichtiger.
4) IT-Governance stärken, klare Richtlinien aufsetzen
Ein zentrales Mittel zur Vermeidung von Schatten-IT sind klare Regeln zur IT-Nutzung und Beschaffung. Viele Unternehmen haben jedoch noch immer keine entsprechenden, standardisierten Richtlinien.
Eine eindeutige IT- und Schatten‑IT-Richtlinie sollte festlegen,
welche Anwendungen und Cloud-Dienste genutzt werden dürfen,
wie neue Anwendungen (inkl. KI-Services wie ChatGPT) beantragt und genehmigt werden,
welche Daten nicht in externe Dienste eingespeist werden dürfen,
und welche Konsequenzen Verstösse haben.
Diese Richtlinien werden von der IT definiert, regelmässig überprüft und an neue Bedingungen angepasst sowie transparent kommuniziert. Vereinfachte, schlanke Genehmigungsprozesse helfen ausserdem dabei, zu verhindern, dass nicht genehmigte Lösungen genutzt werden.
Entscheidend ist, die IT-Abteilung klar als Servicepartner zu positionieren. Engagierte Teams können frühzeitig in die Auswahl neuer Softwarelösung eingebunden werden und bekommen Raum für eigene Vorschläge – so wird Schatten-IT zur Innovationsquelle statt zum Risiko. Zentrale Portale mit freigegebenen Softwarelösungen, Plug-ins, Tutorials und Support-Zugängen bieten Mitarbeitenden zudem attraktive, offiziell unterstützte Alternativen und schaffen dabei Transparenz.
Fazit
Schatten-IT ist längst kein Randphänomen mehr, sondern in vielen Organisationen tägliche Realität. Das ist mit erheblichen Risiken, aber auch mit echten Chancen verbunden. Ausgelöst wird Schatten-IT vor allem durch das Bedürfnis der Mitarbeitenden nach anwendungsbezogenen, schnell verfügbaren Lösungen, die ihren Arbeitsalltag erleichtern. Wo offizielle Tools zu kompliziert, unflexibel oder schlecht integriert sind, suchen sich Mitarbeitende eigene Wege, häufig über nicht freigegebene SaaS-Dienste, private Messenger oder KI-Anwendungen. Das steigert zwar kurzfristig die Produktivität und Zufriedenheit, erzeugt aber zugleich Sicherheitslücken, Compliance-Risiken, Datenwildwuchs und Zusatzkosten.
Statt Shadow IT allein mit Verboten zu begegnen und um jeden Preis zu bekämpfen, brauchen Unternehmen einen ausgewogenen Ansatz: Transparenz schaffen, Gefahren reduzieren und gleichzeitig das Innovationspotenzial nutzen. Technische Massnahmen wie Monitoring und Sicherheitslösungen helfen, die Tool-Landschaft sichtbar zu machen und Sicherheitsrisiken einzugrenzen. Genauso wichtig sind jedoch kulturelle und organisatorische Hebel: offene Kommunikation zwischen Fachbereichen und IT, einfache und zügige Freigabeprozesse, die Berücksichtigung von Nutzerbedürfnissen sowie regelmässige Schulung und Sensibilisierung der Mitarbeiter. Klare Richtlinien bilden den nötigen Rahmen. Werden diese Regeln verstanden, gelebt und von einer IT begleitet, die sich als Servicepartner versteht, kann die unsichtbare Gefahr gezielt in geregelte Bahnen gelenkt werden.
Wer Transparenz herstellt, sichere Alternativen wie einen datenschutzkonformen und sicheren Business-Messenger anbietet und Mitarbeitende aktiv involviert, verwandelt Schatten-IT von einer stillen Bedrohung in eine treibende Kraft für mehr Innovation, Effizienz und Wettbewerbsfähigkeit.
