Alle Beiträge

Schatten-IT im Unternehmen – das unsichtbare Risiko erkennen und lösen

IT Strategie Pascal Zumstein · 13. Juli 2026 · 10 Min. Lesezeit

In fast jedem Unternehmen, das ich berate, gibt es eine unsichtbare IT-Landschaft. Eine, die in keiner Dokumentation auftaucht, in keinem IT-Budget steht und von der die Geschäftsleitung oft nichts weiss. Mitarbeitende nutzen eigene Tools, teilen Dateien über private Cloud-Dienste, verwalten Kundendaten in selbstgebauten Excel-Listen oder kommunizieren über Messenger, die das Unternehmen nie freigegeben hat. Das ist Schatten-IT. Und sie ist weit verbreiteter, als die meisten Verantwortlichen ahnen.

Das Besondere an Schatten-IT ist, dass sie fast nie aus böser Absicht entsteht. Mitarbeitende greifen zu eigenen Lösungen, weil die offiziellen Werkzeuge zu umständlich, zu langsam oder schlicht nicht vorhanden sind. Sie wollen ihre Arbeit gut machen und suchen sich den Weg des geringsten Widerstands. Das Problem ist nicht die Motivation. Das Problem ist, dass unkontrollierte IT-Systeme Risiken schaffen, die das gesamte Unternehmen betreffen können – von Datenschutzverletzungen bis hin zu Datenverlusten, die niemand kommen sieht.

Was Schatten-IT konkret bedeutet

Der Begriff klingt dramatischer, als er in der Praxis oft aussieht. Schatten-IT ist jede IT-Nutzung, die ausserhalb der offiziellen IT-Infrastruktur und ohne Wissen oder Freigabe der IT-Verantwortlichen stattfindet. Das können grosse Systeme sein, etwa eine Abteilung, die eigenständig ein Projektmanagement-Tool beschafft und nutzt. Häufiger sind es aber kleinere, alltägliche Dinge.

Ein Vertriebsmitarbeiter, der Kundenlisten in seiner persönlichen Dropbox speichert, weil der Zugriff auf den Firmenserver unterwegs zu langsam ist. Eine Marketingabteilung, die Canva-Accounts mit privaten E-Mail-Adressen nutzt, weil niemand ein offizielles Design-Tool bereitgestellt hat. Ein Teamleiter, der Aufgaben über WhatsApp koordiniert, weil Microsoft Teams in der Abteilung nie richtig eingeführt wurde. Ein Finanzcontroller, der kritische Auswertungen in einer lokalen Excel-Datei auf seinem Laptop pflegt, die nirgendwo gesichert wird.

Jeder dieser Fälle ist für sich genommen nachvollziehbar. In der Summe entsteht daraus eine parallele IT-Landschaft, die niemand überblickt, niemand verwaltet und niemand absichert.

Warum Schatten-IT ein ernstes Problem ist

Datenschutz und Compliance. Wenn Mitarbeitende Kundendaten, Personaldaten oder Geschäftsinformationen in nicht freigegebenen Systemen verarbeiten, kann das Unternehmen seine Datenschutzpflichten nicht mehr gewährleisten. Unter der DSGVO und dem Schweizer Datenschutzgesetz haftet das Unternehmen – nicht der einzelne Mitarbeitende. Und es ist schwer, Compliance nachzuweisen, wenn man nicht einmal weiss, wo die Daten liegen.

Datenverlust. Daten, die in privaten Accounts, auf lokalen Festplatten oder in nicht gesicherten Cloud-Diensten liegen, sind im Ernstfall verloren. Wenn der Mitarbeitende das Unternehmen verlässt, den Laptop verliert oder der Dienst seinen Betrieb einstellt, gibt es kein Backup, keine Wiederherstellung und oft auch keinen Zugriff mehr. Besonders kritisch wird es, wenn niemand im Unternehmen weiss, dass diese Daten überhaupt existieren.

Sicherheitsrisiken. Nicht freigegebene Tools durchlaufen keine Sicherheitsprüfung. Sie haben möglicherweise schwache Zugriffskontrollen, keine Zwei-Faktor-Authentifizierung, keine Verschlüsselung. Sie können Einfallstore für Cyberangriffe sein. Und weil die IT-Abteilung von ihrer Existenz nichts weiss, werden sie bei Sicherheitsaudits und Schutzmassnahmen schlicht übersehen.

Datensilos und Ineffizienz. Schatten-IT führt dazu, dass Informationen an verschiedenen Orten liegen, die nicht miteinander verbunden sind. Die Folge: Doppelarbeit, Inkonsistenzen, Wissensverlust. Wenn jede Abteilung ihre eigenen Werkzeuge nutzt, entsteht keine gemeinsame Datenbasis. Und ohne gemeinsame Datenbasis sind fundierte Geschäftsentscheidungen schwierig.

Aus der Praxis: Ein Dienstleistungsunternehmen mit rund 60 Mitarbeitenden hatte offiziell Microsoft 365 als zentrale Plattform im Einsatz. Bei einer internen Bestandsaufnahme stellte sich heraus, dass parallel dazu 14 verschiedene Cloud-Dienste genutzt wurden – von Trello über Google Drive bis hin zu privaten WeTransfer-Accounts. Kundendaten lagen in mindestens drei Systemen, die die IT-Abteilung nicht kannte. Als ein langjähriger Vertriebsleiter das Unternehmen verliess, nahm er unwissentlich den Zugang zu einer Kundenliste mit, die nirgendwo sonst existierte. Der Vorfall führte zu einem Compliance-Problem und war der Auslöser für ein strukturiertes Schatten-IT-Projekt.

Warum Schatten-IT entsteht – und warum Verbote nicht helfen

Die erste Reaktion vieler Unternehmen ist, Schatten-IT zu verbieten. Keine privaten Tools, keine eigenen Cloud-Accounts, keine Ausnahmen. Das klingt logisch, funktioniert in der Praxis aber fast nie. Denn Schatten-IT ist in den meisten Fällen ein Symptom, kein eigenständiges Problem. Sie zeigt an, dass die offizielle IT-Landschaft die Bedürfnisse der Mitarbeitenden nicht ausreichend abdeckt.

Die Gründe dafür sind vielfältig und fast immer nachvollziehbar. Die offiziellen Tools sind zu kompliziert oder zu langsam. Anfragen an die IT-Abteilung dauern zu lange. Neue Anforderungen werden abgelehnt oder auf unbestimmte Zeit verschoben. Die Mitarbeitenden kennen das Angebot der vorhandenen Tools gar nicht, weil die Einführung zu oberflächlich war. Oder es gibt schlicht kein Werkzeug für einen bestimmten Bedarf, den die IT bisher nicht auf dem Radar hatte.

Wer in dieser Situation nur verbietet, ohne die Ursachen zu adressieren, erreicht genau das Gegenteil. Die Mitarbeitenden nutzen die Tools weiter – nur heimlicher. Die Schatten-IT wird nicht kleiner, sie wird nur unsichtbarer. Und das macht das Problem schlimmer, nicht besser.

Der bessere Ansatz ist, Schatten-IT als Feedback zu verstehen. Jedes nicht freigegebene Tool, das im Unternehmen genutzt wird, ist ein Hinweis darauf, wo die offizielle IT eine Lücke hat. Wer diese Hinweise ernst nimmt, verbessert nicht nur die IT-Landschaft. Er schafft auch die Grundlage dafür, dass Mitarbeitende keinen Grund mehr haben, auf eigene Lösungen auszuweichen.

Schatten-IT sichtbar machen – der erste Schritt

Bevor ein Unternehmen Schatten-IT adressieren kann, muss es wissen, was tatsächlich genutzt wird. Das ist weniger aufwändig, als es klingt, erfordert aber den richtigen Ansatz. Denn das Ziel ist nicht, Mitarbeitende an den Pranger zu stellen. Das Ziel ist, ein ehrliches Bild der tatsächlichen IT-Nutzung zu bekommen.

Offene Gespräche statt Kontrolle. Der effektivste Weg ist oft der einfachste: Fragen. In Workshops, in Teamgesprächen oder über eine anonyme Umfrage. Welche Tools nutzt ihr täglich? Was funktioniert gut, was nicht? Wo greift ihr auf eigene Lösungen zurück? Die Erfahrung zeigt, dass Mitarbeitende bereitwillig Auskunft geben, wenn die Frage ohne Vorwurf gestellt wird. Die meisten wissen selbst, dass ihre Lösung nicht ideal ist – sie hatten nur keine bessere Alternative.

Technische Bestandsaufnahme. Ergänzend lohnt sich ein Blick auf die tatsächlichen Datenflüsse. Welche Cloud-Dienste werden aus dem Firmennetzwerk aufgerufen? Welche Apps sind auf Firmengeräten installiert? Welche Integrationen existieren in Microsoft 365 oder Google Workspace? Das ist keine Überwachung – es ist eine sachliche Bestandsaufnahme, die zeigt, wo Daten tatsächlich fliessen.

Ergebnisse ohne Schuldzuweisung dokumentieren. Das Ergebnis sollte eine sachliche Liste sein: Welche Tools werden genutzt, von wem, wofür und mit welchen Daten. Keine Verurteilung, keine Bestrafung. Sondern die Grundlage für den nächsten Schritt: die Entscheidung, was davon bleiben kann, was ersetzt werden muss und wo die offizielle IT nachrüsten sollte.

Schatten-IT pragmatisch lösen

Nicht jede Schatten-IT muss sofort eliminiert werden. Und nicht jede Schatten-IT ist gleich riskant. Ein pragmatischer Umgang unterscheidet zwischen dem, was gefährlich ist, und dem, was einfach nur ungeregelt ist.

Kritische Fälle sofort adressieren. Alles, was personenbezogene Daten, Finanzdaten oder vertrauliche Geschäftsinformationen betrifft, muss priorisiert werden. Wenn Kundendaten in privaten Cloud-Accounts liegen, ist das kein Schönheitsfehler, sondern ein Risiko, das zeitnah gelöst werden muss. Hier geht es nicht um Perfektion, sondern um Schadensvermeidung.

Gute Schatten-IT legitimieren. Manche Tools, die Mitarbeitende eigenständig eingeführt haben, sind tatsächlich gut. Sie lösen ein reales Problem, werden aktiv genutzt und bieten Mehrwert. Statt sie zu verbieten, kann es sinnvoller sein, sie offiziell zu evaluieren und bei Eignung in die IT-Landschaft aufzunehmen. Das zeigt den Mitarbeitenden, dass ihre Initiative wertgeschätzt wird, und schafft eine kontrollierte Grundlage für die weitere Nutzung.

Offizielle Alternativen anbieten. Für jeden Schatten-IT-Fall, der abgelöst werden muss, braucht es eine offizielle Alternative, die mindestens so einfach und leistungsfähig ist. Wenn die Mitarbeitenden Trello nutzen, weil Microsoft Planner zu umständlich ist, dann reicht es nicht, Trello zu verbieten. Dann muss entweder Planner besser eingeführt werden oder eine echte Alternative bereitgestellt werden. Wer Werkzeuge wegnimmt, ohne Ersatz zu bieten, wird scheitern.

Einen einfachen Anfrageprozess schaffen. Ein häufiger Treiber von Schatten-IT ist, dass der offizielle Weg, ein neues Tool zu beantragen, zu lang und zu bürokratisch ist. Wer wochenlang auf eine Antwort wartet, sucht sich eine eigene Lösung. Unternehmen, die einen schnellen, unkomplizierten Prozess für Tool-Anfragen etablieren, reduzieren Schatten-IT an der Wurzel. Das muss kein formaler Genehmigungsprozess sein. Es reicht ein klarer Ansprechpartner und die Bereitschaft, Anfragen zeitnah zu prüfen.

Aus der Praxis: Ein Handelsunternehmen mit 40 Mitarbeitenden entdeckte bei einer Bestandsaufnahme, dass das Marketingteam seit über einem Jahr Canva Pro mit privaten Accounts nutzte, weil es kein offizielles Design-Tool gab. Statt die Nutzung zu untersagen, evaluierte das Unternehmen Canva als Business-Lösung, richtete einen zentralen Firmenaccount ein und integrierte ihn in das bestehende Rechtemanagement. Die Kosten waren überschaubar, die Mitarbeitenden zufrieden – und die Unternehmensdaten lagen wieder dort, wo sie hingehören. Gleichzeitig wurde ein einfacher Prozess eingeführt: Neue Tool-Wünsche werden über ein kurzes Formular eingereicht und innerhalb von fünf Arbeitstagen beantwortet. Die Zahl neuer Schatten-IT-Fälle ging danach deutlich zurück.

Schatten-IT als Daueraufgabe verstehen

Schatten-IT ist kein Problem, das man einmal löst und dann abhaken kann. Solange sich Anforderungen ändern, neue Tools auf den Markt kommen und Mitarbeitende pragmatische Lösungen suchen, wird es immer eine Tendenz zur Schatten-IT geben. Das ist normal und kein Zeichen von Versagen.

Entscheidend ist, dass Unternehmen einen dauerhaften Umgang damit finden. Das heisst nicht, permanente Kontrolle aufzubauen. Es heisst, eine Kultur zu schaffen, in der Mitarbeitende IT-Bedürfnisse offen kommunizieren können und in der die IT-Verantwortlichen diese Bedürfnisse ernst nehmen. Es heisst, regelmässig – einmal im Jahr oder bei grösseren Veränderungen – eine kurze Bestandsaufnahme zu machen und zu prüfen, ob die offizielle IT-Landschaft noch zur Realität im Unternehmen passt.

In einem KMU ist das keine Frage von Budget oder Ressourcen. Es ist eine Frage der Haltung. Unternehmen, die IT als Service für die eigenen Mitarbeitenden verstehen und nicht als Kontrollinstanz, haben deutlich weniger Schatten-IT. Nicht weil sie besser kontrollieren, sondern weil ihre Mitarbeitenden keinen Grund haben, an der offiziellen IT vorbeizuarbeiten.

Was Geschäftsführende tun sollten

Schatten-IT ist kein reines IT-Thema. Es ist ein Unternehmensthema. Die Entscheidung, wie damit umgegangen wird, gehört auf die Geschäftsleitungsebene, weil es um Risikomanagement, Compliance und die Frage geht, wie das Unternehmen mit den Werkzeugen seiner Mitarbeitenden umgeht.

Der erste Schritt ist, das Thema überhaupt auf die Agenda zu setzen. Nicht als Krisenreaktion, sondern als bewusste Entscheidung, die eigene IT-Landschaft realistisch zu betrachten. Der zweite Schritt ist, eine ehrliche Bestandsaufnahme zu machen – mit dem Ziel, zu verstehen, nicht zu bestrafen. Der dritte Schritt ist, die Ergebnisse in konkrete Massnahmen zu übersetzen: kritische Fälle lösen, offizielle Alternativen bereitstellen, einen Prozess für neue Tool-Anfragen schaffen.

Keiner dieser Schritte ist besonders aufwändig. Aber in der Summe machen sie den Unterschied zwischen einem Unternehmen, das seine IT-Landschaft kennt und steuert, und einem, das im Dunkeln tappt und hofft, dass nichts passiert.

Schatten-IT verschwindet nicht von selbst. Aber sie lässt sich pragmatisch, respektvoll und mit überschaubarem Aufwand in den Griff bekommen. Der Schlüssel ist, sie nicht als Fehlverhalten der Mitarbeitenden zu betrachten, sondern als Hinweis darauf, wo die eigene IT besser werden kann.

Unsichtbare IT-Risiken sichtbar machen?

Ich unterstütze KMU dabei, ihre tatsächliche IT-Landschaft zu verstehen, Schatten-IT pragmatisch zu adressieren und eine IT-Umgebung zu schaffen, die zu den Bedürfnissen des Unternehmens passt.

Kostenloses Erstgespräch vereinbaren