Schatten-IT und Schatten-KI: Cyberrisiken für Unternehmen

Das Wichtigste auf einen Blick

• Schatten-IT und Schatten-KI sind ein Risiko für Unternehmensdaten, weil Vertraulichkeit und Integrität nicht verlässlich abgesichert sind.
• Unkontrollierte Software und KI-Anwendungen erhöhen das Kostenrisiko, wenn doppelte Lizenzen gekauft werden oder die IT-Struktur im Nachhinein aufwendig angepasst bzw. gesichert werden muss.
• Nicht kontrollierte Anwendungen können ein Einfallstor für Malware und Datendiebstahl sein – ein unbemerkter Datenabfluss kann gravierende Folgen für Datenschutz und Compliance haben.

Artikel als PDF

Lesezeit ca. 11 Minuten

Im Arbeitsalltag sind sie weit verbreitet: das Cloud-Tool für den Datenversand, KI-Chatbots für Textentwürfe oder ein Plugin zum Tracken der Arbeitszeit. Oft werden solche Anwendungen ohne Wissen und ohne Freigabe der IT-Abteilung genutzt – es entstehen erhebliche Sicherheits- und Kostenrisiken, ohne dass es den Mitarbeitenden bewusst ist.  

Wir geben Ihnen in diesem Beitrag einen Überblick, wie Sie sogenannte Schatten-IT und Schatten-KI in Ihrem Unternehmen erkennen, wie Sie die Risiken einordnen und wirksam reduzieren.

Was bedeutet Schatten-IT?

Schatten-IT bezeichnet IT-Anwendungen, Cloud-Dienste (auch SaaS-Abonnements als „Shadow Subscriptions“), Browser-Plugins/Extensions, No-Code-Automationen oder Hardware, die Mitarbeitende ohne Freigabe der IT-Abteilung, also außerhalb der geltenden Sicherheits-, Datenschutz- und Compliance-Vorgaben, im Unternehmen nutzen. 

Unter Schatten-IT fallen beispielsweise der Austausch von Unternehmensdaten per WhatsApp oder der Datentransfer über private Dropbox-, Google-Drive-, WeTransfer-, TransferNow-, Notion-, Trello-, Jira-Cloud-, Calendly-Accounts. Auch die nicht genehmigte Nutzung von privaten Laptops oder Smartphones im Unternehmensnetzwerk zählt zu Schatten-IT und kann die Informationssicherheit gefährden.

Malware oder Schadsoftware, die Cyberkriminelle von außen in eine Unternehmens-IT einschleusen, fallen nicht unter den Begriff „Schatten-IT“, sondern unter externe Cyberbedrohungen oder Angriffe. Schatten-IT beschreibt ausschließlich nicht autorisierte, aber von Mitarbeitenden initiierte IT-Nutzungen und ist ein internes Steuerungs- und Governance-Thema – und damit durch klare Regeln, Freigabeprozesse und technische Kontrollen gezielt reduzierbar.

Was ist der Unterschied zwischen Schatten-IT und Schatten-KI?

Neben Schatten-IT sind Unternehmen seit einigen Jahren zunehmend mit dem Phänomen Schatten-KI konfrontiert: Darunter fällt der Einsatz von KI-Tools und LLMs wie ChatGPT und Perplexity ohne Freigabe und ohne verbindliche Leitlinien zur KI-Nutzung durch die Unternehmensführung – etwa zum Übersetzen oder Zusammenfassen von vertraulichen Mails, oder bei der Optimierung von Kalkulationen und Angeboten.  

Kritisch wird es insbesondere dann, wenn vertrauliche oder personenbezogene Daten in nicht freigegebene KI-Tools (oft über private Accounts) eingegeben werden oder wenn Mitarbeitende freigegebene KI-Tools über Umgehungswege ohne Logging oder Policies nutzen. 

Bei vielen frei verfügbare KI-Tools fehlen aus Unternehmenssicht belastbare vertragliche und datenschutzbezogene Zusagen zu Datenverarbeitung, AVV/Unterauftragsverhältnissen oder Datenverbleib. Ohne Freigabe und vertragliche Grundlage sollten daher keine vertraulichen oder personenbezogenen Daten eingegeben werden.

Laut einer aktuellen Bitkom-Studie aus dem Oktober 2025 gehen 4 von 10 Unternehmen in Deutschland davon aus, dass ihre Mitarbeitenden im Job KI-Anwendungen über private Zugänge nutzen.

Warum nutzen Mitarbeitende Schatten-IT und Schatten-KI?

Mitarbeitende nutzen Schatten-KI oder Schatten-IT meist ohne böse Absicht, sondern aus pragmatischen Gründen, um Aufgaben schneller und effizienter zu erledigen. Mitunter werden die „offiziellen“ IT- oder KI-Lösungen als unpraktisch, langsamer oder weniger effizient empfunden, teilweise gibt es die benötigten Lösungen aber auch einfach noch nicht im Unternehmen.  

Ein Beispiel aus dem Unternehmensalltag: Ein Projektteam mit mehreren Mitarbeitenden an unterschiedlichen Standorten muss unter Zeitdruck eine Präsentation für einen Kunden fertigstellen. Für die Erstellung der Präsentation nutzen sie private ChatGPT-Accounts und laden firmeninterne Dokumente hoch. Die unterschiedlichen Dateiversionen teilen sie über private Dropbox-Accounts. Da das Team durch private ChatGPT- und Dropbox-Accounts Dateien und Kommunikation außerhalb der kontrollierten Unternehmens-IT abwickelt, werden interne Kontrollen ausgehebelt. 

Solche Risiken von nicht-autorisierter Hard- oder Software und frei verfügbaren KI-Anwendungen und deren mögliche Auswirkungen sind vielen Mitarbeitenden gar nicht bewusst. Daher sind Mitarbeiterschulungen und Awareness-Trainings ein wichtiger Teil eines entsprechenden Informationssicherheitskonzepts.

Laut Bitkom-Studie haben 2025 knapp ein Viertel der Unternehmen (23 Prozent) Regeln für den Einsatz von KI-Tools aufgestellt, während es 2024 noch 15 Prozent waren. Die Zunahme von Regeln für die Nutzung von KI in Unternehmen signalisiert ein wachsendes Bewusstsein im Umgang mit KI-Risiken.

Warum sind Schatten-IT und Schatten-KI so gefährlich für Ihr Unternehmen?

Unbekannte oder nicht genehmigte IT-Anwendungen werden nicht durch das interne Informationssicherheitsmanagement (ISMS) und das Asset-/Service-Management erfasst. Dadurch fehlen Owner, Patch-/Vulnerability-Management sowie Logging und Monitoring. Damit fehlt der vollständige Überblick über die IT-Struktur, die genutzten Lizenzen und über erforderliche Updates und Sicherheitschecks – das Risiko von Compliance-Verstößen, Reputationsschäden und möglichen zusätzlichen der IT unbekannten Angriffsvektoren steigt.

Welche konkreten Risiken bringen Schatten-IT und KI-Tools?

• Unbemerkter Datenabfluss: Werden vertrauliche Daten per WhatsApp oder WeTransfer geteilt oder in KI-Chatbots kopiert, können sie unkontrolliert an Dritte gelangen, außerhalb der Unternehmens-IT gespeichert oder weiterverarbeitet werden und damit Zugriffsrechte, Protokollierung sowie Datenschutz- und Geheimhaltungspflichten unterlaufen. Besonders kritisch sind öffentliche Freigabelinks ohne Ablaufdatum sowie angebundene Dritt-Apps (OAuth), die weitreichende Zugriffsrechte auf Mail oder Drive erhalten. 
• Datenschutz und Compliance: Lässt sich die Personalabteilung z. B. Lebensläufe oder Beurteilungen mit einer KI zusammenfassen, werden personenbezogene Daten in ein externes System übertragen. Ohne klare Freigaben, Datenschutzprüfungen und definierte Prozesse (z. B. AV-Vertrag, Löschkonzept, Berechtigungen) drohen DSGVO-Verstöße, unklare Verantwortlichkeiten und im Zweifel auch Fehlentscheidungen, wenn KI-Inhalte ungeprüft übernommen werden. 
• Fehlender Zugriff und Dokumentation: Werden Dateien in privaten Clouds oder externen Tools gespeichert, sind Datenzugriff und Datensicherheit oft unklar. Zudem besteht das Risiko, dass Mitarbeitende das Unternehmen verlassen und die Dateien in ihrer Cloud für andere Mitarbeitende nicht mehr verfügbar sind. Ohne definierte Exit- und Backup-Regeln sind Aufbewahrung, Wiederherstellung und rechtssichere Archivierung nicht gewährleistet. 
• Fehler und Haftung: Werden KI-Texte ungeprüft übernommen, können fachliche Fehler, falsche Zusagen oder unzulässige Formulierungen in Angebote, Verträge oder Marketingunterlagen gelangen – mit Risiken für Haftung, Gewährleistung und Compliance. 
• Ungeplante Mehrkosten: Wenn mehrere Mitarbeitende oder Abteilungen die gleichen Anwendungen nutzen, ohne sich abzustimmen, können Schattenkosten entstehen, etwa durch doppelte Lizenzen. Die Verwaltung von doppelten Zugängen, Verträgen und Kündigungsfristen kann schnell unübersichtlich werden.  
• Gefahr von Cyberangriffen: Werden Software, KI-Anwendungen, Apps oder Plugins nicht durch die internen IT-Sicherheitssysteme geschützt und kontrolliert, steigt die Gefahr, dass Cyberkriminelle Malware einschleusen, Zugangsdaten wie Passwörter abgreifen oder sich unbemerkt Zugriff auf E-Mail, Cloud-Speicher und interne Systeme verschaffen. Mögliche Folgen reichen von Datenabfluss, Systemausfällen und Betriebsunterbrechungen bis hin zu Erpressungen (Ransomware). Hier ist das Kostenrisiko besonders hoch, u. a. für Incident Response, Forensik, Wiederherstellung und externe Dienstleister. Hinzu kommen mögliche Verstöße gegen Vertraulichkeitsvereinbarungen oder andere vertragliche Pflichten sowie Umsatz- und Reputationsverluste.

Wie können Unternehmen die Nutzung von Schatten-IT und -KI erkennen und verhindern?

Unternehmen verhindern Schatten-IT und die unkontrollierte Nutzung von KI-Tools am besten mit einer Kombination aus gut kommunizierten, klaren Regeln und attraktiven, freigegebenen Alternativen – damit Mitarbeitende gar nicht erst auf Schatten-Tools ausweichen. Ergänzend können AI-Governance-Tools, angemessene Berechtigungskonzepte und Proxies/Webfilter unterstützen.

Checkliste: Schatten-IT und -KI im Unternehmen reduzieren

• IT-Inventur durchführen: Verschaffen Sie sich einen vollständigen Überblick über genutzte Hardware, Software, Cloud-Dienste, Apps, Browser-Plugins sowie sonstige Zugänge, Abos und Tools. Nutzen Sie geeignete Tools und vorhandene Informationen z.B. aus Endpoint / MDM-Inventar. 
• Bedarf ermitteln: Fragen Sie Ihre Mitarbeitenden, welche Anwendungen sie für ihre Arbeit nutzen und welche Funktionen sie benötigen oder vermissen. 
• Unbekannte Anwendungen prüfen: Bewerten Sie neu entdeckte Anwendungen darauf, ob sie aus Unternehmens- und Informationssicherheitssicht freigegeben werden können. Prüfen Sie Anwendungen auf Sicherheit, DSGVO-Konformität (z. B. AV-Vertrag, TOMs, Löschkonzept), Datenstandort, Berechtigungen und Lizenzlage. Sichere Anwendungen können von der IT-Abteilung offiziell freigegeben werden, alle anderen sollten entfernt werden, nachdem die Daten gesichert wurden.  
• Nutzungsleitlinien: Legen Sie klare Regeln für das Speichern, Bearbeiten und Teilen von Unternehmensdaten fest. Die Einordnung in Sicherheitskategorien (z. B. „öffentlich“, „intern“, „vertraulich“) kann bei der Umsetzung der Leitlinien helfen.  
• Mitarbeitende schulen: Sensibilisieren Sie Mitarbeitende anhand typischer Alltagssituationen (z. B. Filesharing, externe Projekttools, KI-Nutzung) und stellen Sie konkrete und freigegebene Alternativen zur Verfügung. 
• Regelmäßige Kontrollen: Führen Sie wiederkehrende automatisierte Reviews der IT-Landschaft durch und prüfen Sie Nutzung, Maßnahmen und Verantwortlichkeiten. 
• Einkauf und Finance einbinden: Nutzen Sie Rechnungen, Kreditkartenumsätze und Lizenzkäufe als Frühwarnsystem für „Shadow Subscriptions“ wie SaaS-Abos außerhalb der IT.  
• Freigabeprozess beschleunigen: Richten Sie einen schnellen, standardisierten Prozess ein, damit Teams neue Tools in Tagen statt Wochen prüfen lassen können – sonst entstehen schnell Umgehungslösungen.

Fazit: Schatten-IT und -KI identifizieren, um IT-Sicherheitslücken zu schließen

Schatten-IT und Schatten-KI sind keine Ausnahme, sondern häufiger in Unternehmen zu finden als angenommen. Für Unternehmensleitungen ist es wichtig zu verstehen, dass unerlaubte Anwendungen meist nicht aus böser Absicht, sondern aus Zeitdruck, Bequemlichkeit, fehlender Funktionalität der bestehenden Lösungen und zu langsamen Freigabeprozessen genutzt werden. Daher sind ein enger Austausch mit den Abteilungen und regelmäßige Reviews wichtig, um die IT-Strukturen und Prozesse im Unternehmen zu optimieren. 
Zudem sind die Risiken unkontrollierter Systeme, Plattformen, Tools und Plugins erheblich: Daten können unkontrolliert abfließen, Datenschutz- und Compliance-Pflichten unterlaufen und Sicherheitslücken entstehen. 
Das Erkennen und Beheben dieser Risiken und Sicherheitslücken sollte daher ein wichtiger Teil Ihrer Informationssicherheitsstruktur sein.

So unterstützen wir Sie bei der Reduktion von Schatten-IT und Schatten-KI

Unser IT-Consulting-Team unterstützt Sie dabei, Schatten-IT und Schatten-KI systematisch sichtbar zu machen, Risiken zu bewerten und gezielt zu reduzieren. Dafür kombinieren wir eine pragmatische Bestandsaufnahme (inkl. Anwendungen, Zugängen und „Shadow Subscriptions“) mit klaren Nutzungsleitplanken, einem schlanken Freigabeprozess und passenden Kontrollmechanismen. 

So schaffen Sie Transparenz über tatsächlich genutzte Tools, senken Sicherheits- und Compliance-Risiken und stellen Ihren Fachbereichen zugleich praktikable, freigegebene Alternativen bereit.