Was zählt als Schatten-IT?

Alles was ohne Wissen oder Freigabe der IT-Abteilung eingesetzt wird: SaaS-Tools, selbst gebaute Automatisierungen, KI-Agenten, aber auch Excel-Tabellen mit komplexer Logik oder Mappings die geschäftskritische Prozesse steuern.

Ist Schatten-IT illegal oder ein DSGVO-Problem?

Nicht automatisch, aber potenziell. Sobald Unternehmensdaten in externe Systeme fließen ohne dass geprüft wurde wo diese Daten verarbeitet und gespeichert werden, entsteht ein DSGVO-Risiko. Das gilt besonders für KI-Tools die Dokumente, E-Mails oder Kundendaten verarbeiten.

Wie findet man heraus wie viel Schatten-IT im Unternehmen existiert?

Ein ehrliches Gespräch mit den Fachabteilungen reicht meistens schon. Wir haben die Erfahrung gemacht dass zehn Minuten an der Kaffeemaschine mehr ans Licht bringt als jeder formale Audit.

Wie schafft man einen Rahmen der Schatten-IT verhindert ohne Innovation zu bremsen?

Indem man den offiziellen Weg so einfach macht wie den inoffiziellen. Klare Ansprechpartner, schnelle Entscheidungen, realistische Sicherheitsanforderungen. Und die Bereitschaft anzuerkennen dass Fachabteilungen oft bessere Ideen haben als jedes IT-Komitee.

Herausforderung

Schatten-IT: Kein Compliance-Problem. Ein Signal.

Wenn Abteilungen sich eigene Tools bauen, eigene KI-Agenten trainieren und eigene Excel-Welten pflegen ohne dass die IT davon weiß, dann ist das kein Aufstand. Das ist Frustration. Und Frustration ist lösbar.

Die Realität

Schatten-IT gibt es nicht erst seit ChatGPT. Aber KI hat sie unsichtbarer gemacht.

Schatten-IT bezeichnet alle Systeme, Tools und Prozesse die Mitarbeiter ohne Wissen oder Freigabe der IT-Abteilung einsetzen. Das reicht von der Excel-Tabelle mit eingebetteter Logik bis zum selbst gebauten KI-Agenten im Produktmanagement. Seit KI-Tools für jeden zugänglich sind, hat sich das Problem nicht neu erfunden, aber massiv beschleunigt.

Schatten-IT ist so alt wie IT selbst. Die Excel-Tabelle mit eingebetteten Makros die niemand außer einer Person versteht. Die Access-Datenbank die seit 2009 läuft und auf der halbe Abteilungsprozesse basieren. Das Notion-Workspace das der Vertrieb selbst aufgebaut hat weil das offizielle CRM zu umständlich war.

Das war schon immer so. Und es war schon immer ein Signal: irgendwo im Unternehmen will jemand schneller vorankommen als die offiziellen Wege es erlauben. Seit KI-Tools für jeden verfügbar sind, hat sich das Tempo dieses Signals verdreifacht. Produktmanagement baut sich einen KI-Agenten der Tickets zusammenfasst. Marketing automatisiert Content-Workflows mit einem selbst gebauten GPT. Vertrieb nutzt ein KI-Tool das Kundendaten analysiert. Alles sinnvoll. Alles ohne IT. Alles mit Unternehmensdaten.

65%der Mitarbeiter nutzen laut Studien Tools die nicht von der IT genehmigt wurden.

3xschneller wächst Schatten-IT seit der Verfügbarkeit von KI-Tools für Nicht-Techniker.

1Excel-Tabelle mit eingebetteter Logik ist technisch gesehen bereits Schatten-IT. Die meisten Unternehmen haben Hunderte davon.

Erkennst du das?

Drei Zeichen dass Schatten-IT in eurem Unternehmen wächst.

Diese Situationen kennen wir aus fast jedem Unternehmen das zu uns kommt.

Die IT erfährt es als letzte

Produkt, Vertrieb und Marketing lösen täglich Probleme mit Tools die sie selbst evaluiert, eingeführt und bezahlt haben. Die IT-Abteilung hat keine Übersicht welche Systeme laufen, welche Daten wohin fließen, welche APIs angebunden sind. Das Sicherheitsrisiko wächst im Verborgenen.

Das Ergebnis: Wenn etwas schiefgeht, hat niemand einen Überblick wo das Problem liegt.

KI-Agenten in der Grauzone

Ein Team baut sich einen Assistenten der täglich Kundendaten verarbeitet. Ein anderes automatisiert interne Berichte. Ein drittes lässt Vertragsvorlagen von einem KI-Modell generieren. Alle meinen es gut. Niemand hat geprüft welche Daten dabei an externe Systeme übertragen werden.

Das Ergebnis: DSGVO-Risiken, Datenlecks und unkontrollierte Abhängigkeiten von externen Anbietern.

Der Wissensträger verlässt das Unternehmen

Die Excel-Datei mit der komplexen Mapping-Logik, der selbst gebaute Zapier-Workflow, das No-Code-Tool das niemand sonst versteht. Wenn die Person die das gebaut hat geht, geht das Wissen mit. Kein Backup. Keine Dokumentation. Keine Übergabe.

Das Ergebnis: Kritische Prozesse hängen an einzelnen Personen und undokumentierten Systemen.

Der typische Fehler

Schatten-IT verbieten. Als wäre das die Lösung.

Die klassische IT-Reaktion: Zugriffe sperren, Tools verbieten, Richtlinien verschärfen. Das löst das Problem nicht. Es treibt es tiefer in den Untergrund.

Denn die Ursache bleibt. Die Abteilung hatte ein echtes Problem. Das Problem ist jetzt nicht weg, nur das Tool. Also kommt das nächste Tool. Oder es wird still weitergenutzt.

Wer Schatten-IT mit Verboten bekämpft, bekämpft das Symptom. Die eigentliche Frage ist: Warum war der offizielle Weg zu langsam, zu umständlich oder nicht vorhanden? Und wie kann man diesen Weg so gestalten, dass Abteilungen ihn freiwillig nutzen?

Die andere Perspektive

Wer vorantreiben will, ist eine Ressource. Kein Risiko.

Hier ist die Wahrheit die in vielen IT-Diskussionen fehlt: Wenn jemand im Produktmanagement einen KI-Agenten baut der täglich zwei Stunden Arbeit spart, hat diese Person ein echtes Problem gelöst. Das ist gut. Das ist genau die Energie die Unternehmen brauchen.

Die Aufgabe ist nicht, diese Energie zu stoppen. Die Aufgabe ist, ihr einen sicheren Rahmen zu geben. Was das konkret bedeutet: einen Prozess schaffen wie Abteilungen neue Tools und KI-Lösungen einführen können ohne monatelange IT-Projekte starten zu müssen. Klare Regeln welche Daten in welche Systeme dürfen. Einen Ansprechpartner der hilft statt blockiert. Und eine IT-Abteilung die als Enabler wahrgenommen wird, nicht als Bremse.

Wer offen für Lösungen aus den Abteilungen ist, kann Fortschritt im Unternehmen befügeln statt einzudämmen.

Aus der Praxis

Aus Schatten-IT eine offizielle Lösung machen. In zwei Wochen.

Ein Marketingteam nutzt seit Monaten ein KI-Tool für Content-Erstellung. Drei verschiedene Abonnements, bezahlt über Kreditkarten der Mitarbeiter, Unternehmensdaten werden hochgeladen. Die IT erfährt es durch Zufall.

Statt das Tool zu verbieten, schauen wir gemeinsam was genau genutzt wird, welche Daten betroffen sind, und ob es eine datenschutzkonforme Alternative gibt die das Team genauso schnell arbeiten lässt.

Bestandsaufnahme: welche Tools, welche Daten, welche Risiken
DSGVO-konforme Alternative evaluiert und eingeführt
Team arbeitet weiterhin mit KI-Unterstützung, jetzt sauber
IT hat Überblick und Kontrolle ohne das Team auszubremsen
Prozess dokumentiert als Vorlage für andere Abteilungen
Drei weitere Schatten-IT-Bereiche identifiziert und adressiert

“Wenn jemand im Team anfängt eigene Tools zu bauen, ist das kein Problem. Das ist ein Hilferuf. Und Hilferufe sollte man beantworten.”

Häufige Fragen

Was ihr uns zur Schatten-IT meistens fragt.

JEMAND IN EUREM UNTERNEHMEN WILL VORANTREIBEN. HELFT IHM DABEI.

Wenn ihr wissen wollt wo bei euch Schatten-IT existiert und wie man einen sicheren Rahmen dafür schafft, redet mit uns. Zehn Minuten reichen meistens für einen ersten Überblick.

Jetzt beschreiben Mehr zur Software-Beratung