Wissen > So vermeidest du eine Schatten-IT

So vermeidest du eine Schatten-IT

Lerne die Risiken der Schatten-IT kennen und erfahre, was du dagegen tun kannst.

Der Weg in die Cloud bringt viele Vorteile, aber auch neue Herausforderungen für IT-Teams mit sich. Eine der größten Herausforderungen ist die Schatten-IT – die Nutzung von Software und IT-Diensten ohne Genehmigung der IT-Abteilung.

In vielen unserer Gespräche mit IT-Verantwortlichen und IT-Teams zeichnet sich immer wieder das gleiche Bild ab: Ja, es ist bekannt, dass IT-Richtlinien bewusst umgangen und dadurch nicht autorisierte Anwendungen genutzt werden.

Aber es fehlt das richtige Werkzeug, um das Ausmaß einzuschätzen und die genauen Anwendungen zu identifizieren.

In diesem Leitfaden beleuchten wir zunächst, warum Mitarbeitende häufig diesen Weg wählen. Anschließend zeigen wir auf, wie mit den richtigen Werkzeugen Schatten-IT erkannt und in Zukunft minimiert werden kann.

Was ist Schatten-IT und warum ist sie ein Problem?

Schatten-IT bezeichnet jede Software oder jedes IT-System, das in einem Unternehmen ohne das Wissen oder die Genehmigung der IT-Abteilung verwendet wird. Mitarbeitende nutzen immer häufiger Anwendungen, Dienste oder Geräte, die nicht von der IT-Abteilung des Unternehmens genehmigt wurden.

Heutzutage konzentriert sich der Begriff Schatten-IT jedoch besonders auf die nicht genehmigte Nutzung von SaaS-Applikationen (Software-as-a-Service). Im Vergleich zu On-Premise-Lösungen sind die Hürden einer Installation von SaaS-Applikationen sehr gering. Das macht SaaS-Applikationen besonders anfällig für eine Schatten-IT.

Studien zeigen, dass die Schatten-IT seit der COVID-19-Pandemie um 59% zugenommen hat.

Warum Mitarbeiter auf Schatten-IT zurückgreifen

Mitarbeitende verwenden nicht genehmigte Tools, weil diese oft schneller oder komfortabler sind als die offiziell zur Verfügung gestellten Alternativen. Die Hauptgründe sind

Zeitdruck
IT-Freigabeprozesse sind zu langsam und gefährden die eigenen Termine der Fachabteilungen.
Komfort & Funktionalität
Vorhandene IT-Tools erfüllen nicht alle Anforderungen oder bieten nicht die neuesten Funktionen (z.B. KI-basierte Funktionen).
Unwissenheit:
Viele Mitarbeitende sind sich der Risiken nicht bewusst oder unterschätzen diese.

Die Risiken der Schatten-IT

1. Hohe Kosten und ineffiziente Ressourcennutzung

Eine Studie von Gartner zeigt, dass bis zu 40 % des IT-Budgets großer Unternehmen in Schatten-IT fließen. Hinzu kommen unnötige Ausgaben durch Einzelbuchungen von SaaS-Tools, die bei zentraler Beschaffung deutlich günstiger wären.

Darüber hinaus können redundante Abonnements und ungenutzte Lizenzen unnötige Kosten verursachen, die sich in der Jahresbilanz deutlich bemerkbar machen.

Werbeagentur / 220 Mitarbeitende

23% weniger Lizenzkosten.

Wie Albert Bauer mit saasmetrix ihre SaaS-Lizenzen optimiert.

2. Sicherheitsrisiken und Datenlecks

54 % der IT-Fachleute sehen in der Schatten-IT ein hohes Sicherheitsrisiko, da nicht autorisierte Tools nicht die erforderlichen Schutzmaßnahmen bieten.

Untersuchungen von IBM zeigen, dass 21 % der Datenschutzverletzungen auf nicht autorisierte IT-Ressourcen zurückzuführen sind. Die durchschnittlichen Strafen pro Datenschutzverletzung liegen in Deutschland bei 4,4 Millionen Euro.

Zudem führt Schatten-IT häufig dazu, dass sensible Unternehmensdaten in unsicheren Cloud-Diensten gespeichert werden, die nicht den internen Sicherheitsstandards entsprechen.

Dies erhöht das Risiko von unberechtigtem Zugriff, Datenverlust und Wirtschaftsspionage erheblich. Fehlende Verschlüsselung oder unzureichende Zugriffskontrollen in diesen Diensten erleichtern es Angreifern, Schwachstellen auszunutzen. Jedes dritte Unternehmen aus Deutschland und England waren bereits von einem Datenverlust aufgrund einer Schatten-IT betroffen.

3. Compliance-Verstöße und rechtliche Konsequenzen

Unternehmen unterliegen immer strengeren Datenschutz- und Compliance-Vorschriften wie der DSGVO oder branchenspezifischen Regelungen. Schatten-IT kann dazu führen, dass Unternehmensdaten ohne die erforderlichen Sicherheitsmaßnahmen verarbeitet werden, was erhebliche Bußgelder und Reputationsverluste nach sich ziehen kann.

Wenn ein Unternehmen beispielsweise personenbezogene Daten in einem nicht genehmigten Cloud-Dienst speichert, der nicht DSGVO-konform ist, kann dies schwerwiegende rechtliche Folgen haben.

In regulierten Branchen wie dem Finanz- oder Gesundheitswesen kann die Nichteinhaltung von Compliance-Richtlinien sogar zum Verlust von Lizenzen oder zu behördlichen Sanktionen führen.

Schatten-IT einfach und schnell aufdecken

Seien wir ehrlich: Es ist praktisch unmöglich, der Schatten-IT einen Riegel vorzuschieben – es wird immer Schlupflöcher geben. Aber es besteht zumindest die Hoffnung, unautorisierte SaaS-Anwendungen schnell und einfach identifizieren zu können.

Ein sich an die initiale Erkennung anschließender Prozess zur kontinuierlichen Überprüfung der Schatten-IT hilft zudem bei der langfristigen Eindämmung.

Hier einige Tipps:

1. Schatten-IT identifizieren

saasmetrix stellt verschiedene Werkzeuge zur Verfügung, um Schatten-IT effizient aufzudecken.

Google SSO & Microsoft SSO
Mit unseren SSO Anbindungen zu Google und Microsoft können Single-Sign-On Daten ausgelesen werden. Registriert sich ein Mitarbeiter über SSO bei einem SaaS-Produkt, wird diese Anwendung von saasmetrix erkannt – auch rückwirkend.
DATEV Import
Wir haben die Erfahrung gemacht, dass sich SaaS-Abonnements oft in ungewöhnlichen Kostenstellen verstecken – z.B. unter Reisekosten (kein Witz). Deshalb bieten wir einen DATEV-Import an, der die Buchungssätze automatisch analysiert. So lassen sich kostenpflichtige Anwendungen leicht aufdecken.
Browser-Erweiterung (coming soon)
Die kleinteiligste Lösung, um der Schatten-IT einen Strich durch die Rechnung zu machen. Mit Hilfe einer Browser-Erweiterung können alle SaaS-Anwendungen aufgedeckt werden. Dabei stellen wir sicher, dass dies im Einklang mit Datenschutz und Betriebsrat geschieht: Es werden nur URL-Daten erfasst, die tatsächlich SaaS-Anwendungen darstellen.

2. Mitarbeiter sensibilisieren & Feedback einholen

IT-Sicherheitsrichtlinien allein reichen nicht aus. Regelmäßige Schulungen und offene Gespräche mit den Fachabteilungen helfen, das Bewusstsein für die Risiken der Schatten-IT zu schärfen.

Wichtig: Mitarbeitende müssen sich sicher fühlen, Probleme offen anzusprechen, ohne Konflikte befürchten zu müssen.

3. Passende Tools bereitstellen

Die IT-Teams müssen sicherstellen, dass die offiziell genehmigten Anwendungen den Anforderungen der Fachabteilungen entsprechen. Regelmäßiges Feedback und die Evaluierung vorhandener Software sind entscheidend, um illegale Workarounds zu vermeiden.

4. Prozesse optimieren & kontinuierliche Kontrolle etablieren

Automatisierte SaaS-Genehmigungsprozesse erleichtern den Zugang zu sicheren Anwendungen.
Regelmäßige Audits und SaaS-Monitoring stellen sicher, dass neue Schatten-IT sofort erkannt wird.

Fazit

Für alle Unternehmen, die auf eine Cloud-First- oder Hybrid-Strategie setzen, ist ein Discovery-Tool unverzichtbar. Zu groß sind die Risiken hinsichtlich Compliance, Kosten und Datensicherheit.

Mit einem SaaS-Management-Tool wie saasmetrix lassen sich diese Risiken kostengünstig minimieren. Darüber hinaus hilft unsere Lösung nicht nur beim Erkennen von SaaS-Anwendungen, sondern auch bei deren Verwaltung und Optimierung.

Bist du bereit, alle SaaS-Tools in deinem Unternehmen aufzudecken?

Buche dir einen unverbindlichen Demo-Termin. Hier zeigen wir dir das Produkt und beantworten all deine Fragen.