Risiko Schatten-IT
So mistest du die Firmen-IT aus – und schützt dein Unternehmen

Nicht gemanagte Hardware und Software ist für viele Firmen ein Problem: Sogenannte Schatten-IT bietet Angriffsfläche für Hacker – und bedroht die Sicherheit des Unternehmens. Das solltest du tun.

13. November 2025, 17:10 Uhr, von Peter Neitzsch, Wirtschaftsredakteur
Digitalisierung IT-Sicherheit
Kommentieren
Bild eines defekten Datei-Ordners
Achtung Risiko: Schatten-IT – also nicht erfasste Hard- und Software – kann ein Einfallstor für Hacker sein.
© Flavio Coelho / Moment / Getty Images

Definition: Was ist Schatten-IT?

In fast allen Unternehmen schlummern IT-Systeme, die niemand mehr auf dem Schirm hat – Überbleibsel aus Softwaretests, Altlasten aus übernommenen Firmen und Tools, die niemand mehr benötigt. Kurz: Schatten-IT.

Der Begriff bezeichnet alle Hardware und Software im Unternehmen, die nicht zentral erfasst ist. Das können alte Rechner sein, private Geräte, die Mitarbeitende ohne Genehmigung nutzen, oder Programme, die irgendwann einmal installiert und dann vergessen wurden.

„Das Problem an Schatten-IT ist: Bei ihr greifen die Sicherheitsmaßnahmen des Unternehmens nicht“, sagt Steven Arzt vom Fraunhofer-Institut für Sicherheit in der Informationstechnologie in Darmstadt. So werden in vielen Fällen keine Updates mehr eingespielt und Sicherheitslücken nicht geschlossen.

Auch andere Maßnahmen laufen ins Leere, etwa im Bereich Konfiguration. Das ist zum Beispiel der Fall, wenn ein Unternehmen die Zwei-Faktor-Authentifizierung einführt. Dabei müssen Anmelder zusätzlich zum Passwort noch eine PIN eingeben. So eine Maßnahme greift aber immer nur bei bekannten Programmen. „In der nicht registrierten Software bleibt es beim unsicheren Verfahren“, so Arzt. Selbst einfachste Regeln zum Aufbau und Austausch von Passwörtern finden hier keine Anwendung.

Wie kommt es zu Schatten-IT?

„Schatten-IT ist keine Seltenheit, sondern ein grassierendes Problem in Unternehmen“, warnt Sicherheitsexperte Arzt. „Da wird zum Beispiel für einen Messeauftritt eine Extra-Website programmiert – und schon existiert ein paralleles IT-System, das nicht nach den Standards gewartet wird.“

Anzeige
Philipp Lahm empfiehlt DATEV für E-Rechnung
Philipp Lahm empfiehlt DATEV für E-Rechnung
Unternehmen müssen seit 2025 E-Rechnungen empfangen können. Mit DATEV lässt sich diese Pflicht einfach erfüllen. (Testen bis 30.06.2026)
Hier lesen

Oft kennt selbst die IT-Abteilung nicht alle Soft- und Hardware, die im Unternehmen verwendet wird. „Die wenigsten Administratoren haben ihr Firmennetzwerk selbst aufgebaut, die meisten haben es durch Jobwechsel geerbt. Das bedeutet: Viele wissen im Grunde gar nicht, was sie eigentlich schützen sollen“, sagt Zac Warren. Der Chief Security Advisor von Tanium, einem Anbieter von IT-Sicherheitssoftware, berät Großkonzerne und Behörden zu dem Thema.

Schatten-IT kann auf vielen Wegen entstehen: Abteilungen schaffen eigene Hardware an, ohne dies mit der zentralen IT abzusprechen. Oder der Kollege, der ein Programm installiert hat, verlässt das Unternehmen, ohne seinen Account zu löschen. Hacker könnten diesen benutzen, um ins Firmennetzwerk einzudringen.

Oft suchen sich Beschäftigte Umgehungslösungen, weil sie mit der Firmen-IT nicht weiterkommen: „Mitarbeiter installieren Software nicht, um dem Unternehmen zu schaden“, stellt Steven Arzt fest. „Sondern weil sie einen Bedarf haben.“ Möchte ein Teammitglied hochauflösende Fotos mit Kollegen oder Kunden teilen und die Firma bietet dafür keine Möglichkeit, wird es die Bilder privat in eine Cloud laden.

Warum ist Schatten-IT gefährlich?

„Jedes System mit veralteter Software, das eine Internetverbindung aufweist, ist ein Sicherheitsrisiko“, warnt Felix Kuhlenkamp vom IT-Branchenverband Bitkom. Der Referent für Sicherheitspolitik sieht vor allem drei große Gefahren, die durch Schatten-IT in Unternehmen entstehen.

  • Verlust von Daten: „In einer unkontrollierten IT-Umgebung drohen immer auch Datenschutzverstöße“, warnt Kuhlenkamp. Personenbezogene Daten werden möglicherweise länger gespeichert als erlaubt oder gehen schlimmstenfalls verloren und geraten in die falschen Hände.
  • Fehlende Updates: Für die bekannte Unternehmens-IT gibt es in der Regel ein Patchmanagement. Das bedeutet, es wird dafür gesorgt, dass die Software auf dem neuesten Stand ist und bekannte Sicherheitslücken geschlossen werden. Das ist bei Schatten-IT nicht so.
  • Kein Echtzeitschutz: Bei Schatten-IT fehlt auch die fortlaufende Überwachung. „Sicherheitsvorfälle werden oft gar nicht erkannt, weil die Software keinem Monitoring unterliegt“, so Kuhlenkamp.

Wie nutzen Hacker Schatten-IT aus?

„Hacker suchen gezielt nach Schwachstellen im System, etwa nach bekannten Sicherheitslücken, die sie ausnutzen können“, schildert Kuhlenkamp das Vorgehen der Angreifer.

Dazu gehört etwa ein veraltetes Betriebssystem. Läuft beispielsweise auf den Rechnern in der Produktion noch Windows XP, besteht die Gefahr, dass dort Daten ausgespäht werden. Gleiches gilt, wenn Mitarbeitende Firmendaten auf privaten Rechnern speichern, auf denen sie nicht der Kontrolle durch die zentrale IT unterliegen.

In eigener Sache
12 ChatGPT-Hacks für unverschämt gute Marketingtexte
12 ChatGPT-Hacks für unverschämt gute Marketingtexte
Smarte Prompts, mit denen du extrem schnell extrem starke Texte für Social Media, Newsletter, Salespages und Anzeigen erstellst
Jetzt gratis downloaden

Ein Risiko stellen auch veraltete Browser da, die bekannt gewordene Sicherheitslücken enthalten. „Werbung – auch auf seriösen Websites – kann Malware enthalten, die gezielt solche Schwachstellen nutzt“, warnt Steven Arzt vom Fraunhofer-Institut. Dabei übernimmt ein im Hintergrund ausgeführtes Schadprogramm unbemerkt die Kontrolle über den Browser. Auch alte PDF-Viewer oder eine veraltete Microsoft-Office-Suite sind beliebte Einfallstore.

Durch die Schadsoftware erbeutete Daten werden dann zum Beispiel im Darknet an kriminelle Gruppen verkauft. Schlimmstenfalls wird das Unternehmen im Anschluss Opfer einer gezielten Attacke von Hackern, die die gesamte Unternehmens-IT lahmlegt – oft verbunden mit Lösegeldforderungen.

In der Vergangenheit führten solche Vorfälle bereits zur Insolvenz von Unternehmen.

Mehr zum Thema
IT-Infrastruktur absichern
Diese Checkliste kann dein Unternehmen retten
IT-Notfallkarte
Richtig handeln im IT-Notfall – mit dieser Vorlage klappt’s

Wie lassen sich Sicherheitslücken schließen?

Um Sicherheitslecks zu schließen, sollten Unternehmerinnen und Unternehmer regelmäßig nach Schatten-IT fahnden. Dafür müssen sie zunächst sämtliche Hardware und Software in ihrer Firma erfassen. „Ähnlich wie in der Buchhaltung muss ich auch in meiner IT Inventur machen“, sagt Arzt.

Besonders mittelständische Unternehmen tun sich damit oft schwer: „Bei kleinen Teams kann man die Mitarbeiter noch fragen, welche Software sie nutzen“, so Arzt. Große Konzerne wiederum hätten dafür IT-Abteilungen. „Das Problem sind die mittelgroßen Firmen“, warnt der Experte. Dort kenne niemand mehr die gesamte IT, gleichzeitig fehle das professionelle Sicherheitsmanagement.

„Schatten-IT kann im Prinzip jeder selbst aufräumen“, sagt Zac Warren von Tanium. Allerdings seien die wenigsten Unternehmen bereit, sich wirklich die Arbeit zu machen. Für kleine Mittelständler sei es daher oft einfacher, einen Dienstleister auf das Problem anzusetzen. Den Kosten stehen auch Einsparungen gegenüber: „Viele Firmen bezahlen für Lizenzen, die sie gar nicht mehr nutzen.“ Hier aufzuräumen, spare sofort bares Geld.

Hinzu kommt: Anbieter von Cyber-Security-Policen versichern Unternehmen nur, wenn diese nachweisen können, dass sie Maßnahmen zum Schutz der IT-Systeme ergriffen haben.

Für Mitglieder
Innere Antreiber entlarven
impulse+ icon
Innere Antreiber entlarven
Für alle, die eigene unbewusste Verhaltensmuster erkennen, verstehen und auflösen wollen.
Jetzt herunterladen

Schritt 1: Die Hardware erfassen

Inhaberinnen und Inhabern rät Arzt zu Pragmatismus: „Man sollte immer das größte Problem zuerst lösen.“ Und das sei in der Regel, sich einen Überblick über die Hardware zu verschaffen.

Im ersten Schritt können Firmen einen sogenannten Portscan durchführen, um alle ans Netzwerk angeschlossenen Geräte zu identifizieren. Dafür würden sich bereits einfache Tools wie Nmap eignen. „Man kann immer noch mehr machen, aber ein simpler Portscan ist besser als nichts und geht ohne viel Aufwand.“

Werde dann ein veralteter Office-PC oder Laptop im Netzwerk entdeckt, könne man diesen updaten, solange das Betriebssystem noch aktuell sei. Bei einem veralteten Betriebssystem sei es meist die einfachste Lösung das Gerät zu ersetzen.

Auch bei veralteten Produktionsmaschinen müssten sich Unternehmerinnen und Unternehmer Gedanken machen, ob sie die Maschine nicht besser austauschen. „Wir haben hier Lebenszyklen von mehr als zehn Jahren, aber irgendwann ist auch da Schluss“, sagt Arzt. Rücksprache mit dem Hersteller schafft hier Klarheit.

Schritt 2: Die Software erfassen

Als nächstes sollten Unternehmerinnen und Unternehmer die genutzte Software ermitteln. „Grundsätzlich lässt sich recht einfach eine Liste mit allen installierten Programmen zusammenstellen“, sagt Felix Kuhlenkamp vom Branchenverband Bitkom. Möglich ist das mit einem Software-Inventory-Tools wie Lansweeper oder dem Network Inventory Advisor (NIA).

Die Tools lesen direkt aus dem Betriebssystem aus, welche Software installiert ist. Inhaber können sich so einen Überblick verschaffen, ohne dass sie mühsam durch die Abteilungen gehen müssen. „Das kann sonst schnell zur Herkulesaufgabe werden“, warnt Warren.

Diese Software-Liste sollte man dann systematisch durchgehen und sich die folgenden Fragen stellen:

  • Welche Programme haben Zugriff auf sensible Daten?
  • Wo braucht es regelmäßige Updates oder eine sichere Alternative?
  • Welche Software wird im Grunde gar nicht mehr benötigt?

Noch mehr Werkzeuge bietet eine Endpoint-Management-Technologie, die alle Endgeräte im Netzwerk zentral steuert und verwaltet. Durch sie lassen sich Betriebssysteme konfigurieren, Software verteilen, Updates einspielen und Geräte sperren. Anbieter im Firmenkundenbereich sind etwa Tanium oder Bigfix.

Wie lässt sich neue Schatten-IT verhindern?

Damit Schatten-IT gar nicht erst entsteht, sollten Firmen dem Wildwuchs aktiv vorbeugen – etwa durch technische Maßnahmen. „Allerdings reicht das allein nicht aus“, warnt Kuhlenkamp. Um das Problem wirklich in den Griff zu bekommen, brauche es zusätzlich organisatorische Maßnahmen.

1. Technische Maßnahmen

  • Zugangskontrolle: Unternehmen sollten standardmäßig überprüfen, welche Geräte auf das Intranet zugreifen. „Es ist wichtig, dass es überhaupt auffällt, wenn sich externe Rechner am Firmennetzwerk anmelden“, sagt Kuhlenkamp.
  • Geräte-Konfiguration: Die Hardware, die ans Firmennetzwerk angeschlossen wird, sollte zuvor „gehärtet“ – also entsprechend konfiguriert – werden. So können Unternehmen zum Beispiel die USB-Ports an den Firmengeräten deaktivieren.
  • Einheitliche Software: „Aus Sicherheitsgründen würde ich die IT immer vereinfachen“, rät Zac Warren von Tanium. Das reduziere die Fehlerquote. Auch könnten Firmen im Krisenfall schneller reagieren, wenn sie nicht Software von vielen verschiedenen Herstellern managen müssen.

2. Organisatorische Maßnahmen

  • Schulungen zur IT-Sicherheit: Damit Schatten-IT wirksam bekämpft werden kann, müssen alle Mitarbeitenden die Risiken kennen. „Das Thema Schatten-IT sollte regelmäßig in Sicherheitsschulungen aufgegriffen werden“, rät Kuhlenkamp.
  • Bedarf abdecken: Die IT-Abteilung sollte regelmäßig bei den Fachabteilungen erfragen, welchen Bedarf es gibt, und entsprechende Software schnell und unbürokratisch bereitstellen. So lässt sich verhindern, dass sich Mitarbeitende eigene Alternativen suchen.
  • IT-Richtlinien: Jedes Unternehmen sollte sich IT-Richtlinien geben. Und darin etwa festlegen, wie Software installiert und beschafft werden darf – und, dass USB-Sticks verboten sind. „Da gehören Firmendaten einfach nicht drauf, weil sie sonst in die falschen Hände geraten können“, erklärt Steven Arzt.

Mit den richtigen Spielregeln können dann auch private Endgeräten für die Arbeit erlaubt werden. „Gegen ‚bring your own device‘ ist überhaupt nicht einzuwenden, wenn es ein klares Sicherheitskonzept gibt“, sagt Arzt. So kann zum Beispiel auf dem privaten Handy oder Laptop ein speziell gesicherter Container installiert werden.

In eigener Sache
12 ChatGPT-Hacks für unverschämt gute Marketingtexte
12 ChatGPT-Hacks für unverschämt gute Marketingtexte
Smarte Prompts, mit denen du extrem schnell extrem starke Texte für Social Media, Newsletter, Salespages und Anzeigen erstellst
Jetzt gratis downloaden
Mehr lesen über
Digitalisierung IT-Sicherheit
Mann vor einem Laptop mit Kreditkarte
IT-Sicherheit im Arbeitsalltag
„Sicherheitsmaßnahmen müssen im Arbeitsalltag machbar sein“
IT-Security ist wichtig. Doch Unternehmer und auch Mitarbeiter schieben das Thema im Alltag trotzdem häufig beiseite. Ein Gespräch mit Security-Expertin Martina Sasse, wie IT-Sicherheit wirklich umgesetzt wird.
Collage im Comic-Stil, die verschiedene Symbole zum Thema Cyber-Security enthält
Online-Betrugsmaschen
Auch du bist im Visier! Die 3 Top-Fallen, die Cyberkriminelle stellen
Gefakte Bewerbungen, E-Mails und Webshops: Mit ­verschiedenen Maschen versuchen Kriminelle, Firmen zu schaden. Wo Gefahren lauern und wie du dich schützen kannst.
Darstellung eines Herzens, das aus weißen Leiterbahnen und elektronischen Bauteilen besteht – wie eine Platine. In der Mitte befindet sich ein Mikrochip mit einem Herzsymbol. Das Herz befindet sich auf einem rot-rosa Hintergrund.
impulse Titelstory 05/2025
Kollegin KI
Hier findest du alle Artikel und Downloads der impulse-Titelstory "Kollegin KI". Erfahre, wie du dein Team für Künstliche Intelligenz begeisterst und dein Unternehmen fit für die Zukunft machst.
Beliebte FAQs und Anleitungen aus den 6 Feldern unternehmerischer Herausforderungen