Nutzen Mitarbeiter eigenmächtig IT-Ressourcen wie Hardware, Software oder IT-Services ohne Zustimmung oder Wissen der IT-Abteilung, spricht man von sogenannter Schatten-IT. Für die Mitarbeiter kann das praktisch sein, für das Unternehmen stellt Schatten-IT aber eine Gefahr für den Datenschutz, die IT-Sicherheit und die Compliance dar.
Unter Schatten-IT versteht man die Nutzung von IT-Ressourcen ohne Wissen oder Zustimmung der IT-Abteilung eines Unternehmens oder einer Behörde.
Als Schatten-IT (englisch Shadow IT) werden IT-Systeme, Anwendungen oder Services bezeichnet, die die Mitarbeiter eines Unternehmens ohne Wissen oder Zustimmung der zuständigen IT-Abteilung für ihre Arbeit verwenden. Die Ressourcen werden nicht vom IT-Bereich verwaltet und sind auch nicht in das IT-Service-Management des Unternehmens eingebunden. Mitarbeiter oder Fachabteilungen beschaffen die IT-Ressourcen eigenmächtig oder setzen für sie verfügbare IT-Ressourcen eigenmächtig ein. Das geschieht in der Regel ohne böswillige Absicht, denn für die Mitarbeiter ergeben sich durch den Einsatz von Schatten-IT Arbeitserleichterungen.
Schatten-IT ist für das Unternehmen aber mit zahlreichen Risiken und Gefahren verbunden. Die offiziell nicht genehmigte und nicht beaufsichtigte Nutzung ungeprüfter oder nicht freigegebener IT-Ressourcen birgt erhebliche Gefahren für den Datenschutz, die IT-Sicherheit und die Compliance im Unternehmen. Die Beliebtheit von Remote-Arbeitsmodellen und die zunehmende Nutzung von internet- und cloudbasierten Services haben in den letzten Jahren in vielen Unternehmen zu einer Zunahme der Schatten-IT geführt.
Was sind typische Ursachen für die Entstehung von Schatten-IT?
Schatten-IT entsteht üblicherweise, wenn Mitarbeiter oder Fachabteilungen bestimmte Anforderungen an die für ihre Arbeit benötigten IT-Ressourcen haben, diese aber nicht oder nur ungenügend von den offiziell von der IT-Abteilung bereitgestellten Services und Ressourcen abgedeckt werden. Ist dies der Fall, werden die Mitarbeiter oder Abteilungen oft selbst aktiv und begeben sich auf die Suche nach Lösungen, die ihre Anforderungen erfüllen.
Weshalb die offiziellen, internen IT-Lösungen nicht den Anforderungen der Mitarbeiter entsprechen, ist beispielsweise auf personell, finanziell oder fachlich schlecht ausgestattete oder überlastete IT-Abteilungen zurückzuführen. Anfragen nach bestimmten Anwendungen oder Tools aus den verschiedenen Unternehmensbereichen werden dann häufig zurückgestellt oder ungenügend bearbeitet. Reagiert die IT-Abteilung langsam oder gar nicht, beginnen die Mitarbeiter selbst, nach effizienteren, intuitiven Lösungen zu suchen. Eine hohe Autonomie der einzelnen Fachabteilungen, dezentrale Organisationsstrukturen und eine steigende Technologie-Affinität der Mitarbeiter fördern die Suche nach Alternativen oder die Entwicklung eigener Lösungen.
Weitere Ursachen für die Entstehung von Schatten-IT sind:
schlechte organisatorische Abstimmung zwischen den Fachabteilungen und der zuständigen IT-Abteilung
zu hohe oder zu geringe Formalisierung der Zusammenarbeit zwischen Fachabteilungen und dem IT-Bereich
unklare Verantwortlichkeiten in der IT-Betreuung der Fachabteilungen
einfache Zugänglichkeit von Anwendungen und Services außerhalb der offiziellen IT-Strukturen (zum Beispiel von Cloud-Diensten)
fehlendes Bewusstsein der Mitarbeiter für die mit der Schatten-IT verbundenen Risiken
Was sind typische Beispiele für Schatten-IT in einem Unternehmen?
Schatten-IT kann alle Arten von IT-Ressourcen im Unternehmen betreffen. Sie umfasst Hardware, Software, Anwendungen, Tools, Apps oder IT-Services. Auch die nicht genehmigte oder nicht beaufsichtigte Verwendung von Anwendungen und Tools aus dem Bereich der Künstlichen Intelligenz fällt prinzipiell unter den Begriff der Schatten-IT. Für dieses Szenario wurde der an Schatten-IT angelehnte Begriff Schatten-KI geschaffen.
Typische Beispiele für Schatten-IT in einem Unternehmen sind:
die Verwendung von privaten Cloud-Speicherdiensten wie Dropbox, Microsoft OneDrive oder Google Drive und andere für den Austausch geschäftlicher Daten oder Dokumente
die Verwendung von privaten Messenger-Diensten wie WhatsApp, Zoom, Signal oder Telegram für die Kommunikation mit Mitarbeitern, Kunden oder Geschäftspartnern
die Verwendung von privaten E-Mail-Accounts für die geschäftliche Kommunikation
die Verwendung von eigenen oder selbst beschafften mobilen Geräten wie Laptops, Smartphones oder Tablets für geschäftliche Zwecke
die Einbindung und Verwendung von nicht offiziell von der IT-Abteilung beschafften Geräten wie Druckern, Scannern, Netzwerkkomponenten (zum Beispiel Router oder Switches) oder Speichergeräten (zum Beispiel USB-Sticks oder externe Festplatten)
die Nutzung von privaten oder nicht genehmigten SaaS-Anwendungen wie Office- oder Kollaborationstools
die Nutzung von nicht offiziell vom Unternehmen freigegebenen KI-Anwendungen oder -Tools wie Chatbots oder Bildgeneratoren (zum Beispiel ChatGPT, Gemini, Copilot, DeepSeek, Midjourney, DALL-E und andere)
die Nutzung von individuell entwickelter Software oder selbst programmierten Anwendungen (zum Beispiel eigenentwickelte Excel- oder Access-basierte Anwendungen)
die Verwendung von nicht genehmigten Videokonferenz-Tools
die Verwendung von nicht freigegebenen Produktivitäts-Apps der Kunden beispielsweise für die gemeinsame Projektarbeit
die Nutzung von privaten Social-Media-Accounts für den geschäftlichen Austausch
Welche Risiken und Gefahren entstehen durch Schatten-IT?
Schatten-IT ist für die Unternehmen mit erheblichen Risiken und Gefahren verbunden. Sie werden durch die fehlende Kontrolle und mangelhafte Transparenz der eigenmächtig von den Mitarbeitern oder Fachabteilungen genutzten IT-Ressourcen verursacht. So können diese Ressourcen beispielsweise Sicherheitslücken oder Schwachstellen enthalten, die Datenlecks verursachen oder als Einfallstor für Cyberattacken und Malware dienen. Aufgrund der Nichtbeaufsichtigung durch die IT-Abteilung bleiben solche Sicherheitslücken oder Schwachstellen oft unbemerkt und werden nicht durch Sicherheitsupdates oder Patches behoben. Letztendlich kann Schatten-IT zu einem mehr oder weniger vollständigen Kontrollverlust über die IT-Ressourcen führen.
Schatten-IT stellt auch eine Gefahr für den Datenschutz und die Datensicherheit dar. Werden sensible geschäftliche Informationen oder personenbezogene Daten beispielsweise auf Cloud-Speichern von Anbietern aus Drittstaaten abgelegt, die die Anforderungen hinsichtlich des Datenschutzes und der Datensicherheit nicht erfüllen, kann es zu Datenschutzverletzungen, unbefugten Datenzugriffen oder zu unerwünschtem Datenabfluss kommen. Der Verstoß gegen Datenschutzrichtlinien und andere gesetzliche Vorschriften oder gegen branchenspezifische Vorgaben führt unter Umständen zu Compliance-Problemen und hat Geldstrafen oder rechtliche Konsequenzen für das Unternehmen zur Folge.
Ein weiteres Risiko bei der Verwendung von Schatten-IT sind Ineffizienzen im Unternehmen. Es entstehen unnötige Doppelstrukturen und eine unübersichtliche IT-Landschaft, die zu höherem Aufwand, Doppelarbeit und unnötigen Kosten im IT-Support und in der IT-Integration führen. Aufwendig bereitgestellte offizielle IT-Ressourcen bleiben unter Umständen ungenutzt oder werden von der Schatten-IT gestört. Geschäftsprozesse, die auf gemeinsam bereitgestellten Daten basieren, werden ineffizient oder fehlerhaft. Es drohen unternehmensweit inkonsistente Daten. Die Zukunftsfähigkeit und effiziente Planung der IT-Architektur und IT-Kapazitäten können ebenfalls beeinträchtigt sein. Schatten-IT beeinträchtigt unter Umständen auch die Ausführung von Veränderungsmaßnahmen wie Migrationen oder Updates.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schatten-IT ist aber nicht ausschließlich mit Gefahren und Risiken verbunden. Sie kann auch positive Auswirkungen für ein Unternehmen haben. Sie stellt Lösungen für bisher ungelöste Probleme bereit und ermöglicht es, bestimmte Arbeitsaufgaben schneller und effizienter zu lösen. Es entstehen intuitive, individuelle und flexible Lösungen, die sich bei einem erfolgreichen Einsatz in die offizielle IT-Landschaft und in die offiziellen Arbeitsabläufe integrieren lassen. Bisher unentdeckte Verbesserungspotenziale werden erschlossen und Prozesse optimiert. Die Innovationskraft des Unternehmens steigt und Mitarbeiter arbeiten zufriedener und motivierter.
Mit welchen Maßnahmen kann die Entstehung von Schatten-IT verhindert werden?
Um das Entstehen von Schatten-IT wirksam zu verhindern, können verschiedene präventive Maßnahmen ergriffen werden. Zu diesen zählen beispielsweise eine offene Kommunikation und transparente, flüssige Prozesse zwischen den Fachabteilungen und den zuständigen IT-Bereichen. Ebenfalls sinnvoll sind eine schnelle und unkomplizierte Bereitstellung benutzerfreundlicher und effizienter IT-Lösungen, die Sensibilisierung der Mitarbeiter hinsichtlich der Risiken und Gefahren von Schatten-IT, die Definition klarer Richtlinien für die Nutzung von IT-Ressourcen und ein effektives Monitoring der IT-Landschaft mit geeigneten Überwachungs- und Analysetools, um inoffizielle Systeme und IT-Wildwuchs sofort zu erkennen und zu unterbinden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ad/0f/ad0f8362c14619bd187093e55ad6b03d/0126456680v2.jpeg "Schatten-IT erleichtert zwar in Unternehmen manchmal Abläufe, bringt aber Sicherheitsrisiken und Produktivitätsverluste mit sich. (Bild: © robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/be/babe0009324b8e066738f8cf4c6f4170/0121770909v1.jpeg "Thomas Kranz von Trusted Advisor erläutert die Gefahren, die von Schatten-IT ausgehen, und zeigt, wie man mit dem Thema umgehen sollte. (Bild: www.trusted-advisor.com)")
:quality(80)/p7i.vogel.de/wcms/05/b1/05b1c56184fdb1f3a6f0d25d4a66deeb/0120512318v1.jpeg "Der Autor: Alexander Laubert ist Director DACH bei Lakeside Software (Bild: ADRIANPORTMANN)")
:quality(80)/p7i.vogel.de/wcms/54/46/54469e878244114e33c5d1bce7c72572/0109534137.jpeg "Die ideale Welt, in der IT hundertprozentig sicher ist, bleibt ein Wunschtraum, auch mit Zero Trust. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/4d/5d4d44455cc612095dbe56031237c9fa/0126586834v2.jpeg "Unter Schatten-KI versteht man den nicht genehmigten, unkontrollierten Einsatz von KI-Systemen und -Tools in Unternehmen und Behörden. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c5/f5/c5f5dc316fe9d11d9fd989ccbfd72ea7/0123465372v1.jpeg "Alexander Laubert, Director DACH bei Lakeside: „Schatten-IT kann dazu führen, dass sensible Daten außerhalb der kontrollierten und sicheren Unternehmensumgebung gespeichert und verarbeitet werden. Dies erhöht das Risiko von Verstößen gegen Datenschutzgesetze und kann zu erheblichen Strafen führen – und mit dem zunehmenden Einsatz von KI durch Mitarbeiter wird dieses Problem noch verschärft.“ (Bild: ADRIANPORTMANN)")