Schatten-IT: Kosten, Risiken und Verbesserung der Software Experience

Compliance-Optimierung Das Dilemma der Schatten-IT

16.01.2026 Von Sebastian Fleischmann 3 min Lesedauer

Anbieter zum Thema

Pendo.io Germany GmbH

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Fsas Technologies GmbH

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Schatten-IT verursacht unnötige Kosten und kann zu Sicherheitsrisiken führen. So können IT-Teams Risiken reduzieren und die Software Experience ihrer Mitarbeitenden verbessern.

Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern.(Bild: ra2 studio - stock.adobe.com) — Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern.
(Bild: ra2 studio - stock.adobe.com)

CIOs träumen von einer 100-prozentigen Software-Compliance, doch die Realität sieht in aller Regel anders aus. Mitarbeitende, die von den für sie bereitgestellten Lösungen und Technologien frustriert sind, basteln sich eigene Workarounds oder verwenden nicht genehmigte Apps und Software. Die Kosten für ungenutzte oder redundante Software belasten Unternehmen bereits mit mehr als 537 Millionen US-Dollar pro Jahr. Schatten-IT verstärkt diese Risiken noch.

Erschwerend kommt hinzu, dass Mitarbeitende heute sofortigen Zugriff auf KI-gesteuerte Tools und Low-Code- oder No-Code-Plattformen haben. Dies macht es einfacher denn je, offizielle IT-Kanäle zu umgehen. Gartner prognostiziert gar, dass bis zum Jahr 2027 nicht weniger als 75 % der Mitarbeiter Technologien kaufen oder entwickeln werden, die außerhalb der Kontrolle der IT stehen.

Schatten-IT erleichtert zwar in Unternehmen manchmal Abläufe, bringt aber Sicherheitsrisiken und Produktivitätsverluste mit sich. (Bild: © robsonphoto - stock.adobe.com)

Warum stumpfes Blockieren keine Lösung ist

Viele IT-Verantwortliche reagieren darauf mit Download-Beschränkungen oder der Sperrung von Systemen. Eine solche Vorgehensweise bekämpft aber nur die Symptome, nicht die Ursachen. Mitarbeitende greifen nicht aus böser Absicht auf nicht genehmigte Software zurück, sondern weil die offiziell eingesetzten Tools zu kompliziert zu bedienen sind oder den Anforderungen der Anwender nicht entsprechen.

Die deutlich cleverere Strategie ist daher ein diagnostischer Ansatz:

Fragen Sie nach dem Grund. Sammeln Sie Feedback direkt von den Mitarbeitenden, um Probleme und Schwachstellen zu erkennen.

Messen Sie die Nutzung. Tracken Sie wichtige Kennzahlen wie monatlich aktive Nutzer (Monthly Active User/MAU), die Feature-Akzeptanz und Net Promoter Scores (NPS), also die Weiterempfehlungsrate.

Behalten Sie das große Ganze im Auge und verschaffen Sie sich einen Überblick. Analysen wie die Darstellung von Workflow-Prozessen zeigen in Kombination mit visuellen Daten wie Session Replays auf, wo genau Nutzer Schwierigkeiten haben.

Die daraus gewonnenen Erkenntnisse ermöglichen es IT-Teams, offizielle Tools zu optimieren und dadurch die Versuchung zu verringern, andere Wege zu gehen. Neue Analysetools und KI-Agenten erleichtern zudem die Analyse und Bewertung der Nutzung von Unternehmenssoftware. Sie verschaffen Führungskräften einen klaren Überblick über wichtige Nutzungsmetriken wie beispielsweise:

Workflow-Produktivität, also die Zeit, die Mitarbeitende benötigen, um geschäftskritische Workflows abzuschließen.

Prozessakzeptanz, eine Aktivitätskennzahl, die misst, wie viele Benutzer geschäftskritische Aufgaben ausführen.

Anwendungsakzeptanz. Diese Kennzahl misst, wie viele Benutzer eine bestimmte Anwendung oder ein bestimmtes Tool nutzen.

Return on Investment (ROI). Dabei sollte die IT den Erfolg einer Anwendung oder eines digitalen Projekts immer auf Basis des Mehrwerts messen, der dadurch für das Unternehmen entsteht.

Durch Einblicke in die Workflow-Prozesse der Benutzer wird sichtbar, wie Anwender vorgehen und an welcher Stelle sie in der Software möglicherweise nicht weiterkommen. Diese Erkenntnisse können dazu genutzt werden, um Mitarbeitende bei jedem Schritt des Prozesses zu unterstützen, indem die Benutzererfahrung innerhalb der Anwendung verbessert wird oder zusätzliche Schulungen und Trainings angeboten werden.

Transparenz, Automatisierung und Integration spielen bei der Eindämmung von Schatten-IT und technischen Schulden eine wichtige Rolle. (Bild: sdecoret - stock.adobe.com)

Compliance einfach und agil ermöglichen

Compliance ist wichtig. Dies gilt insbesondere bei regulatorischen Vorschriften, die potenziell hohe finanzielle Strafen nach sich ziehen können (beispielsweise EU-DSGVO). Gleichzeitig ist es nicht immer einfach, mit den kontinuierlichen Änderungen der Vorgaben Schritt zu halten. Um negative Effekte zu reduzieren, können IT-Verantwortliche Compliance in die täglichen Workflows integrieren.

Dies kann beispielsweise automatisierte In-App-Meldungen umfassen, die die Benutzer durch Onboarding-Prozesse führen. Eine weitere Möglichkeit sind On-Demand-Ressourcen wie etwa Video-Tutorials, auf die die Benutzer je nach Bedarf zugreifen können. Wenn Compliance mühelos erscheint, steigt die Einhaltung sprunghaft an.

Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (©Murrstock - stock.adobe.com)

Sicherheitsrisiken durch kontinuierlichen Support eindämmen

Sicherheitsrisiken entstehen und wachsen vor allem dann, wenn Mitarbeiter sich der Gefahren im Zusammenhang mit genehmigten und nicht genehmigten Apps nicht bewusst sind. Hinzu kommt, dass aufgrund verwirrender Benutzeroberflächen möglicherweise nicht die richtigen Sicherheitseinstellungen aktiviert sind. Dies kann die sensiblen Informationen eines Unternehmens anfällig für Datenpannen, Diebstahl und Ransomware-Angriffe machen.

CIOs können diese Risiken mindern, indem sie eine Sicherheitskultur mit einer Mischung aus Schulungen und intelligenten Technologielösungen aufbauen. Folgende Maßnahmen können dabei ergriffen werden:

Einsatz spontaner, direkter „Mikro-Schulungen“, nicht nur während jährlicher Workshops.

Analysen nutzen, um riskante Verhaltensweisen zu erkennen und sofortige Korrekturmaßnahmen einzuleiten.

Benutzeroberflächen mit Blick auf Sicherheitseinstellungen einfach und intuitiv gestalten, damit Best Practices auch tatsächlich eingehalten werden.

Alexander Laubert, Director DACH bei Lakeside: „Schatten-IT kann dazu führen, dass sensible Daten außerhalb der kontrollierten und sicheren Unternehmensumgebung gespeichert und verarbeitet werden. Dies erhöht das Risiko von Verstößen gegen Datenschutzgesetze und kann zu erheblichen Strafen führen – und mit dem zunehmenden Einsatz von KI durch Mitarbeiter wird dieses Problem noch verschärft.“ (Bild: ADRIANPORTMANN)

Der Schlüssel zur Risikominderung und Verbesserung der Software Experience

Eines ist klar: Mitarbeitende werden immer Fehler machen. IT-Führungskräfte können ihre Unternehmen aber besser schützen und ihre Mitarbeitenden stärken, indem sie sich darauf konzentrieren, deren Verhalten zu verstehen, die Usability der Software zu verbessern und Compliance und Sicherheit nahtlos in die täglichen Arbeitsabläufe zu integrieren.

Über den Autor: Sebastian Fleischmann ist Head of Germany bei Pendo.

(ID:50678079)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.