Irgendwo in fast jedem Unternehmen läuft gerade eine WhatsApp-Gruppe, in der Kollegen Kundendaten besprechen. Eine Kollegin hat Projektdateien in ihre private Dropbox geladen, um abends von zu Hause weiterzuarbeiten. Der Außendienst hat sich ein Projektmanagement-Tool installiert, weil die interne Lösung zu umständlich ist. Und seit KI-Tools wie ChatGPT so einfach zugänglich sind, werden in manchen Teams vertrauliche Texte und Dokumente in externe Systeme hochgeladen – routinemäßig, ohne groß darüber nachzudenken.
Das alles passiert nicht aus böser Absicht. Im Gegenteil: Die Mitarbeitenden wollen produktiv sein und helfen sich mit dem, was funktioniert. Aber genau darin liegt das Problem – denn aus Sicht der IT-Sicherheit und des Datenschutzes entsteht dabei etwas, das unter dem Begriff Schatten-IT zusammengefasst wird: eine parallele IT-Landschaft, die außerhalb jeder Kontrolle und jedes Sicherheitskonzepts betrieben wird.
Was Schatten-IT konkret bedeutet
Schatten-IT bezeichnet alle Anwendungen, Cloud-Dienste, Hardware und Tools, die Mitarbeitende ohne Wissen oder Freigabe der IT-Verantwortlichen im Arbeitsalltag einsetzen. Dazu zählen Messenger-Dienste für die interne Kommunikation, private Cloud-Speicher für den Datenaustausch, Projektmanagement-Apps aus dem App Store, Browser-Erweiterungen, KI-Dienste – und auch das private Smartphone, das über das Firmen-WLAN eingebucht ist.
Das Phänomen ist in Unternehmen jeder Größe verbreitet. Es entsteht typischerweise dort, wo die offiziell bereitgestellten Werkzeuge als zu langsam, zu komplex oder für den jeweiligen Bedarf ungeeignet wahrgenommen werden. Wo Prozesse für die Softwarefreigabe Wochen dauern, suchen sich Teams pragmatische Alternativen. Das Ergebnis ist selten ein einzelnes riskantes Tool – sondern ein schleichend gewachsenes Netz aus Anwendungen und Diensten, das niemand vollständig überblickt.
Warum das ein echtes Sicherheitsproblem ist
Der Kern des Problems: Was die IT nicht kennt, kann sie nicht absichern. Jede nicht freigegebene Anwendung vergrößert die Angriffsfläche des Unternehmens. Software, die nicht zentral verwaltet wird, erhält keine Sicherheitsupdates durch die IT. Browser-Erweiterungen, die unkontrolliert installiert wurden, können weitreichende Zugriffsrechte auf E-Mails, Kalender oder Dateiablagen haben. Dateifreigabe-Links ohne Ablaufdatum bleiben offen, lange nachdem das Projekt abgeschlossen ist.
Hinzu kommt das Problem des Datenabflusses. Wenn vertrauliche Kundendaten, Verträge oder Personalunterlagen in externe Systeme hochgeladen werden – auch ohne dass jemand das beabsichtigt –, verlässt das Unternehmen die Kontrolle darüber, wo diese Daten gespeichert werden, wer Zugriff darauf hat und ob sie gelöscht werden. Das gilt besonders dann, wenn Dienste außerhalb der EU betrieben werden, wo die Datenschutzstandards der DSGVO nicht gelten.
Ein weiteres, oft übersehenes Risiko: Mitarbeitende, die das Unternehmen verlassen, nehmen ihre privaten Accounts und die darin gespeicherten Unternehmensdaten mit. Wer seine Dropbox nutzt, um Projektdateien zu synchronisieren, hat diese auch nach dem letzten Arbeitstag noch auf dem eigenen Gerät.
Die DSGVO-Dimension
Schatten-IT ist nicht nur ein IT-Sicherheitsproblem – sie ist auch ein Datenschutzproblem. Wer als Unternehmen personenbezogene Daten verarbeitet, ist nach der DSGVO dafür verantwortlich, wie und wo das geschieht. Das gilt unabhängig davon, ob ein Mitarbeitender diese Daten wissentlich oder unwissentlich in einen nicht freigegebenen Dienst eingespeist hat.
Konkrete Beispiele: Wenn die Personalabteilung Bewerbungsunterlagen in einen KI-Dienst hochlädt, um sie zusammenzufassen, werden personenbezogene Daten an einen externen Anbieter übermittelt – ohne Datenschutzfolgenabschätzung, ohne Auftragsverarbeitungsvertrag, ohne Prüfung des Serverstandorts. Wenn der Vertrieb Kundendaten über WhatsApp teilt, werden diese automatisch an die Server des Anbieters übertragen und dort mit anderen Daten verknüpft. Beides kann DSGVO-Verstöße darstellen, die das Unternehmen – nicht die jeweilige Mitarbeiterin oder der jeweilige Mitarbeiter – zu verantworten hat.
Schatten-IT verbieten hilft wenig – was stattdessen funktioniert
Der naheliegende Reflex, nämlich schlicht alles zu verbieten, löst das Problem nicht. Er verlagert es nur. Wer keine brauchbaren Werkzeuge bekommt, sucht sich welche – nur mit mehr Vorsicht, damit es die IT nicht mitbekommt. Das Verbot wird umgangen, die Sichtbarkeit sinkt weiter.
Wirksamer ist ein Ansatz, der zwei Dinge gleichzeitig tut: Transparenz herstellen und echte Alternativen bieten. Transparenz bedeutet zunächst, überhaupt zu verstehen, was im Unternehmen tatsächlich genutzt wird. Das lässt sich durch Auswertung von Netzwerk-Logs, Gespräche mit Teamleitungen oder einfache Mitarbeiterbefragungen herausfinden – letzteres oft ergiebiger als jede technische Analyse.
Wer weiß, welche Tools genutzt werden und warum, kann gezielt reagieren: Anwendungen, die einem echten Bedarf entsprechen, können geprüft, datenschutzkonform konfiguriert und offiziell freigegeben werden. Für Dienste, die zu riskant sind, braucht es sichere und mindestens genauso bequeme Alternativen. Die zentrale Erkenntnis lautet: Wenn der sichere Weg auch der einfachere ist, entfällt der Grund, auf unsichere Tools auszuweichen.
Ergänzend helfen klare, kurze Richtlinien – keine Verbotslisten, sondern eine Orientierung, welche Tools für welchen Zweck freigegeben sind. Und Mitarbeitende, die verstehen, warum bestimmte Dienste nicht genutzt werden sollten, halten sich mit deutlich höherer Wahrscheinlichkeit daran als solche, die nur eine Sperrseite sehen.
Schatten-KI als neue Variante des alten Problems
Mit dem Boom generativer KI-Tools hat Schatten-IT eine neue Dimension bekommen. Viele Mitarbeitende nutzen KI-Dienste über private Accounts, weil das Unternehmen noch keine eigene Lösung anbietet oder weil die interne Freigabe aussteht. Dabei landen regelmäßig interne Dokumente, Entwürfe, Kundenkommunikation oder Strategiepapiere in externen Systemen – und trainieren im schlimmsten Fall die Modelle dieser Anbieter mit Unternehmensdaten.
Dieses Phänomen wird oft als Schatten-KI bezeichnet. Es folgt denselben Mustern wie klassische Schatten-IT und erfordert dieselbe Antwort: nicht Verbote, sondern geprüfte, freigegebene Alternativen und klare Spielregeln für den KI-Einsatz im Unternehmen.