Als Schatten-IT wird jede Software, Hardware oder IT-Ressource bezeichnet, die in einem Unternehmensnetz ohne Genehmigung der IT-Abteilung und oft auch ohne deren Wissen oder Aufsicht verwendet wird. Die gemeinsame Nutzung von Arbeitsdateien in einem persönlichen Dropbox-Konto oder auf einem USB-Laufwerk, Meetings über Skype, wenn das Unternehmen WebEx verwendet, das Starten einer Slack-Gruppe ohne Zustimmung der IT-Abteilung - all dies sind Beispiele für Schatten-IT.

Schatten-IT umfasst keine  Malware  oder andere bösartige, von Hackern eingeschleuste Ressourcen. Sie bezieht sich nur auf nicht genehmigte Ressourcen, die von den autorisierten Endbenutzern des jeweiligen Netzes verwendet werden.

In der Regel nutzen Endbenutzer und Teams die Schatten-IT, weil sie sie sofort einsetzen können, ohne auf die Genehmigung der IT-Abteilung warten zu müssen, oder weil sie der Meinung sind, dass diese Software für ihre Zwecke bessere Leistungsmerkmale bietet als die alternative IT-Lösung. Doch ungeachtet dieser Vorteile kann die Schatten-IT erhebliche Sicherheitsrisiken mit sich bringen. Da das IT-Team über die Verwendung der Schatten-IT keine Kenntnis hat, überwacht es diese Systeme nicht und kümmert sich deswegen auch nicht um die Schwachstellen dieser Systeme. Hacker können die Verwendung von Schatten-IT besonders leicht ausnutzen. Laut dem Bericht  State of Attack Surface Management 2022  (Stand des Angriffsflächenmanagements) von Randori wurden fast 7 von 10 Unternehmen im letzten Jahr durch Schatten-IT kompromittiert.

Laut Cisco verwenden 80 Prozent der Mitarbeiter von Unternehmen Schatten-IT. Einzelne Mitarbeiter setzen Schatten-IT oft aus Gründen der Bequemlichkeit und Produktivität ein. Sie sind der Meinung, dass sie effizienter oder effektiver arbeiten können, wenn sie ihre persönlichen Geräte und ihre bevorzugte Software anstelle der vom Unternehmen genehmigten IT-Ressourcen verwenden.

Dies verstärkte sich noch mit der zunehmenden Konsumerisierung der IT und in jüngster Zeit auch mit der Zunahme der Telearbeit. Software-as-a-Service (SaaS) ermöglicht es jedem, der über eine Kreditkarte und ein Minimum an technischem Wissen verfügt, hochentwickelte IT-Systeme für die Zusammenarbeit, das Projektmanagement, die Erstellung von Inhalten und vieles mehr einzusetzen. Die BYOD-Richtlinien (Bring Your Own Device) von Unternehmen gestatten ihren Mitarbeitern, ihre eigenen Computer und Mobilgeräte in Unternehmensnetzen zu nutzen. Aber selbst wenn ein formelles BYOD-Programm im Unternehmen eingeführt wurde, haben IT-Teams oft keinen Überblick über die Software und Services, die Mitarbeiter auf ihrer BYOD-Hardware verwenden. Es kann daher schwierig sein, IT-Sicherheitsrichtlinien für die persönlichen Geräte der Mitarbeiter durchzusetzen.

Schatten-IT ist jedoch nicht immer nur das Ergebnis der Aktivitäten einzelner Mitarbeiter. Schatten-IT-Anwendungen werden auch von Teams genutzt. Laut Gartner werden 38 Prozent der technologischen Anschaffungen von der Geschäftsleitung und nicht von der IT-Abteilung verwaltet, definiert und kontrolliert. Teams möchten neue Cloud-Services, SaaS-Anwendungen und andere Informationstechnologien einführen, haben jedoch oft das Gefühl, dass die von der IT-Abteilung und dem CIO durchgeführten Beschaffungsprozesse zu aufwändig oder zu langsam sind. Also umgehen sie die IT-Abteilung, um die neue Technologie zu beschaffen, die sie sich wünschen. Ein Softwareentwicklungsteam könnte beispielsweise eine neue integrierte Entwicklungsumgebung (IDE) einführen, ohne die IT-Abteilung zu konsultieren, weil das förmliche Genehmigungsverfahren die Entwicklung verzögern und das Unternehmen dadurch eine Marktchance verpassen würde.

Nicht genehmigte Software, Anwendungen und Services von Drittanbietern sind die vielleicht am weitesten verbreitete Form der Schatten-IT. Einige Beispiele umfassen:

• Produktivitäts-Apps wie Trello und Asana

• Cloudspeicher-, Dateifreigabe- und Dokumentenbearbeitungsanwendungen wie Dropbox, Google Docs, Google Drive und Microsoft OneDrive

• Kommunikations- und Messaging -Apps einschließlich Skype, Slack, WhatsApp, Zoom, Signal, Telegram sowie persönliche E-Mail-Konten

Diese Cloud-Services und SaaS-Angebote sind oft leicht zugänglich. Sie sind intuitiv zu bedienen und kostenlos oder sehr preiswert erhältlich, so dass Teams sie bei Bedarf schnell einsetzen können. Oftmals bringen Mitarbeiter diese Schatten-IT-Anwendungen mit an den Arbeitsplatz, weil sie sie bereits privat nutzen. Mitarbeiter können auch von Kunden, Partnern oder Serviceanbietern eingeladen werden, diese Services zu nutzen. Es ist beispielsweise nicht ungewöhnlich, dass Mitarbeiter die Produktivitäts-Apps von Kunden nutzen, um gemeinsam an Projekten zu arbeiten.

Die persönlichen Geräte der Mitarbeiter - Smartphones, Laptops und Speichergeräte wie USB-Laufwerke und externe Festplatten - sind eine weitere häufige Quelle von Schatten-IT. Mitarbeiter können ihre Geräte für den Fernzugriff, die Speicherung oder die Übertragung von Netzressourcen verwenden. Ebenso können sie diese Geräte im Rahmen eines offiziellen BYOD-Programms vor Ort verwenden. In jedem Fall ist es für IT-Abteilungen oft schwierig, diese Geräte mit den traditionellen Asset-Management-Systemen zu erkennen, zu überwachen und zu verwalten.

Während Mitarbeiter Schatten-IT in der Regel wegen ihrer vermeintlichen Vorteile einsetzen, stellen Schatten-IT-Assets potenzielle Sicherheitsrisiken für Unternehmen dar. Diese Risiken umfassen:

• Verlust von IT-Sichtbarkeit und Kontrolle: Da das IT-Team in der Regel keine Kenntnis von bestimmten Schatten-IT-Ressourcen hat, werden Sicherheitslücken in diesen Ressourcen nicht behoben. Laut Randoris Bericht „State of Attack Surface Management 2022“ existieren in einem typischen Unternehmen 30 Prozent mehr gefährdete Assets, als durch die Asset-Management-Programme identifiziert wurden. Endbenutzer oder Abteilungsteams verstehen die Bedeutung von Updates, Patching, Konfigurationen, Berechtigungen und kritischen Sicherheits- und Kontrollmechanismen für diese Ressourcen unter Umständen nicht, was die Gefährdung des Unternehmens noch weiter vergrößert.

• Unsicherer Schutz von Daten: Auf ungesicherten Schatten-IT-Geräten und -Apps könnten vertrauliche Daten gespeichert werden, auf die zugegriffen wird oder die über sie übertragen werden, wodurch das Unternehmen dem Risiko von Datenschutzverletzungen oder Datenlecks ausgesetzt ist. In Schatten-IT-Anwendungen gespeicherte Daten werden bei Backups von offiziell genehmigten IT-Ressourcen nicht erfasst. Dies erschwert die Wiederherstellung von Informationen nach einem Datenverlust. Schatten-IT kann außerdem zu Dateninkonsistenzen beitragen: Wenn Daten über mehrere Schatten-IT-Ressourcen ohne zentrales Management verteilt sind, arbeiten die Mitarbeiter möglicherweise mit inoffiziellen, ungültigen oder veralteten Informationen.

• Probleme mit der Compliance: Vorschriften wie der Health Insurance Portability and Accountability Act (HIPAA), der Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutz-Grundverordnung (DSGVO) stellen strenge Anforderungen an die Verarbeitung personenbezogener Daten (PII). Schatten-IT-Lösungen, die von Mitarbeitern und Abteilungen ohne Compliance-Know-how entwickelt wurden, erfüllen diese Datensicherheitsstandards möglicherweise nicht. Dies könnte zu Geldstrafen oder rechtlichen Schritten gegen ihr Unternehmen führen.

• Ineffizienzen im Unternehmen: Schatten-IT-Anwendungen lassen sich möglicherweise nicht ohne Weiteres in die genehmigte IT-Infrastruktur integrieren. Sie behindern Arbeitsabläufe, die auf gemeinsam genutzte Informationen oder Ressourcen angewiesen sind. Es ist unwahrscheinlich, dass das IT-Team bei der Einführung von neuen genehmigten Assets oder der Bereitstellung von IT-Infrastruktur für eine bestimmte Abteilung Schatten-IT-Ressourcen berücksichtigt. Infolgedessen kann die IT-Abteilung Änderungen am Netz oder an den Netzressourcen vornehmen, die die Funktionalität der IT-Schattenressourcen, auf die sich die Teams verlassen, beeinträchtigen.

In der Vergangenheit haben Unternehmen oft versucht, diese Risiken durch ein vollständiges Verbot der Schatten-IT zu mindern. IT-Führungskräfte haben jedoch zunehmend akzeptiert, dass Schatten-IT unvermeidlich ist. Viele von ihnen haben inzwischen die geschäftlichen Vorteile der Schatten-IT erkannt. Diese Vorteile umfassen:

• Ermöglichung von mehr Handlungsspielraum als Reaktion der Teams auf Veränderungen in der Unternehmenslandschaft und auf die Entwicklung neuer Technologien

• Ermöglichung des Einsatzes der besten Tools für die jeweiligen Tasks

• Rationalisierung des IT-Betriebs durch Verringerung der für die Beschaffung neuer IT-Ressourcen erforderlichen Kosten und Ressourcen

Um die Risiken der Schatten-IT zu mindern und ohne auf diese Vorteile zu verzichten, versuchen viele Unternehmen nun, die Schatten-IT mit den Standard-IT-Sicherheitsprotokollen in Einklang zu bringen, anstatt sie gänzlich zu untersagen. Zu diesem Zweck implementieren IT-Teams häufig Cybersecurity-Technologien wie ASM-Tools (Attack Surface Management), die die dem Internet zugewandten IT-Ressourcen eines Unternehmens kontinuierlich überwachen, um Schatten-IT zu erkennen und zu identifizieren, sobald sie eingesetzt wird. Diese Schatten-Assets können dann auf Schwachstellen untersucht und ihre Schwachstellen bewertet und behoben werden. 

Unternehmen können auch die Software Cloud Asset Security Broker (CASB) einsetzen, die sichere Connections zwischen Mitarbeitern und allen von ihnen genutzten Cloud-Assets, einschließlich bekannter und unbekannter Assets, gewährleistet. CASB kann Schatten-Cloud-Services aufspüren und sie Sicherheitsmaßnahmen wie Verschlüsselung, Richtlinien für die Zugriffssteuerung und Malware-Erkennung unterwerfen.