Dienstagmorgen, Deadline in zwei Stunden. Die Vertriebsmitarbeitenden ziehen ein Kunden-PDF in den kostenlosen ChatGPT-Tab, den sie parallel auf dem Unternehmens-Laptop geöffnet haben. Drei Stockwerke höher richtet sich das Marketingteam einen Slack-Workspace ein, weil die IT-Freigabe des offiziellen Tools zu lange dauert. Beide handeln ohne böse Absicht und merken nicht, dass sie gerade ein Compliance-Problem erschaffen haben.
Genau das ist Schatten-IT, auf Englisch „Shadow IT”: alle Apps, SaaS-Dienste sowie KI-Tools, die Mitarbeitende ohne Wissen oder Freigabe der zentralen IT nutzen.
Das Thema ist nicht neu, die Dringlichkeit dahinter inzwischen schon. Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland, und die Geschäftsleitung haftet seitdem persönlich für Sicherheitslücken. Das gilt auch für alle Tools, die der IT unbekannt sind. Laut einer Bitkom-Studie (Oktober 2025) ist der Einsatz privater KI-Tools am Arbeitsplatz auf 25 % der deutschen Unternehmen gestiegen. 2024 waren es noch 17 %.
Wie du Schatten-IT in 5 Schritten sichtbar machst und steuerst, ohne die Innovationsgeschwindigkeit deiner Fachbereiche zu bremsen, erfährst du in diesem Artikel.
Doch zuerst zur Definition, denn die Grenze zwischen normaler SaaS-Nutzung und Schatten-IT verschwimmt inzwischen zunehmend.
Was ist Schatten-IT? Definition und aktuelle Lage
Schatten-IT umfasst alle Hardware-, Software- und Cloud-Dienste, die innerhalb eines Unternehmens ohne Wissen, Freigabe oder Dokumentation der zentralen IT genutzt werden. Der englische Begriff „Shadow IT” ist dabei identisch, wohingegen „Stealth IT” einen Schritt weitergeht: Hier werden Tools bewusst vor der IT verborgen. Seit Oktober 2025 führt Bitkom die Schatten-KI als eigene Unterkategorie und bezeichnet damit den ungenehmigten Einsatz von KI-Tools im Arbeitsalltag.
Klassische Beispiele finden sich in fast jedem Unternehmen: WhatsApp-Gruppen für die Kommunikation mit Kund:innen, private Dropbox- und Google-Drive-Konten für schnellere Datenübertragungen, WeTransfer für große Anhänge, eigene Trello-Boards zur Projektorganisation, Excel-Tabellen als Schattendatenbanken oder BYOD-Smartphones ohne zentrale Verwaltung.
Hinzu kommen neuere Anwendungen: ChatGPT, Claude oder Gemini im Browser-Tab, KI-Plugins, selbst erstellte Automatisierungs-Flows in Power Automate oder Zapier ohne entsprechende IT-Dokumentation sowie KI-Bots in privaten Slack- oder Discord-Workspaces.
Aktuelle Zahlen zeigen, wie schnell sich das Phänomen ausweitet. 25 % der deutschen Unternehmen haben Schatten-KI bereits im Einsatz: In 8 % ist sie weit verbreitet und 17 % berichten von Einzelfällen (Bitkom, Oktober 2025). 2024 lag dieser Wert insgesamt bei 17 %. Laut einer Gartner-Prognose (Juni 2025) sollen bis 2027 rund 75 % der Mitarbeitenden Technologien außerhalb der IT-Sichtbarkeit nutzen, modifizieren oder selbst erstellen. 2022 waren es noch 41 %.
Schatten-IT entsteht dabei selten aus böser Absicht. Meistens sind offizielle Tools zu langsam, schwerfällig oder schlicht ungeeignet. Dahinter verbirgt sich allerdings auch ein Hinweis auf potenzielle Innovationen. Denn hinter jedem ungenehmigten Tool verbirgt sich ein ungelöstes Problem im Unternehmen.
Wenn Mitarbeitende also mehrheitlich aus pragmatischen Gründen zu nicht freigegebenen Anwendungen greifen, stellt sich die nächste Frage: Wie schwerwiegend sind die Folgen wirklich? Und seit wann haftet die Geschäftsleitung persönlich dafür?
Warum Schatten-IT zum Risiko wird: DSGVO, NIS2 und versteckte Kosten
Bei der Schatten-IT handelt es sich keineswegs um ein abstraktes Sicherheitsthema. Hier treffen drei konkrete Risikodimensionen aufeinander, die nachfolgend einzeln betrachtet werden: Sicherheit, Compliance und Haftung sowie versteckte Kosten.
1. Sicherheits- und Datenschutzrisiken
Tools, die nicht durch die IT genehmigt wurden, werden selten gepatcht. Und jede nicht gepatchte Anwendung stellt eine potenzielle Sicherheitslücke dar, die der IT schlicht unbekannt ist.
Hinzu kommt der sogenannte OAuth-Permission-Sprawl: Mitarbeitende vernetzen über Single Sign-On (SSO, Einmalanmeldung) Drittanbieter-Apps mit Microsoft 365 oder Google Workspace. Dabei erteilen sie dauerhafte Lese- und Schreibrechte auf E-Mails und Dateien. Diese Rechte bleiben oft auch nach dem Austritt aus dem Unternehmen bestehen.
Aus Sicht des Datenschutzes kann es zu mehreren DSGVO-Verstößen kommen: fehlende Auftragsverarbeitungsverträge nach Art. 28, unzureichende technisch-organisatorische Maßnahmen nach Art. 32 sowie unzulässige Datentransfers in die USA nach Art. 44 ff., etwa über Tools, die dem CLOUD Act unterliegen. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder bis zu 20 Mio. € betragen. Wie ein DSGVO-konformer Umgang mit Unternehmensdaten in der Praxis aussehen kann, zeigt beispielsweise die Datenschutzrichtlinie von Slack.
Aktuelle Zahlen verdeutlichen das Ausmaß. Laut dem Bericht Wirtschaftsschutz 2025 (Bitkom, Dezember 2025) hat der Gesamtschaden für die deutsche Wirtschaft durch Cyberkriminalität sowie Industriespionage 289,2 Mrd. € betragen. 87 % der Unternehmen waren innerhalb von zwölf Monaten davon betroffen.
2. NIS2 und die persönliche Haftung der Geschäftsleitung
Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft. Davon sind rund 30.000 Unternehmen betroffen, deutlich mehr als unter der bisherigen KRITIS-Regelung.
Das Gesetz schreibt vier zentrale Pflichten vor: Risikomanagement, Vorfallsmeldung, Asset-Inventarisierung und Lieferkettensicherheit. Schatten-IT untergräbt alle vier gleichzeitig, da unbekannte Anwendungen sich weder erfassen noch überwachen oder vertraglich absichern lassen.
Besonders weitreichend ist die Haftungsregelung. Laut §38 BSIG trägt die Geschäftsleitung persönlich und nicht delegierbar die Verantwortung für die Umsetzung der Cybersicherheitspflichten. Bei Verstößen drohen Bußgelder von bis zu 2 % des weltweiten Jahresumsatzes oder bis zu 10 Mio. €, zusätzlich zu möglichen DSGVO-Sanktionen. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen.
Damit stellt Schatten-IT nicht nur ein Problem in Sachen IT oder Compliance dar, sondern auch eine Frage der Verantwortung der Geschäftsleitung.
3. Versteckte Kosten und Lizenz-Wildwuchs
Schatten-IT hat auch eine finanzielle Seite, die oft unterschätzt wird. Wenn drei Teams unabhängig voneinander beispielsweise Notion, Trello und Asana abonnieren, zahlt das Unternehmen dreifach für überlappende Funktionen. Hinzu kommen sogenannte Zombie-Abonnements: Tools, die einzelne Mitarbeitende eingeführt haben und die nach deren Austritt weiterlaufen, bezahlt, aber nicht genutzt werden.
Verschiedene Studien schätzen den Anteil nicht erfasster Schatten-IT auf rund 30 % bis 40 % des effektiven IT-Budgets, ohne dass die zentrale IT davon weiß.
Der eigentliche Kostentreiber liegt jedoch tiefer. Laut einer Studie des Ifo Instituts (Januar 2026) werden zwei Drittel aller KI-Anwendungen in Unternehmen eigeninitiativ und ohne offizielle Freigabe von Mitarbeitenden genutzt. Die Belegschaft greift schlicht schneller zu verfügbaren Anwendungen, als Organisationen genehmigte Lösungen bereitstellen können. Wer Schatten-IT wirklich eindämmen will, muss nicht nur kontrollieren, sondern auch die Erfahrung von Nutzer:innen der offiziellen Tools verbessern.
Die Risiken sind klar, Verbote allein helfen jedoch nicht weiter, wie Studien und Erfahrungen aus der Praxis nahelegen. Was funktioniert, ist ein strukturierter Prozess, der Schatten-IT zuerst sichtbar macht und dann Schritt für Schritt in geordnete Bahnen lenkt.
In 5 Schritten Schatten-IT sichtbar machen und steuern
Der folgende 5-Schritte-Plan basiert auf dem einfachen Prinzip, IT als Service Broker statt als Pförtner zu betrachten. Das Ziel besteht nicht darin, jede ungenehmigte App zu entfernen, sondern darin, Transparenz herzustellen, Risiken zu bewerten sowie schnelle Sanktionierungs- oder Migrationsentscheidungen zu treffen.
1. Discovery: Schatten-IT aufspüren
Wer Schatten-IT sichtbar machen will, kombiniert zuerst drei Quellen: Netzwerk- und Proxy-Logs zeigen, welche Domains tatsächlich aufgerufen werden. Eine umfangreiche DNS-Auswertung ergänzt dieses Bild. Und Kreditkarten- sowie Spesenabrechnungen verraten, welche SaaS-Abonnements direkt von Mitarbeitenden bezahlt werden.
Für eine tiefere Analyse gibt es spezialisierte Tools wie beispielsweise Cloud Access Security Broker (CASB), SaaS Security Posture Management (SSPM) oder IT-Asset-Management-Lösungen wie Docusnap. Wer auf diese verzichten möchte, kann auf weitere Möglichkeiten zurückgreifen: OAuth-Re-Consent in Microsoft 365 oder Google Workspace prüfen, eine anonyme Mitarbeitendenumfrage zu tatsächlich genutzten Tools durchführen oder eine einfache Lizenzanalyse starten.
Der Discovery muss in Deutschland datenschutzkonform erfolgen und ist in vielen Fällen mit dem Betriebsrat abzustimmen. Eine personenbezogene Überwachung Einzelner ist nicht zulässig.
2. Risiken bewerten und priorisieren
Nicht jede ungenehmigte App ist gleich gefährlich. Eine hilfreiche Methode zur Unterscheidung ist die Risiko-Ampel: Jedes entdeckte Tool wird nach zwei Kriterien eingeordnet. Erstens nach der Datensensibilität, also danach, ob öffentliche, interne oder sensible Daten verarbeitet werden. Zweitens nach dem Sicherheitsniveau des Anbieters, also ob dieser DSGVO-konform arbeitet und Zertifizierungen wie ISO 27001, BSI C5 oder TISAX vorweisen kann.
Die Priorisierung ergibt sich daraus: Tools, die personenbezogene oder geschäftskritische Daten verarbeiten, kommen zuerst. Ein internes Tool ohne sensible Daten hat weniger Dringlichkeit.
Hilfreich ist außerdem ein direktes Mapping hinsichtlich regulatorischer Pflichten. Als Leitfrage gilt: Welche Anwendungen würden in einem NIS2- oder DSGVO-Audit sofort einen Befund darstellen?
3. Sanktionieren oder migrieren
Für jedes identifizierte Tool gibt es drei Optionen.
- Sanktionieren: Das Tool wird offiziell angebunden, mit SSO, MFA, einem Auftragsverarbeitungsvertrag und DLP-Richtlinien.
- Ersetzen: Die Anwendung wird durch eine zentrale, bereits freigegebene Lösung abgelöst.
- Blockieren: Wenn das Risiko zu hoch und kein konkreter Mehrwert erkennbar ist
Ein typisches Praxisbeispiel ist die fragmentierte Messaging-Landschaft: WhatsApp-Gruppen mit Kund:innen, parallele Telegram-Chats oder mehrere private Workspaces ohne IT-Freigabe. Die effektivste Lösung ist die Konsolidierung auf einer zentralen Kollaborationsplattform, die SSO, DLP und Audit-Logs beinhaltet.
Genau hier setzt eine zentral freigegebene Lösung wie Slack an. Im DACH-Markt ist Slack mit BSI C5 und TISAX zertifiziert, bietet Enterprise Key Management, natives DLP sowie Integrationen mit SIEM-, SOAR- und CASB-Lösungen. Über Slack Connect lässt sich auch die externe Kommunikation mit Kund:innen sicher in die gleiche Umgebung integrieren.
Dabei gilt: Slack kann selbst zur Schatten-IT werden, zum Beispiel wenn ein Team es ohne IT-Freigabe auf einer kostenfreien Version einführt. Der Unterschied liegt nicht in der Anwendung, sondern in der Governance, die das Tool einbettet.
4. Governance und Awareness etablieren
Governance steht für Geschwindigkeit statt Bürokratie. Wenn die offizielle Freigabe eines neuen Tools zwei Wochen statt sechs Monate dauert, sinkt der Anreiz für Schatten-IT drastisch. Eine Positivliste (beziehungsweise Whitelist) mit vorab geprüften Anwendungen hilft dabei, Fachbereiche schnell und sicher zu versorgen.
Besonders dringend ist eine verbindliche KI-Richtlinie. Laut Bitkom (Oktober 2025) haben aktuell nur rund 23 % der deutschen Unternehmen klare Regeln für den Umgang mit generativer KI, was eine erhebliche Governance-Lücke darstellt.
Ebenso wichtig sind Mitarbeitendenschulungen anstelle von Pauschalverboten. Denn wer versteht, warum eine bestimmte Aktion riskant ist, trifft bessere Entscheidungen. Wie Unternehmen ihre digitale Arbeitsumgebung strukturiert aufsetzen, kann dabei als Orientierung dienen.
5. Kontinuierlich überwachen und reporten
Schatten-IT ist kein einmaliges Projekt, sondern ein laufender Prozess. Neue Tools entstehen jeden Monat, oft schneller als jeder Freigabeprozess.
Ein zentrales Monitoring-Dashboard hilft dabei, den Überblick zu behalten. CASB-Berichte, Ausgabeanalysen sowie eine regelmäßige Re-Discovery, die mindestens quartalsweise durchgeführt wird, zeigen, wo neue Schatten-IT entsteht und wo Fortschritte erzielt wurden.
Hinsichtlich der NIS2-Compliance benötigt die Geschäftsleitung regelmäßige Berichte mit einer klaren Risiko-Heatmap sowie einer nachvollziehbaren Priorisierung. Als Beispiel, wie eine sichere Kollaborationsplattform die Transparenz im Team unterstützt, dient die Sicherheitsarchitektur von Slack.
Als Reifegradanalyse hilft eine einfache Quote: Wie viele Tools sind offiziell freigegeben, wie viele befinden sich in der Migration und wie viele sind noch unbekannt? Wer diese Zahlen quartalsweise verfolgt, erkennt früh, ob das Programm wirkt.
Der 5-Schritte-Plan bietet eine solide Grundlage, um klassische Schatten-IT sichtbar zu machen und zu steuern. Doch seit Ende 2022 ist eine neue Kategorie entstanden, die den Plan um eine eigene Dimension erweitert: die Schatten-KI.
Schatten-KI: Die neue Hauptkategorie der Schatten-IT
Generative KI erweitert die Schatten-IT um eine neue Risikodimension. Zu den klassischen Risiken ungenehmigter Tools kommen drei spezifische Gefahren hinzu: Vertrauliche Unternehmensdaten landen als Prompt bei externen Modellen und können potenziell für deren Training genutzt werden. KI-Halluzinationen, also sachlich falsche Ausgaben, werden ungeprüft in die Kommunikation mit Kund:innen oder in Rechtsdokumente übernommen. Und Unternehmen verlieren die Nachvollziehbarkeit darüber, welche Daten wann an welchen Anbieter übermittelt wurden.
Wie konkret das zweite Risiko werden kann, zeigte ein Vorfall bei Samsung im April 2023. Entwickler:innen gaben proprietären Quellcode zur Fehlersuche in ChatGPT ein. Samsung reagierte mit einer unternehmensweiten ChatGPT-Sperre.
Laut Bitkom (Oktober 2025) haben 25 % der deutschen Unternehmen Schatten-KI bereits im Einsatz. Der Microsoft Work Trend Index (2024) zeigt außerdem, dass 71 % der KI-Nutzenden in Deutschland ihre eigenen Tools mit zur Arbeit bringen, ohne dass diese vom Unternehmen freigegeben wurden.
Verbote lösen das Problem nicht. Enterprise-Lösungen wie Microsoft 365 Copilot, Azure OpenAI oder lokal betriebene Modelle wie das deutsche Teuken-7B bieten KI-Funktionen innerhalb eines sicheren, kontrollierten Rahmens. Dabei sollten Unternehmen den Umgang mit US-Anbietern im Blick behalten, da der CLOUD Act und FISA 702 Datenzugriffe durch US-Behörden ermöglichen können.
Statt parallel laufender ChatGPT-Tabs ohne IT-Sichtbarkeit lassen sich KI-Agenten und Workflow-Bots direkt in die bereits freigegebene Kollaborationsplattform einbetten. Mit zentralisierter Berechtigungsverwaltung, OAuth-Berechtigungsverwaltung, Enterprise Key Management und vollständigem Logging wird aus unsichtbarer Schatten-KI ein nachprüfbarer Umgang mit KI. Der Slack Workflow Builder überführt Tool-Anfragen zusätzlich direkt in einen offiziellen IT-Freigabeprozess.
Fazit
Schatten-IT wird nicht verschwinden. Aber mit den richtigen Prozessen und Plattformen hört sie auf, ein blinder Fleck zu sein, und wird zu einem steuerbaren Teil jedes Unternehmens.
Seit dem NIS2-Umsetzungsgesetz ist das Steuern von Schatten-IT eine Pflichtaufgabe der Geschäftsleitung geworden, kein optionales IT-Projekt.
Die wirksamste Antwort darauf ergibt sich aus dem 5-Schritte-Plan: Discovery, Risikobewertung, gezielte Freigabe oder Migration, Governance und kontinuierliches Monitoring. Wer diesen Prozess konsequent umsetzt, verwandelt ein unsichtbares Risiko in einen transparenten sowie kontrollierten Geschäftsbestandteil.
Ein guter Einstieg ist eine ehrliche Bestandsaufnahme im eigenen Team: Welche Tools sind im Einsatz, welche davon sind der IT bekannt? Wer zusätzlich die Sicherheits- und Compliance-Anforderungen einer freigegebenen Kollaborationsplattform prüfen möchte, findet im Slack Trust Center Nachweise zu BSI C5, TISAX sowie DSGVO.
Häufig gestellte Fragen
Super!
Vielen Dank für dein Feedback!
Okay!
Vielen Dank für dein Feedback.
Hoppla! Wir haben gerade Schwierigkeiten. Bitte versuche es später noch einmal!