Was ist Shadow IT?
Stell Dir Dein Unternehmen wie einen Eisberg vor. Sichtbar ist nur die Spitze, also die offizielle IT, die Du und die Geschäftsleitung bewusst eingeführt habt. Darunter aber, unsichtbar für die meisten, schwimmt eine zweite Welt aus Tools und Diensten, die Dein Team selbstständig in Betrieb genommen hat.
Genau das ist Shadow IT. Sie umfasst alle Anwendungen, Cloud-Dienste und Geräte, die ohne Wissen der IT zum Einsatz kommen. Vom privaten Cloud-Speicher über WhatsApp-Gruppen bis zu KI-Tools wie ChatGPT, kurz alles, was am offiziellen Freigabeprozess vorbeiläuft.
Das Problem dabei: Diese Tools laufen auf Servern, die Du nicht kontrollierst. Du weisst nicht, wo die Daten liegen, wer darauf zugreifen kann oder was passiert, wenn der Anbieter morgen seinen Dienst einstellt.
Welche Gefahren stecken dahinter?
Datenabfluss in fremde Hände
Sobald ein Mitarbeiter ein Dokument in ein nicht freigegebenes Tool kopiert, verlassen Deine Firmendaten Dein Unternehmen. Vertrauliche Verträge, Kundendaten oder Preislisten landen bei Anbietern, deren Geschäftsmodell oft auf der Auswertung genau dieser Daten basiert. Im Klartext: Du bezahlst nichts und bekommst nichts geschenkt, sondern bezahlst mit dem, was Du eigentlich schützen müsstest.
Sicherheitslücke durch ungeprüfte Tools
Jedes neue Tool ist eine zusätzliche Tür in Dein Unternehmen. Apps ohne Sicherheitsupdates, ohne Zwei-Faktor-Anmeldung und ohne Verschlüsselung sind genau jene Türen, die Angreifer suchen. Eine einzige schwache Stelle reicht, damit ein gestohlenes Passwort oder eine Erpressungssoftware plötzlich Zugriff auf Dein ganzes Unternehmen bekommt.
Wo Shadow IT in KMU am häufigsten entsteht
Shadow IT entsteht selten aus böser Absicht, sondern aus Bequemlichkeit oder Zeitdruck. Hier sind fünf typische Szenarien, die wir bei fast jedem KMU antreffen.
Kundendaten in ChatGPT
Ein Mitarbeiter lässt ChatGPT eine Offerte formulieren, inklusive echter Kundennamen, Preisen und interner Details. Ab diesem Moment liegen diese Daten bei OpenAI.
Interne Absprachen über WhatsApp
Das Projektteam tauscht sich in einer privaten WhatsApp-Gruppe aus und teilt dabei Preislisten, Kundeninfos und Vertragsdetails. Das alles passiert auf privaten Handys und ausserhalb Deiner Kontrolle.
Private Dropbox als schneller Umweg
Weil der offizielle Weg zu lange dauert, geht die 500 MB grosse Präsentation über den privaten Dropbox-Account an den Kunden, inklusive sämtlicher interner Kommentare.
Private Accounts mit Firmen-Adresse
Ob Canva, Miro, Trello oder Notion: Jeder meldet sich an, wie er gerade Bedarf hat, und niemand weiss genau, wer wie viele Accounts besitzt. Und beim Austritt eines Mitarbeiters bleibt alles davon bestehen.
USB-Sticks mit Firmendaten
Um schnell etwas ins Homeoffice mitzunehmen, reicht ein USB-Stick ohne Verschlüsselung. Irgendwann landet genau dieser dann im Zug oder auf dem Parkplatz.
Das revidierte Schweizer Datenschutzgesetz gilt seit dem 1. September 2023.
Fliessen Kundendaten über Shadow IT ab, hast Du eine Meldepflicht gegenüber dem EDÖB. Bei DSGVO-relevanten Kunden drohen zusätzlich Bussen. Wer nicht weiss, wo seine Daten liegen, kann nicht melden. Und nicht melden ist keine Option.
ChatGPT und die neue Welle
Seit ChatGPT, Claude und Gemini frei verfügbar sind, nutzt fast jeder Mitarbeiter KI am Arbeitsplatz, oft ohne dass die IT davon weiss. Es werden Offerten geschrieben, Verträge übersetzt und Kundendaten analysiert, in den meisten Fällen mit der kostenlosen Version.
Das Problem dabei: Bei Gratis-KI-Diensten fliessen Deine Eingaben in das Training der nächsten Modellversion ein. Was Du heute hineinkopierst, kann morgen in der Antwort eines fremden Nutzers auftauchen.
Ein Mitarbeiter kopiert einen Kundenvertrag in ChatGPT und bittet um eine Zusammenfassung. In diesem Moment verlässt ein internes Dokument Dein Unternehmen und landet in einem System, das Du weder kontrollierst noch kennst. Rechtlich gesehen ist das bereits ein Datenschutzvorfall.
Warum Verbieten nicht funktioniert
Der erste Reflex vieler Unternehmen ist ein pauschales Verbot: «Niemand darf ChatGPT nutzen» oder «WhatsApp ist für Firmenthemen tabu». Das klingt logisch, funktioniert in der Praxis aber nicht.
Deine Mitarbeiter sind nicht bösartig, sondern wollen einfach ihre Arbeit erledigen. Wenn das offizielle Tool zu umständlich ist oder eine Freigabe drei Wochen dauert, greifen sie zwangsläufig zum nächstbesten. Ein Verbot macht das nicht rückgängig, sondern verschiebt die Shadow IT nur tiefer in den Untergrund, wo Du sie noch schlechter erkennst.
Was gegen Shadow IT wirklich hilft
Awareness
Kurze Inputs, praxisnah und regelmässig
Klare Spielregeln
Wer darf was, von wo, mit welchem Gerät
Bessere Alternativen
Offizielle Werkzeuge, die wirklich taugen
Sichtbarkeit schaffen
Wissen, was wirklich im Unternehmen läuft
Das Fundament ist technisch, die Spitze menschlich.
Die 4 Säulen im Detail
Sichtbarkeit schaffen
Du kannst nur schützen, was Du siehst. Eine ehrliche Bestandsaufnahme zeigt Dir, welche Dienste Dein Team tatsächlich nutzt, und in dieser Liste tauchen regelmässig Anwendungen auf, die niemand auf dem Schirm hatte. Erst wenn Du diesen Ist-Zustand kennst, lässt sich überhaupt entscheiden, was bleiben darf und was ersetzt gehört.
Bessere Tools bereitstellen
Taugt die offizielle Alternative, braucht niemand einen Umweg über private Wege. Für jeden Anwendungsfall gibt es ein passendes, sauber eingerichtetes Werkzeug, das genauso bequem ist wie die private Lösung, aber Deine Daten in Deinem Unternehmen hält. Stimmt diese Voraussetzung, verschwindet der grösste Teil der Shadow IT ganz von selbst.
Klare Spielregeln setzen
Klare Regeln greifen rund um die Uhr automatisch, ohne dass Du eingreifen musst. Wer darf von wo auf welche Daten zugreifen? Welche Geräte sind erlaubt und welche nicht? Was passiert, wenn ein Gerät verloren geht? Sind diese Fragen einmal sauber beantwortet und in der IT hinterlegt, schützt das Deine Daten konstanter als jede einzelne Schulung. Das Grundprinzip dahinter erklären wir in den Blogs Zero Trust für KMU und MFA für KMU.
Awareness aufbauen
Am Ende entscheidet Dein Team, ob sensible Daten in einem fremden Tool landen. Kurze, regelmässige Impulse wirken hier deutlich besser als eine einmalige Schulung im Jahr, weil sie das Thema im Bewusstsein halten. Es geht nicht ums Verbieten, sondern um ein gemeinsames Verständnis dafür, warum es die Regeln gibt. Mehr dazu im Blog Security Awareness für KMU.
So gehen wir bei HEAD IT Solutions vor
Wir gehen Shadow IT strukturiert an und verstehen sie als gemeinsame Aufgabe zwischen IT, Management und Team. In vier aufeinander aufbauenden Schritten schaffen wir Transparenz, finden bessere Wege, vereinbaren klare Regeln und nehmen Dein Team mit. Als Microsoft Solutions Partner für Modern Work setzen wir dabei auf bewährte Bausteine aus dem Microsoft-365-Ökosystem, immer passend auf Deine Grösse und Branche zugeschnitten.
Bestandsaufnahme
Wir verschaffen Dir den ersten ehrlichen Überblick. Welche Dienste sind im Einsatz, wo liegen die Daten und wo sind die grössten Risiken. Du siehst zum ersten Mal das ganze Bild.
Alternativen einrichten
Für jeden Anwendungsfall finden wir mit Dir einen Weg, der für Dein Team funktioniert. Bequem genug, dass niemand mehr auf eigene Faust ausweichen muss.
Leitplanken setzen
Gemeinsam mit Dir klären wir, was erlaubt ist und was nicht. Klare Regeln, die im Hintergrund greifen, ohne dass Dein Team im Alltag etwas davon merkt.
Team schulen
Kurz, praxisnah, regelmässig. Dein Team versteht, warum die Regeln sinnvoll sind und wie es selbst zur Sicherheit beiträgt.
Shadow IT lässt sich nicht zu 100 Prozent verhindern.
Neue Tools erscheinen schneller, als jeder Freigabeprozess hinterherkommt. Private Handys in privaten Netzwerken liegen sowieso ausserhalb Deines Zugriffs, und Dein Team findet immer einen Weg, wenn der Druck steigt. Es geht deshalb nicht um Perfektion, sondern darum, dass Deine wichtigsten Daten zuverlässig geschützt bleiben.
Fazit
Shadow IT kommt nicht von aussen, sondern wächst im Inneren Deines Unternehmens, meistens aus guten Absichten heraus. Verbieten bringt nichts, und komplett verhindern lässt sie sich auch nicht. Aber Du kannst sie sichtbar machen und Dein Team so vorbereiten, dass aus einem Risiko kein Schaden wird.
Am Ende löst Technik allein dieses Thema nicht, denn die entscheidende Säule ist Dein Team. Eine gute Security-Awareness ist deshalb kein Add-on, sondern Dein wichtigster Schutz gegen Shadow IT.