KI & Automation

Schatten-IT

Schatten-IT bezeichnet Software, Cloud-Dienste und Geräte, die Mitarbeitende ohne Wissen und Freigabe der IT-Verantwortlichen beruflich nutzen – vom privaten Messenger für Kundenfotos bis zum frei registrierten Cloud-Speicher.

Schatten-IT ist der Oberbegriff für ungenehmigte Werkzeuge im Betrieb; ihre jüngste und am schnellsten wachsende Ausprägung ist die ungeregelte Nutzung von KI-Diensten, für die sich der Begriff Shadow AI etabliert hat.

In einfachen Worten

Schatten-IT entsteht aus Alltagsdruck: Ein Werkzeug fehlt oder ist umständlich, ein frei verfügbarer Dienst löst das Problem in Minuten – also wird er genutzt, ohne dass IT oder Geschäftsführung davon erfahren. Typische Formen sind private Messenger für die Baustellen-Kommunikation, kostenlose Cloud-Speicher für den Dateiaustausch, selbst registrierte Online-Werkzeuge für Umfragen oder Grafiken und zunehmend private KI-Konten (Shadow AI). Das Problem liegt in der fehlenden Sichtbarkeit: Niemand prüft Verträge und Auftragsverarbeitung, niemand verwaltet Zugänge, niemand weiß beim Ausscheiden eines Mitarbeiters, welche Firmendaten in welchen Konten liegen. Verlässt eine Information das Unternehmen über einen solchen Dienst, ist das ein Datenabfluss ohne Kontrollmöglichkeit. Schatten-IT ist zugleich ein nützliches Signal: Sie zeigt präzise, wo der offizielle Werkzeugkasten den Arbeitsalltag nicht abdeckt.

Wozu brauche ich das?

Das Thema gehört auf die Agenda, sobald ein Betrieb mehr als eine Handvoll digitaler Werkzeuge nutzt – also praktisch immer. Der geordnete Umgang beginnt mit einer Bestandsaufnahme: Welche Dienste sind tatsächlich im Einsatz, wer nutzt sie wofür? Darauf folgt die Entscheidung pro Dienst – offiziell übernehmen und sauber einrichten, durch eine freigegebene Alternative ersetzen oder begründet untersagen. Flankiert wird das durch eine Benutzerverwaltung mit klaren Zugängen und durch verständliche Regeln, welche Datenarten in welche Dienste dürfen – für KI-Dienste in Form einer KI-Nutzungsrichtlinie.

Beispiel aus der Praxis

In einem Handwerksbetrieb organisieren die Montage-Teams ihre Baustellenfotos über einen privaten Messenger, die Büro-Kollegin legt Angebote in einem kostenlosen Cloud-Speicher ab, und ein Geselle lässt Aufmaß-Notizen von einem frei zugänglichen KI-Dienst zusammenfassen. Keiner dieser Dienste ist geprüft oder vertraglich eingebunden; Kundenadressen und Projektdaten liegen verteilt in privaten Konten – ein schleichender Datenabfluss. Auffällig wird das erst, als ein Mitarbeiter ausscheidet und Projektfotos für die Gewährleistungs-Dokumentation fehlen – sie liegen in seinem privaten Konto. Der Betrieb reagiert mit einer Bestandsaufnahme, führt freigegebene Werkzeuge mit Firmen-Zugängen ein und regelt schriftlich, welche Daten in welche Dienste dürfen.

Wirtschaftlicher Nutzen

Ungeregelte Werkzeuge erzeugen Risiken, die im Schadensfall teuer werden: Verstöße gegen die DSGVO mangels vertraglicher Grundlage, verlorene Firmendaten in privaten Konten, fehlende Nachvollziehbarkeit gegenüber Kunden und Prüfern. Der geordnete Umgang kostet vor allem Klarheit – Bestandsaufnahme, Entscheidung, Regeln – und zahlt doppelt zurück: Die Risiken sinken, und die Bestandsaufnahme deckt auf, welche Werkzeuge dem Betrieb tatsächlich fehlen. Wer diese Lücken mit freigegebenen Lösungen schließt, beseitigt die Ursache und mit ihr das Symptom.

Typische Fehler

  • Schatten-IT pauschal verbieten, ohne die dahinterliegenden Bedürfnisse zu klären – die Nutzung verlagert sich dann nur tiefer ins Verborgene.
  • Davon ausgehen, dass es im eigenen Betrieb keine ungenehmigten Dienste gibt, weil niemand danach gefragt hat.
  • Keine freigegebenen Alternativen anbieten und trotzdem erwarten, dass praktische Werkzeuge ungenutzt bleiben.
  • Zugänge nicht zentral verwalten, sodass beim Ausscheiden von Mitarbeitenden Daten in privaten Konten zurückbleiben.
  • Die vertragliche Seite übersehen: Jeder Dienst, der personenbezogene Daten verarbeitet, braucht eine geprüfte Grundlage.

Worauf achten?

  • Mit einer sanktionsfreien Bestandsaufnahme beginnen: Welche Dienste sind im Einsatz und warum?
  • Pro Dienst entscheiden: offiziell übernehmen, ersetzen oder begründet untersagen.
  • Freigegebene Werkzeuge so auswählen, dass sie im Alltag mindestens so bequem sind wie die inoffiziellen.
  • Zugänge über eine zentrale Benutzerverwaltung führen, inklusive geordneter Übergabe beim Ausscheiden.
  • Die Regeln knapp und verständlich halten – eine Seite, die jeder kennt, wirkt mehr als ein ungelesenes Handbuch.

Häufig gestellte Fragen

Was ist Schatten-IT?

Software, Cloud-Dienste und Geräte, die Mitarbeitende ohne Wissen und Freigabe der IT-Verantwortlichen beruflich nutzen – etwa private Messenger, frei registrierte Cloud-Speicher oder eigene KI-Konten.

Warum entsteht Schatten-IT?

Meist aus praktischen Gründen: Ein Werkzeug fehlt oder ist umständlich, ein frei verfügbarer Dienst löst das Problem sofort. Die Nutzung geschieht selten in böser Absicht – sie zeigt, wo der offizielle Werkzeugkasten Lücken hat.

Welche Risiken bringt Schatten-IT mit sich?

Firmendaten liegen in privaten, unverwalteten Konten, Datenschutz-Anforderungen wie ein Auftragsverarbeitungsvertrag bleiben ungeprüft, und beim Ausscheiden von Mitarbeitenden gehen Daten und Zugänge verloren.

Was unterscheidet Schatten-IT von Shadow AI?

Shadow AI ist die KI-spezifische Ausprägung der Schatten-IT: die Nutzung von KI-Diensten ohne Freigabe und Regeln. Sie gilt als besonders riskant, weil Eingaben dort als freier Text jede Art vertraulicher Information enthalten können.