Schatten-IT und -KI: Kontrolle statt Chaos

Schatten-IT und Schatten-KI breiten sich in Unternehmen unkontrolliert aus – oft unbemerkt, aber mit enormen Risiken. Unsichere Tools gefährden Datenschutz und Compliance. Wie kann ein proaktives IT-Betriebsmodellstrategie helfen, Kontrolle zurückzugewinnen und zugleich innovative Lösungen bereitzustellen? [...]

Schatten-IT ist längst kein Randphänomen mehr: Sie ist der blinde Passagier, der in immer mehr Unternehmen mitfährt, unbemerkt und manchmal sogar geduldet. Vielfach ist dieses Problem noch nicht erkannt, geschweige denn gelöst – und nun kommt mit Schatten-KI schon die nächste Herausforderung an Bord. In beiden Fällen gilt es, so schnell wie möglich gegenzusteuern. 

Die Schattenseite der unkontrollierten IT

Doch der Reihe nach: Was ist Schatten-IT eigentlich? Dieser Begriff bezeichnet jegliche IT-Systeme, -Lösungen oder -Anwendungen, die von Mitarbeitern ohne Wissen oder Zustimmung der IT-Abteilung eingesetzt werden. Dies kann eine Vielzahl von Elementen umfassen, von Cloud-Diensten und Software bis hin zu ganzen Hardware-Systemen. Die Gründe für die Entstehung von Schatten-IT sind vielfältig und oft in den Bedürfnissen und Zwängen des Arbeitsalltags begründet. Benötigt ein Mitarbeiter schnell eine Lösung für ein dringendes Problem, die IT-Abteilung ist jedoch überlastet, dann sucht er sich anderweitig Hilfe, beispielsweise durch eigene Hard- oder Software. Auch fehlende Kenntnisse spielen eine Rolle, da Mitarbeiter sich möglicherweise nicht bewusst sind oder es verdrängen, dass die von ihnen genutzten Tools nicht den Sicherheitsrichtlinien des Unternehmens entsprechen. Die höhere Benutzerfreundlichkeit externer gegenüber internen Lösungen sowie Kostengründe tragen ebenfalls zur Verbreitung von Schatten-IT bei.

Ein Sicherheitsrisiko für Unternehmen

Keine Frage: Schatten-IT birgt erhebliche Risiken für Unternehmen. Nicht autorisierte Systeme sind selten ausreichend geschützt und stellen somit ein Einfallstor für Cyberangriffe dar. Werden Daten in nicht autorisierten Systemen gespeichert, besteht die Gefahr, dass diese verloren gehen oder in falsche Hände geraten. Der Einsatz von Schatten-IT kann zu Verstößen gegen Compliance-Richtlinien und Gesetze führen, was wiederum rechtliche Konsequenzen nach sich ziehen kann. Zudem führt die Nutzung unterschiedlicher Systeme und Anwendungen, die nicht miteinander kompatibel sind, zu Ineffizienz und Mehraufwand – nicht nur in der IT-Abteilung, sondern auch bei der Zusammenarbeit zwischen einzelnen Abteilungen. Diese Fragmentierung der IT-Landschaft kann letztlich die Wettbewerbsfähigkeit des Unternehmens beeinträchtigen.

Schatten-KI: Eine neue Dimension der Herausforderung

Mit dem Aufkommen von künstlicher Intelligenz hat sich das Problem der Schatten-IT noch einmal verschärft. Immer mehr Mitarbeiter nutzen KI-Tools wie ChatGPT, DeepSeek oder andere generative KI-Anwendungen, oft ohne Wissen oder Zustimmung der IT-Abteilung – Schatten-KI. Eine Umfrage des Branchenverbands Bitkom vom November 2024 zeigt, dass der Gebrauch generativer KI-Tools durch Mitarbeitende mit ihren eigenen, privaten Accounts in deutschen Unternehmen deutlich zugenommen hat. Aktuell berichten 34 Prozent der Firmen von solchen Praktiken. In 13 Prozent der Unternehmen handelt es sich um Einzelfälle, was fast eine Verdopplung zum Vorjahr darstellt. Der Umfrage zufolge können nur noch 37 Prozent der Firmen eine private Nutzung von KI-Tools definitiv ausschließen, 2023 waren es noch 51 Prozent.

Datenmissbrauch und Kontrollverlust

ChatGPT & Co. sind einfach auf jedem Smartphone zu installieren oder können direkt im Browser gestartet werden – einfacher kann es für Mitarbeiter nicht sein, diese Tools einzusetzen. Auf der anderen Seite kann es aber auch kaum schwieriger für die IT-Abteilung sein, deren Nutzung zu kontrollieren. Das Problem: KI-Anwendungen sammeln und verarbeiten große Mengen an Daten, darunter auch personenbezogene Informationen. Die Server stehen in den meisten Fällen außerhalb der EU, unterliegen also anderer Rechtsprechung. Die Einhaltung von geltenden Datenschutzgesetzen ist damit kaum umsetzbar. Zudem können unautorisierte Anwendungen anfällig für Sicherheitslücken sein, die von Cyberkriminellen ausgenutzt werden. Spätestens dann stellt sich die Frage, wer für die hieraus entstandenen Schäden haftet. 

Proaktive IT-Betriebsmodellstrategien zur Kontrolle von Schatten-IT und Schatten-KI

Um diesen Herausforderungen zu begegnen, müssen Unternehmen proaktive IT-Strategien entwickeln, um Schatten-IT und Schatten-KI zu erkennen, zu überwachen und am Ende auch zu kontrollieren. Als ersten Schritt gilt es, eine umfassende Bestandsaufnahme der im Unternehmen genutzten IT-Ressourcen durchzuführen. Durch den Einsatz von Monitoring-Tools können unautorisierte Anwendungen identifiziert und deren Nutzung analysiert werden.  

Doch ohne Hilfsmittel ist mitunter schwer, einen Überblick über alle im Unternehmen genutzte IT zu erhalten – sowohl die offizielle als auch die Schatten-IT. Doch nur durch eine umfassende Visibilität des “Gesundheitszustandes“ der IT-Umgebung wird es möglich, die digitale Infrastruktur optimal zu verwalten, potenzielle Risiken frühzeitig zu erkennen und proaktiv gegenzusteuern, bevor sie sich zu ernsthaften Problemen entwickeln. Unternehmen, die in Lösungen investieren, die eine solche Transparenz gewährleisten, schaffen die Basis für eine widerstandsfähige, sichere und zukunftssichere IT-Umgebung, die den Anforderungen der modernen Arbeitswelt gewachsen ist.

Neben dem unverzichtbaren Überblick über die genutzte IT ist vor allem die Implementierung klarer Richtlinien und Prozesse für die Nutzung von IT-Ressourcen ein entscheidender Schritt, um die Risiken von Schatten-IT und -KI zu minimieren. Es reicht jedoch nicht aus, lediglich Regeln aufzustellen. Um Akzeptanz und Compliance zu gewährleisten, ist es unerlässlich, die Mitarbeitenden umfassend und vor allem vor der Einführung von Monitoring-Tools und entsprechenden Vorgaben darüber zu informieren. Niemand möchte das Gefühl haben, von einem allwissenden „Big Brother“ überwacht zu werden. Daher ist eine offene und transparente Kommunikation von entscheidender Bedeutung. Wichtig ist es zudem, genaue Listen zu kommunizieren, welche Tools und Anwendungen genehmigt sind und welche nicht.

Diese Listen sollten leicht zugänglich sein und regelmäßig aktualisiert werden, um sicherzustellen, dass die Mitarbeitenden stets auf dem neuesten Stand sind. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen können das Bewusstsein der Belegschaft für die Risiken von Schatten-IT und Schatten-KI schärfen und die Mitarbeitenden dazu anhalten, offizielle Kanäle für die Beschaffung von IT-Ressourcen zu nutzen. Diese Schulungen sollten nicht nur die potenziellen Gefahren aufzeigen, sondern auch praktische Anleitungen geben, wie Mitarbeitende sichere Alternativen finden und nutzen können. Durch die Förderung einer Kultur der Verantwortlichkeit und des Wissensaustauschs können Unternehmen sicherstellen, dass ihre Mitarbeitenden zu Verbündeten im Kampf gegen Schatten-IT und -KI werden.

Die beste Liste mit erlaubten und verbotenen Tools ist jedoch nichts wert, wenn die IT-Abteilung den offensichtlichen Bedarf der Mitarbeitenden weiterhin nicht befriedigt und keine neuen Lösungen anbietet. Wenn Mitarbeitende die notwendigen Werkzeuge zur Verfügung haben, um ihre Aufgaben effizient zu erledigen, sinkt die Wahrscheinlichkeit, dass sie auf inoffizielle Anwendungen zurückgreifen. Zudem sollte die IT-Abteilung eng mit den Fachabteilungen zusammenarbeiten, um die Bedürfnisse der einzelnen Teams zu verstehen und gemeinsam passende Lösungen zu entwickeln. Auch hier gilt: Kommunikation ist alles.

Fazit

Eine Proaktive IT-Betriebsmodellstrategie ist der wichtigste Schlüssel zur Beherrschung von Schatten-IT und Schatten-KI in Unternehmen. Durch die Kombination aus klaren Richtlinien, kontinuierlicher Echtzeit-Überwachung und enger Zusammenarbeit zwischen IT-Abteilung und Fachbereichen können Unternehmen die Integrität ihrer IT-Infrastruktur sichern und gleichzeitig die Einhaltung von Datenschutz- und Compliance-Vorgaben gewährleisten. Im besten Fall stärken die eingeführten Maßnahmen in Verbindung mit den neuen, offiziell nutzbaren Lösungen die Leistung und Effizienz der gesamten Belegschaft.

*Der Autor Alexander Laubert ist Director DACH bei Lakeside und spezialisiert auf die strategische Entwicklung innovativer IT-Lösungen.