Blog
News Releases Glossary What is Passwork?
Cybersecurity

Schatten-IT 2026: Risiken, Erkennung und Managementstrategien

Alex Muntyan
Eisberg-Illustration, die das verborgene Ausmaß von Schatten-IT in Organisationen zeigt, mit der sichtbaren Spitze über Wasser und einem großen untergetauchten Bereich mit der Bezeichnung „IT

Schatten-IT im Jahr 2026 sieht völlig anders aus als noch vor fünf Jahren. Das Problem sind jetzt KI-Agenten mit persistenten OAuth-Tokens, LLM-Sitzungen, die stillschweigend proprietären Quellcode verarbeiten, und verwaiste SaaS-Accounts, an deren Einrichtung sich niemand erinnert. Jedes einzelne Element erweitert die Angriffsfläche des Unternehmens weit über das hinaus, wofür ein traditioneller Netzwerkperimeter konzipiert war.

Laut dem State of Shadow AI-Bericht von UpGuard nutzen über 80 % der Mitarbeiter nicht genehmigte KI-Tools. Eine Gartner-Umfrage unter 302 Cybersicherheitsverantwortlichen (März–Mai 2025) ergab, dass 69 % der Organisationen entweder vermuten oder bestätigt haben, dass Mitarbeiter verbotene öffentliche GenAI-Tools nutzen. Gartner prognostiziert, dass bis 2030 mehr als 40 % der Unternehmen einen Sicherheits- oder Compliance-Vorfall im Zusammenhang mit nicht autorisierter Schatten-KI erleben werden.

Der DTEX/Ponemon-Bericht 2026 zu den Kosten von Insider-Risiken beziffert die jährlichen Kosten durch Insider-Fahrlässigkeit — hauptsächlich verursacht durch Schatten-KI — auf 10,3 Millionen US-Dollar pro Organisation. Diese Summe umfasst Vorfälle ohne böswillige Absicht: lediglich Mitarbeiter, die Tools nutzen, die die IT nie genehmigt hat, und Budgets, die stillschweigend Infrastruktur finanzieren, die niemand sehen oder absichern kann.

Wichtigste Erkenntnisse

  • Schatten-IT im Jahr 2026 ist ebenso ein KI-Problem wie ein SaaS-Problem. KI-Agenten mit persistenten OAuth-Tokens, LLM-Sitzungen, die proprietären Quellcode verarbeiten, und verwaiste SaaS-Accounts, die ihre Besitzer überdauern, stellen jetzt die Risiken mit der höchsten Schwere dar.
  • Schatten-KI unterscheidet sich grundlegend von traditioneller Schatten-IT. Nicht genehmigte SaaS-Tools speichern Daten am falschen Ort. Nicht genehmigte KI-Tools verarbeiten, analysieren und handeln auf deren Basis.
  • Das finanzielle Risiko ist quantifiziert. IBMs Cost of a Data Breach Report 2025 ergab, dass die Beteiligung von Schatten-KI 670.000 US-Dollar zu den durchschnittlichen Kosten eines Datenlecks von 4,44 Millionen US-Dollar hinzufügt. Der DTEX/Ponemon-Bericht 2026 zu den Kosten von Insider-Risiken beziffert die jährlichen Kosten durch KI-bedingte Insider-Fahrlässigkeit auf 10,3 Millionen US-Dollar pro Organisation.
  • Die Erkennung erfordert mindestens fünf parallel arbeitende Datenquellen. CASB, DNS-Protokollanalyse, EDR, Ausgabendatenprüfung und E-Mail-Integrations-Scans decken jeweils einen anderen Teil der Umgebung ab. Keine einzelne Methode erfasst gleichzeitig persönliche Geräte, Free-Tier-Accounts und verwaltete Endpunkte.
  • Europäische Organisationen sind mehrschichtigen regulatorischen Risiken ausgesetzt. Nicht genehmigte SaaS-Tools verstoßen gegen DSGVO-Artikel 28, sobald sie personenbezogene Daten ohne unterzeichneten Auftragsverarbeitungsvertrag verarbeiten. NIS2-Artikel 21 behandelt ungeprüfte Drittanbieter-Tools als Lieferkettenrisiko. DORA-Artikel 28 verlangt von Finanzunternehmen, jeden IKT-Anbieter zu registrieren — ob Schatten oder nicht.
  • Sperren ohne Ermöglichen scheitert durchgehend. Fast die Hälfte der Mitarbeiter nutzt persönliche KI-Accounts weiter, nachdem eine organisatorische Sperre verhängt wurde. Die wirksame Antwort besteht darin, den genehmigten Weg schneller als den Workaround zu gestalten: ein schlanker Genehmigungsworkflow, zentralisiertes Credential-Management und ein Security-Awareness-Programm, das das Risiko greifbar macht.
  • Das 6-Schritte-Framework zur Schatten-IT-Governance — Entdecken und Klassifizieren, Credentials zentralisieren, Richtlinien etablieren, Genehmigungen optimieren, Offboarding automatisieren, Security-Awareness aufbauen — adressiert sowohl die technischen als auch die verhaltensbezogenen Aspekte des Problems. Tooling übernimmt die Erkennung. Das Framework verändert die Anreizstruktur, die die Schatten-IT-Nutzung überhaupt erst antreibt.

Was ist Schatten-IT?

Schatten-IT ist jede Technologie (Software, Cloud-Service, KI-Tool oder Hardware), die Mitarbeiter für die Arbeit ohne Wissen oder formale Genehmigung der IT nutzen. Sie reicht von einem persönlichen Dropbox-Ordner zum Teilen von Projektdateien bis hin zu einem KI-Coding-Assistenten mit OAuth-Zugriff auf Produktions-Repositories. Der gemeinsame Nenner: keine Sicherheitsüberprüfung, kein Beschaffungsnachweis, kein Audit-Trail.

Schatten-IT ist kein Nischenproblem. Gartner beziffert den Anteil der IT-Ausgaben für nicht genehmigte Tools in Großunternehmen auf 30-40 %. Die Analyse von Harmonic Security von 22,4 Millionen Unternehmens-KI-Prompts identifizierte 665 verschiedene generative KI-Tools, die in Unternehmensumgebungen laufen — doch nur 40 % dieser Organisationen hatten ein offizielles KI-Abonnement erworben. Der GenAI-Traffic stieg allein im Jahr 2024 um mehr als 890 %.

Schatten-IT vs. Schatten-KI: Wie sich die Risiken vergleichen

Dimension Schatten-IT Schatten-KI
Definition Nicht autorisierte Apps, Geräte oder Cloud-Services, die außerhalb der Sichtbarkeit der IT laufen Nicht autorisierte KI-Tools und -Modelle, die Unternehmensdaten ohne Sicherheitsaufsicht verarbeiten
Typischer Einstiegspunkt Ein Mitarbeiter meldet sich mit einer geschäftlichen E-Mail bei einem SaaS-Tool an Ein Mitarbeiter fügt ein Dokument, einen Code-Snippet oder Zugangsdaten in einen öffentlichen KI-Chat ein
Was exponiert wird Dateien und Daten, die in einem nicht genehmigten Service gespeichert sind Daten, die aktiv von einem Drittanbietermodell gelesen, zusammengefasst und potenziell gespeichert werden
Credential-Risiko Passwörter, die in nicht genehmigten Apps oder Browsern gespeichert sind API-Keys, Tokens und Datenbankverbindungszeichenketten, die direkt in Prompts eingefügt werden
Hinterlässt Spuren? Normalerweise ja — Netzwerkprotokolle, CASB-Warnungen, DNS-Abfragen Oft nein — browserbasierte Sitzungen und lokale Modelle hinterlassen keinen Netzwerk-Footprint
Wer bemerkt es zuerst IT- oder Sicherheitsteam über Tooling Niemand — bis zu einem Datenleck oder einem Compliance-Audit
Compliance-Exposition Datenresidenz, DSGVO Artikel 32, Zugriffskontrolllücken EU AI Act, NIS2, Einwilligung zum Datentraining, Output-Haftung
Ausbreitungsgeschwindigkeit Tool für Tool, über Monate Innerhalb eines Teams in Tagen — KI-Funktionen werden in bereits genutzten Tools eingebettet ausgeliefert
Governance-Status Ausgereift — Richtlinien, CASB und DLP-Tooling existieren Unreif — die meisten Organisationen haben kein KI-Nutzungsinventar zur Durchsetzung
Lösungsansatz Nicht autorisierte Services blockieren, genehmigte Alternativen durchsetzen Prüfen, welche KI-Tools im Einsatz sind, Datensensibilität klassifizieren, Richtlinien für Prompt-Hygiene etablieren

Was treibt Mitarbeiter zur Nutzung von Schatten-IT?

Mitarbeiter greifen zu nicht genehmigten Tools, wenn genehmigte Alternativen zu langsam, zu eingeschränkt oder schlicht noch nicht vorhanden sind. Die Reibung ist die Ursache: Ein Entwickler, der drei Wochen auf einen lizenzierten KI-Assistenten wartet, wird bis zum Ende des Tages einen kostenlosen gefunden haben.

Drei Muster wiederholen sich in Organisationen jeder Größe:

  • Geschwindigkeit vor Prozess. Mitarbeiter greifen zu dem, was die Arbeit am schnellsten erledigt. Wenn genehmigte Tools nicht mit dem mithalten, was außerhalb des Unternehmens frei verfügbar ist, ist die Wahl offensichtlich: Das nutzen, was funktioniert.
  • Beschaffungsverzögerung. Unternehmens-Softwarezyklen laufen in Quartalen. KI-Tooling wird in Wochen ausgeliefert. Bis die IT ein Tool evaluiert und genehmigt hat, haben Mitarbeiter bereits Workflows um dessen Free-Tier-Äquivalent aufgebaut.
  • Funktionale Lücken. Genehmigte Tools decken oft keine Randfälle ab. Ein Datenanalyst, der eine schnelle Python-Umgebung benötigt, oder ein Designer, der einen bestimmten Bildgenerator braucht, wird zu dem greifen, was funktioniert, nicht zu dem, was auf der genehmigten Liste steht.
  • Keine Feedback-Schleife. Mitarbeiter melden selten die Tools, die sie nutzen, weil es keinen einfachen Kanal dafür gibt. Die IT weiß nicht, was zu steuern ist. Die Sicherheitsabteilung weiß nicht, was zu prüfen ist. Die Kluft zwischen tatsächlicher Tool-Nutzung und genehmigtem Inventar wächst stillschweigend.
  • Verbote halten nicht. Fast die Hälfte der Mitarbeiter nutzt persönliche KI-Accounts weiter, nachdem eine organisatorische Sperre verhängt wurde. Verbote eliminieren Schatten-IT nicht. Sie drängen sie nur aus dem Blickfeld, was die Erkennung erschwert und die Reaktion verlangsamt.

Diese Muster sind eine vorhersehbare Reaktion auf Governance-Strukturen, die nicht mit der Geschwindigkeit mitgehalten haben, mit der sich Tooling entwickelt. Diese Lücke macht Schatten-IT zu einem systemischen Risiko statt zu einem Disziplinproblem.

Die Entwicklung der Schatten-IT im Jahr 2026

Schatten-IT im Jahr 2026 geht weit über unverwalteten Cloud-Speicher hinaus. Sie umfasst jetzt KI-Tools, autonome Agenten und ganze SaaS-Ökosysteme, die die IT nie genehmigt, nie inventarisiert hat und nicht überwachen kann. Das durchschnittliche Unternehmen betreibt 305 SaaS-Anwendungen, gibt jährlich 55,7 Millionen US-Dollar für SaaS aus und hat ein Wachstum der Ausgaben für KI-native Apps von 108 % im Jahresvergleich erlebt — wobei der Großteil dieses Wachstums schneller stattfindet, als Governance-Teams es verfolgen können.

Von SaaS-Wildwuchs zu Schatten-KI

Die Zahl von 305 Anwendungen stammt aus dem Zylo SaaS Management Index 2026, der auf realen Ausgabendaten aus Tausenden von Organisationen basiert. Ein erheblicher Anteil dieser Anwendungen wurde nie formal genehmigt. Mitarbeiter adoptieren Tools eigenständig, und die IT erfährt Monate später davon, wenn überhaupt.

Schatten-KI beschleunigt diese Dynamik. Kostenlose KI-Assistenten, Code-Generatoren und autonome Agenten wurden schneller allgemein verfügbar, als Beschaffungszyklen reagieren konnten. Der Check Point Cloud Security Report 2026 ergab, dass 78-80 % der Arbeitnehmer persönliche KI-Tools bei der Arbeit nutzen. Die meisten dieser Sitzungen finden über persönliche Accounts statt, außerhalb von SSO, außerhalb von DLP und ohne Audit-Trail.

Der Unterschied sollte präzise benannt werden: 

  • Traditionelle Schatten-IT erzeugt unverwaltete Datenresidenz: Dateien, die in einem nicht genehmigten Service liegen. 
  • Schatten-KI erzeugt unverwaltete Datenverarbeitung: proprietäre Informationen, die von Systemen analysiert, zusammengefasst und verarbeitet werden, die Ihr Sicherheitsteam nie überprüft hat.

Warum die Angriffsfläche weiter wächst

Drei strukturelle Kräfte treiben dies an:

  • Remote- und Hybridarbeit hat den Netzwerkperimeter als natürlichen Kontrollpunkt entfernt. Mitarbeiter, die von zu Hause aus arbeiten, adoptieren Tools, ohne Anfragen über die IT zu leiten.
  • Free-Tiers sind überall. Die meisten SaaS-Tools bieten einen kostenlosen Einstieg. Keine Bestellung, kein Genehmigungsticket, keine Sichtbarkeit.
  • Die Verbreitung von KI-Agenten hat die Einsätze verändert. Agenten arbeiten über delegierte OAuth-Berechtigungen — sie lesen Daten, lösen Workflows aus und ändern Datensätze autonom. Ein Entwickler, der einen KI-Coding-Assistenten mit seinem GitHub-Account verbindet, hat diesem Agenten möglicherweise Lese-/Schreibzugriff auf Repositories gewährt. Wenn der Entwickler das Unternehmen verlässt, bleibt die OAuth-Berechtigung bestehen.

Gartner prognostiziert, dass bis 2027 75 % der Mitarbeiter Technologie außerhalb der Sichtbarkeit der IT erwerben, modifizieren oder erstellen werden — ein Anstieg von 41 % im Jahr 2022. Die Richtung ist eindeutig.

Die verborgenen Risiken der Schatten-IT (die Realität 2026)

Schatten-IT im Jahr 2026 ist nicht nur ein Datenleck-Problem. Unverwaltete Tools schaffen persistenten unbefugten Zugriff, exponieren Credentials, lösen Regulierungsverstöße aus und speisen zunehmend Unternehmensdaten in KI-Modelle ein, die kein Sicherheitsteam genehmigt hat oder überwachen kann.

Der Schatten-KI-Risikomultiplikator: Datenverarbeitung vs. Datenspeicherung

Traditionelle Schatten-IT speichert Daten am falschen Ort. Schatten-KI macht etwas damit. Das Einfügen eines Kundenvertrags in ein öffentliches LLM sendet diese Daten an mindestens drei Orte: eine Trainingspipeline, ein Logging-System und potenziell ein Modell, das andere Benutzer abfragen können.

IBMs Cost of a Data Breach Report 2025 beziffert dies: Datenlecks mit hohem Schatten-KI-Anteil fügten durchschnittlich 670.000 US-Dollar zu den Gesamtkosten des Datenlecks hinzu, wodurch der Durchschnitt bei Schatten-KI-Beteiligung auf etwa 5,11 Millionen US-Dollar stieg — gegenüber einem globalen Basiswert von 4,44 Millionen US-Dollar. Derselbe Bericht ergab, dass 97 % der KI-bezogenen Sicherheitsvorfälle Systeme ohne angemessene Zugriffskontrollen betrafen.

Passwork bietet Sicherheitsteams einen zentralisierten Tresor mit rollenbasiertem Zugriff und vollständigem Audit-Trail, sodass Credentials, die mit KI-Tools und SaaS-Apps verbunden sind, sichtbar und kontrolliert bleiben. Erfahren Sie, wie es funktioniert

Credential-Exposition und Passwort-Wiederverwendung

Schatten-IT ist im Kern ein Identitätsproblem. Jede nicht genehmigte App ist ein neuer Account. Jeder neue Account ist ein Credential. Und die meisten dieser Credentials werden wiederverwendet.

Laut dem Data Breach Investigations Report 2026 von Verizon tauchten gestohlene Credentials bei 39 % aller bestätigten Datenlecks auf, nicht nur als initialer Zugriffsvektor, sondern durchgehend bei Lateral Movement und Persistenz. Wenn ein Mitarbeiter sein Unternehmenspasswort bei einem kostenlosen SaaS-Tool wiederverwendet, das später ein Datenleck erleidet, müssen Angreifer nichts knacken. Sie melden sich einfach an.

Infostealer verschärfen dies. Im Jahr 2025 indexierte Recorded Future 1,95 Milliarden malware-basierte Credential-Expositionen, von denen 31 % aktive Session-Cookies enthielten, die MFA vollständig umgehen. Schatten-IT-Accounts, unüberwacht, oft ohne konfiguriertes MFA, sind genau die Art von Ziel, für die Infostealer gebaut sind.

Das Passwort-Wiederverwendungsrisiko ist ein dokumentiertes, automatisiertes Angriffsmuster im industriellen Maßstab.

Der Offboarding-Albtraum: Verwaiste Accounts

Wenn ein Mitarbeiter das Unternehmen verlässt, werden seine verwalteten Accounts deprovisioniert. Seine Schatten-IT-Accounts nicht. Niemand weiß, dass sie existieren.

Der Figma-Workspace des ehemaligen Entwicklers, die persönliche HubSpot-Testversion des Vertriebsmitarbeiters mit exportierten CRM-Daten, die Notion-Seite des Auftragnehmers mit internen Architekturnotizen: All dies bleibt unbegrenzt bestehen, nachdem die Person das Unternehmen verlassen hat.

Die Konsequenzen können schwerwiegend sein. In einem dokumentierten Fall griff ein ehemaliger Cisco-Mitarbeiter fünf Monate nach seiner Kündigung auf eine in AWS gehostete virtuelle Maschinen-Infrastruktur zu und löschte 456 virtuelle Maschinen, wodurch mehr als 16.000 WebEx-Teams-Accounts fast zwei Wochen lang offline waren.

Das US-Justizministerium bestätigte, dass der Vorfall Cisco etwa 2,4 Millionen US-Dollar an Behebungskosten und Kundenerstattungen kostete, und der ehemalige Mitarbeiter wurde zu 24 Monaten Bundesgefängnis verurteilt (United States v. Sudhish Kasaba Ramesh, Case No. 5:20-cr-00102). Das war ein verwaltetes System. Verwaiste Schatten-IT-Accounts sind schwieriger zu finden und brauchen länger zum Schließen — falls sie überhaupt geschlossen werden.

KI-Agenten und unverwaltete OAuth-Berechtigungen

Dies ist die Bedrohung, die die meisten Organisationen noch nicht verfolgen. KI-Agenten arbeiten über delegierte OAuth-Berechtigungen: Ein Benutzer gewährt dem Agenten Zugriff auf Google Drive, GitHub oder Slack, und der Agent kann kontinuierlich auf diesem Zugriff lesen, schreiben und handeln — nicht nur während der Sitzung.

Wenn sich der Benutzer abmeldet, bleibt die OAuth-Berechtigung bestehen. Wenn der Benutzer das Unternehmen verlässt, bleibt die OAuth-Berechtigung bestehen. Der Agent hat möglicherweise noch Wochen oder Monate nach dem Ausscheiden der Person, die ihn autorisiert hat, Zugriff auf Unternehmens-Repositories, E-Mail-Threads und freigegebene Laufwerke.

Der Okta-Bericht AI Agents at Work 2026 ergab, dass 58 % der Organisationen im vergangenen Jahr einen KI-bezogenen Sicherheitsvorfall erlitten haben, doch 90 % der Führungskräfte gaben an, keinen vollständigen Überblick darüber zu haben, welche KI-Agenten in ihrer Organisation arbeiten. Die Lücke zwischen Adoption und Governance ist der Ort, an dem das Risiko lebt.

Compliance-Verstöße und regulatorische Bußgelder

Nicht genehmigte Apps erfüllen nicht die Anforderung von DSGVO-Artikel 32 nach „geeigneten technischen und organisatorischen Maßnahmen" zum Schutz personenbezogener Daten. Sie erfüllen nicht die technischen Schutzanforderungen von HIPAA unter 45 CFR § 164.312. Sie erfüllen nicht PCI-DSS-Anforderung 12.8 für die Verwaltung von Drittanbieter-Dienstleistern.

Der EU AI Act fügt eine weitere Ebene hinzu. Hochrisiko-KI-Systeme, die ohne ordnungsgemäße Governance eingesetzt werden, können mit Strafen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes gemäß Artikel 99(4) belegt werden.

Der Finanzdienstleistungssektor hat bereits erfahren, wie regulatorische Durchsetzung in der Praxis aussieht. Im September 2022 verhängten die SEC und CFTC gegen 16 Wall-Street-Firmen zusammen 1,8 Milliarden US-Dollar Bußgelder, weil Mitarbeiter WhatsApp und andere nicht genehmigte Messaging-Apps für geschäftliche Kommunikation nutzten — ein klassischer Schatten-IT-Verstoß, den die Aufsichtsbehörden als Verstoß gegen die Aufzeichnungspflicht behandelten. Die Pressemitteilung der SEC macht deutlich, dass die „weit verbreitete und langjährige" Nutzung von Off-Channel-Kommunikation kein mildernder Faktor ist; es ist ein erschwerender.

Europäische regulatorische Exposition: DSGVO, NIS2 und DORA

Für Organisationen, die in der EU tätig sind, erzeugt Schatten-IT mehrschichtige regulatorische Exposition über drei verschiedene Rahmenwerke hinweg. Jedes zielt auf eine andere Dimension des Problems ab, und zusammen lassen sie sehr wenig Raum für „wir wussten es nicht".

DSGVO: Nicht autorisierte Auftragsverarbeiter und grenzüberschreitende Übermittlungen

DSGVO-Artikel 32 ist die Vorschrift, die die meisten Organisationen zitieren. Aber Artikel 28 ist derjenige, gegen den Schatten-IT zuerst verstößt. Jedes nicht genehmigte SaaS-Tool, das personenbezogene Daten verarbeitet, ist nach DSGVO-Terminologie ein Auftragsverarbeiter. Artikel 28 verlangt vor Beginn der Verarbeitung einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag) mit jedem solchen Auftragsverarbeiter. Ein Mitarbeiter, der sich mit seiner geschäftlichen E-Mail für ein kostenloses KI-Tool anmeldet und es mit Kundendaten füttert, hat eine nicht autorisierte Auftragsverarbeiterbeziehung geschaffen — ohne AV-Vertrag, ohne Due Diligence und ohne Nachweis.

Die Artikel 44 bis 49 verstärken die Exposition. Viele US-basierte SaaS- und KI-Tools übermitteln personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums. Ohne einen gültigen Übermittlungsmechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss oder verbindliche interne Datenschutzvorschriften) verstößt diese Übermittlung gegen die DSGVO, unabhängig davon, wie das Tool eingeführt wurde. Mitarbeiter, die Tools eigenständig auswählen, haben keine Sichtbarkeit darüber, wo Daten verarbeitet oder gespeichert werden.

Europäische Datenschutzbehörden haben beide Vorschriften durchgesetzt. Im Jahr 2023 verhängte die Irish Data Protection Commission gegen Meta ein Bußgeld von 1,2 Milliarden Euro gemäß Artikel 46 für rechtswidrige Datenübermittlungen in die USA — das höchste DSGVO-Bußgeld bisher. Obwohl dieser Fall einen Plattformbetreiber und keinen Unternehmensendnutzer betraf, gilt das zugrunde liegende Prinzip: Das Fehlen eines gültigen Übermittlungsmechanismus ist ein Verstoß, unabhängig von der Absicht.

NIS2: Zugriffskontrolle und Lieferkettenpflichten

Die NIS2-Richtlinie (Richtlinie EU 2022/2555), die seit Oktober 2024 für wesentliche und wichtige Einrichtungen in der EU gilt, adressiert direkt die Bedingungen, die Schatten-IT schafft. Artikel 21(2) legt zehn Mindestmaßnahmen für das Cybersicherheits-Risikomanagement fest. Drei sind direkt von Schatten-IT betroffen:

  • Artikel 21(2)(d): Sicherheit der Lieferkette, einschließlich Sicherheitsaspekte hinsichtlich der Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern. Jedes nicht genehmigte SaaS-Tool ist faktisch eine ungeprüfte Lieferantenbeziehung.
  • Artikel 21(2)(i): Richtlinien und Verfahren bezüglich der Nutzung von Kryptographie und, wo angemessen, Verschlüsselung.
  • Artikel 21(2)(j): Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management.

NIS2-Strafen erreichen 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen und 7 Millionen Euro oder 1,4 % für andere. Die Umsetzung in den Mitgliedstaaten variiert, aber das Rahmenwerk ist jetzt in der gesamten EU aktiv.

Die NIS2-Compliance-Seite von Passwork erläutert detailliert, wie zentralisiertes Credential-Management auf die Anforderungen von NIS2-Artikel 21 abgestimmt ist.

DORA: IKT-Drittparteirisiko für Finanzunternehmen

Der Digital Operational Resilience Act (DORA, Verordnung EU 2022/2554) gilt seit Januar 2025 für Finanzunternehmen, die in der EU tätig sind: Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister und ihre kritischen IKT-Anbieter. Artikel 28 verlangt von Finanzunternehmen, ein Register aller IKT-Drittanbieter zu führen und vor der Einbindung eines neuen Anbieters eine vorvertragliche Due Diligence durchzuführen.

Schatten-SaaS fällt direkt in den Anwendungsbereich. Ein Mitarbeiter bei einer Bank, der ein nicht genehmigtes Projektmanagement-Tool oder einen KI-Assistenten einführt, hat eine nicht registrierte IKT-Drittparteibeziehung geschaffen. Nach DORA ist das kein IT-Governance-Problem; es ist ein regulatorischer Verstoß. Die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) haben die Befugnis zur Untersuchung und Sanktionierung. In Jurisdiktionen, in denen die nationale Umsetzung dies vorsieht, kann auch eine strafrechtliche Haftung auf Managementebene gelten.

Für IT- und Compliance-Teams im Finanzsektor ist die Erkennung von Schatten-IT nicht mehr nur Best Practice. Nach DORA ist es eine gesetzliche Pflicht.

Verordnung Schlüsselartikel Schatten-IT-Implikation Höchststrafe
DSGVO Art. 28 (Auftragsverarbeiterverträge), Art. 32 (Sicherheitsmaßnahmen), Art. 44-49 (Drittlandübermittlungen) Jedes nicht genehmigte SaaS-Tool, das personenbezogene Daten verarbeitet, ist ein nicht registrierter Auftragsverarbeiter. Kein AV-Vertrag vorhanden = direkter Verstoß gegen Art. 28. Grenzüberschreitende Datensynchronisation zu Nicht-EWR-Servern löst Art. 44-49 aus. 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83(4-5))
NIS2 Art. 21 (Cybersicherheits-Risikomanagement), Art. 23 (Vorfallsmeldung) Unverwaltete Drittanbieter-Tools erweitern die Angriffsfläche, ohne den Risikomanagementprozess der Organisation zu durchlaufen. Schatten-IT-Vorfälle können obligatorische Meldepflichten gemäß Art. 23 auslösen. Wesentliche Einrichtungen: 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen: 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes (Art. 34)
DORA Art. 28 (IKT-Drittparteirisiko), Art. 30 (Vertragliche Bestimmungen) Finanzunternehmen müssen alle IKT-Drittanbieter registrieren und bewerten. Von Mitarbeitern genutzte Schatten-IT-Tools umgehen diese Anforderung vollständig und schaffen nicht registrierte IKT-Abhängigkeiten und Konzentrationsrisiken. Regelmäßige Strafzahlungen von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes; strafrechtliche Haftung für das Management, sofern die nationale Umsetzung dies vorsieht
EU AI Act Art. 6-7 (Klassifizierung von Hochrisiko-KI), Art. 52 (Transparenzpflichten), Art. 99 (Sanktionen) Mitarbeiter, die nicht genehmigte KI-Tools für HR-Entscheidungen, Kreditbewertung oder Management kritischer Infrastruktur nutzen, können gemäß Anhang III nicht registrierte Hochrisiko-KI-Systeme einsetzen. 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken (Art. 99(3)); 15 Millionen Euro oder 3 % für Nichteinhaltung bei Hochrisiko-KI (Art. 99(4))

Die finanziellen Auswirkungen: Quantifizierung der Kosten von Schatten-IT

Schatten-IT verursacht zwei unterschiedliche Kostenarten: Datenleck-Exposition und verschwendete Ausgaben. IBMs Cost of a Data Breach Report 2025 ergab, dass die Beteiligung von Schatten-KI 670.000 US-Dollar zu den durchschnittlichen Kosten eines Datenlecks von 4,44 Millionen US-Dollar hinzufügt. Auf der Ausgabenseite beziffert der Zylo SaaS Management Index 2026 die durchschnittlich verschwendeten Lizenzausgaben auf 21 Millionen US-Dollar pro Jahr — verursacht durch redundante Tools, ungenutzte Plätze und Käufe, von denen die IT nie wusste.

IBM-Daten 2025: Die 670.000-Dollar-Schatten-KI-Strafe

IBMs Cost of a Data Breach Report 2025 ist der maßgeblichste verfügbare Benchmark zum Verständnis der finanziellen Konsequenzen unverwalteter KI. Die Hauptzahlen:

  • Globale durchschnittliche Kosten eines Datenlecks: 4,44 Millionen US-Dollar
  • Die Beteiligung von Schatten-KI fügt diesem Durchschnitt 670.000 US-Dollar hinzu, wodurch die Zahl bei Schatten-KI-Beteiligung auf etwa 5,11 Millionen US-Dollar steigt
  • 97 % der KI-bezogenen Vorfälle betrafen Systeme ohne angemessene Zugriffskontrollen
  • 20 % der Organisationen meldeten 2025 einen Sicherheitsvorfall, der direkt mit Schatten-KI verbunden war

Der Aufschlag von 670.000 US-Dollar ist der inkrementelle Aufwand für Untersuchung, Eindämmung, Benachrichtigung und Behebung, wenn KI-Systeme beteiligt sind, von denen Sicherheitsteams nichts wussten.

Verschwendete IT-Ausgaben und redundante Lizenzierung

Organisationen zahlen für genehmigte Tools, während Mitarbeiter stillschweigend kostenlose oder günstigere Alternativen einführen. Das Ergebnis: doppelte Funktionalität, verwaiste Lizenzen und Ausgaben, für die niemand verantwortlich ist.

Laut dem Zylo SaaS Management Index 2026 verschwendet die durchschnittliche Organisation jährlich 21 Millionen US-Dollar allein für ungenutzte SaaS-Lizenzen — und die durchschnittliche Nutzungsrate über Unternehmens-SaaS-Portfolios hinweg liegt bei nur 47 %. Für mittelständische Unternehmen mit 500 oder weniger Mitarbeitern erreicht diese Zahl immer noch 4,2 Millionen US-Dollar jährlich an verschwendeten Lizenzausgaben.

Das Muster ist vorhersehbar: Dezentralisierte Beschaffung bedeutet, dass Teams Tools eigenständig anmelden, oft ohne zu wissen, dass bereits ein Unternehmensvertrag für dieselbe Kategorie existiert. Wenn dann noch ein Sicherheitsvorfall hinzukommt, summieren sich die Behebungskosten zusätzlich zur grundlegenden Verschwendung zu einer erheblichen finanziellen Exposition.

Wie man Schatten-IT und Schatten-KI erkennt

Die Erkennung von Schatten-IT im Jahr 2026 erfordert die Kombination von mindestens fünf Datenquellen: CASB-Deployment (Cloud Access Security Broker), DNS-Protokollanalyse, EDR (Endpoint Detection and Response), Ausgabendatenprüfung und E-Mail-Integrations-Scanning. Jede Methode deckt einen anderen Teil der Umgebung ab. Keine deckt alles ab. Blinde Flecken sind strukturell, nicht zufällig — kein einzelnes Tool sieht gleichzeitig persönliche Geräte, Free-Tier-Accounts und verwaltete Endpunkte.

Endpunkt-Monitoring und Browser-Erweiterungen

EDR-Tools und Browser-Erweiterungs-Audits können nicht autorisierte SaaS-Nutzung direkt auf dem Gerät aufdecken. Browser-Verlaufsanalyse, Erweiterungsinventare und agentenbasiertes Monitoring erfassen Aktivitäten, die nie das Unternehmensnetzwerk berühren.

Die Einschränkung: BYOD-Umgebungen (Bring Your Own Device) und persönliche Geräte, die für die Arbeit genutzt werden, sind für Endpunkt-Tools weitgehend unsichtbar, es sei denn, die Organisation hat MDM (Mobile Device Management) mit entsprechendem Umfang bereitgestellt.

Netzwerkanalyse: DNS- und Proxy-Protokolle

DNS-Abfrageprotokolle und Web-Proxy-Daten zeigen, auf welche Domains Mitarbeiter zugreifen. Spitzen im Traffic zu unbekannten SaaS-Domains, KI-Services oder File-Sharing-Plattformen erscheinen deutlich in DNS-Protokollen, selbst wenn der Inhalt verschlüsselt ist.

Diese Methode funktioniert gut für Unternehmensnetzwerk-Traffic. Sie verfehlt alles, was über Mobilfunkverbindungen, Heimnetzwerke oder VPNs geschieht, die außerhalb des Unternehmens-Proxys routen. DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT) verschlüsseln Abfragen Ende-zu-Ende und umgehen traditionelle DNS-Inspektion vollständig, ohne zusätzliche Firewall-Richtlinien zur Blockierung.

CASB: Stärken und Einschränkungen

Ein CASB (Cloud Access Security Broker) sitzt zwischen Benutzern und Cloud-Services und bietet Sichtbarkeit, Richtliniendurchsetzung und Data-Loss-Prevention für genehmigte und nicht genehmigte Apps. CASBs sind das am besten geeignete Tool zur Erkennung von Schatten-IT und können Tausende von Cloud-Services identifizieren, die in einer Organisation genutzt werden.

Die praktische Einschränkung ist die Abdeckung. CASBs funktionieren am besten, wenn Traffic durch sie geleitet wird — am effektivsten für verwaltete Geräte in Unternehmensnetzwerken. Mitarbeiter, die persönliche Accounts auf persönlichen Geräten nutzen, oder KI-Tools, auf die über den Browser ohne SSO zugegriffen wird, sind möglicherweise nicht sichtbar. Schatten-KI-Funktionen, die in bereits genehmigten SaaS-Tools eingebettet sind, werden typischerweise ebenfalls nicht erkannt, da die übergeordnete Domain bereits genehmigt ist.

Methode Abdeckung Blinde Flecken Deployment-Komplexität
CASB Genehmigte und nicht genehmigte Cloud-Apps, die über Proxy oder API-Connector geleitet werden; identifiziert OAuth-Berechtigungen und Datenbewegungen zwischen Apps Persönliche Geräte, die nicht in MDM registriert sind; TLS-1.3-verschlüsselter SNI-Traffic ohne vollständige SSL-Entschlüsselung; Schatten-KI-Funktionen in genehmigten SaaS-Tools Hoch — erfordert Proxy-Verkettung oder API-Integration pro SaaS-Mandant
DNS-Monitoring Identifiziert Domains, die von verwalteten Endpunkten abgefragt werden; erfasst ersten Kontakt mit neuen SaaS-Tools, bevor eine Sitzung aufgebaut wird DoH und DoT verschlüsseln Abfragen Ende-zu-Ende; persönliche Hotspots routen außerhalb des Unternehmens-DNS; keine Sichtbarkeit der übertragenen Daten Niedrig bis mittel — DNS-Resolver bereitstellen oder Protokolle an SIEM weiterleiten; DoH-Blockierung erfordert zusätzliche Firewall-Richtlinie
Endpunkt-EDR Tiefe Sichtbarkeit in Prozessausführung, Dateischreibvorgänge, Netzwerkverbindungen und Browser-Aktivität auf verwalteten Geräten Persönliche und BYOD-Geräte haben keinen Agenten; Auftragnehmer-Laptops außerhalb des MDM-Umfangs; browserbasierte SaaS-Tools hinterlassen minimalen Prozess-Footprint Mittel — Agenten-Deployment über die verwaltete Flotte ist unkompliziert; BYOD erfordert MDM-Registrierungsrichtlinie
Ausgabenanalyse Erfasst SaaS-Abonnements auf Firmenkreditkarten oder als Spesen eingereicht; deckt Tools auf, die die IT über Abteilungsbudgets umgangen haben Free-Tier-Tools erzeugen keinen Finanzdatensatz; Käufe mit persönlicher Kreditkarte erscheinen nie in Unternehmenssystemen Niedrig — kein technisches Deployment; erfordert Zusammenarbeit zwischen Finanzen und IT
E-Mail-Integrations-Scanning Scannt Postfächer nach SaaS-Willkommens-E-Mails und Testbestätigungen; identifiziert Accounts, die mit geschäftlicher E-Mail auf nicht genehmigten Plattformen registriert sind Tools, die mit persönlicher E-Mail registriert sind, sind unsichtbar; OAuth-gewährter Zugriff hinterlässt keine Postfach-Spur Niedrig — schreibgeschützter API-Zugriff auf Mail-Plattform; Datenschutzrichtlinienprüfung vor Deployment erforderlich

Ein 6-Schritte-Framework zur Verwaltung von Schatten-IT

Das Schatten-IT-Governance-Framework ist ein sechsstufiger Prozess: Entdecken und Klassifizieren, Credentials zentralisieren, Richtlinien etablieren, Genehmigungen optimieren, Offboarding automatisieren und ein Security-Awareness-Programm aufbauen. Es adressiert sowohl die technischen als auch die verhaltensbezogenen Dimensionen des Problems. Das Blockieren nicht genehmigter Tools ohne schnellere genehmigte Alternativen scheitert durchgehend.

Schritt 1. Entdecken und klassifizieren

Was nicht sichtbar ist, kann nicht gesteuert werden. Beginnen Sie mit einer umfassenden Entdeckungsanalyse unter Verwendung einer Kombination aus DNS-Protokollanalyse, CASB-Deployment, Endpunkt-Monitoring und Ausgabendatenprüfung. Das Ergebnis sollte ein klassifiziertes Inventar sein: genehmigt, toleriert (bekannt, aber nicht formal genehmigt) und nicht genehmigt.

Klassifizieren Sie jede Anwendung nach Datensensibilität. Ein kostenloser Grammatik-Checker, der auf E-Mail-Entwürfe zugreift, hat ein anderes Risikoprofil als ein KI-Coding-Assistent mit Repository-Zugriff.

Schritt 2. Sicheres Credential-Management implementieren

Jeder Schatten-IT-Account ist ein unverwaltetes Credential. Die Lösung besteht nicht darin, Accounts zu verbieten; es geht darum, Credentials unter zentralisierte Kontrolle zu bringen.

Ein zentralisierter Tresor mit rollenbasierter Zugriffskontrolle (RBAC) gibt Mitarbeitern einen sicheren, bequemen Ort zum Speichern und Teilen von Credentials für genehmigte und neu genehmigte Tools. Wenn der Zugriff zentralisiert ist, wird Offboarding deterministisch: Entziehen Sie den Tresor-Zugriff, und der Mitarbeiter verliert den Zugriff auf jedes dort gespeicherte Credential.

Schritt 2. Sicheres Credential-Management implementieren

Passwork ist als Self-Hosted-Deployment oder in der Cloud verfügbar und gibt Teams die Flexibilität zu wählen, wo Credential-Daten gespeichert werden. Das Self-Hosted-Modell hält alles in Ihrer eigenen Infrastruktur ohne Abhängigkeit von Cloud-Services Dritter; die Cloud-Option ermöglicht den schnellen Start ohne Verwaltung eines eigenen Server-Stacks. In beiden Fällen erhalten Administratoren vollständige Sichtbarkeit darüber, wer Zugriff auf was hat, sowie ein vollständiges Audit-Protokoll jeder Credential-Operation. Weitere Informationen zu Deployment und Integration finden Sie in den technischen Anleitungen.

Schritt 3. Klare KI- und SaaS-Richtlinien etablieren

Ein pauschales Verbot wird selbst von den Personen ignoriert, die es durchsetzen. Eine Richtlinie, die definiert, wie Tools genehmigt werden, welche Datenklassifizierungen in KI-Tools zulässig sind und was mit OAuth-Berechtigungen geschieht, wenn ein Mitarbeiter das Unternehmen verlässt, ist umsetzbar.

Die Richtlinie sollte speziell adressieren:

  • Verbotene Datenklassifizierungen für KI-Tool-Eingaben (personenbezogene Daten, Quellcode, Finanzdaten, Credentials)
  • OAuth-Berechtigungsgenehmigung und Überprüfungszyklen
  • Maximale Zeit bis zur Genehmigung für neue SaaS-Anfragen (langsame Genehmigungsprozesse sind der Hauptgrund, warum Mitarbeiter die IT umgehen)
  • Konsequenzen bei Richtlinienverstößen

Schritt 4. Den Genehmigungsprozess optimieren

Schatten-IT existiert, weil der genehmigte Weg zu langsam ist. Wenn ein Mitarbeiter heute ein Tool benötigt und der Genehmigungsprozess drei Wochen dauert, wird er das Tool ohne Genehmigung nutzen und später um Verzeihung bitten, falls überhaupt.

Bauen Sie einen schlanken Genehmigungsworkflow auf: ein kurzes Antragsformular, ein 48-Stunden-SLA für risikoarme Tools und ein klares Entscheidungsframework basierend auf Datensensibilität und Anbieter-Sicherheitsstatus. Das Ziel ist, „über die IT gehen" schneller zu machen als „selbst herausfinden".

Schritt 5. Offboarding-Workflows automatisieren

Manuelles Offboarding ist der Ort, an dem verwaiste Accounts entstehen. Wenn ein Mitarbeiter das Unternehmen verlässt, deprovisioniert die IT typischerweise die ihr bekannten Accounts. Schatten-IT-Accounts stehen per Definition nicht auf dieser Liste.

Automatisierte Offboarding-Workflows, ausgelöst durch HRIS-Kündigungsereignisse, sollten:

  • SSO- und IdP-Zugriff sofort widerrufen
  • Alle im zentralisierten Tresor für diesen Benutzer gespeicherten Credentials rotieren oder ungültig machen
  • OAuth-Berechtigungen, die mit der Unternehmensidentität des Benutzers verbunden sind, prüfen und widerrufen
  • Eigentümerschaft freigegebener Ressourcen übertragen, bevor der Zugriff entzogen wird

Die Passwork-Benutzeranleitungen behandeln Credential-Tresor-Offboarding-Workflows im Detail, einschließlich des Umgangs mit geteilten Passwörtern und Service-Account-Credentials, die rotiert werden müssen, nicht nur widerrufen.

Automatisiertes Offboarding beginnt mit dem Wissen, welche Credentials existieren. Der zentralisierte Tresor von Passwork bietet dieses Inventar und macht das Rotieren oder Widerrufen von Zugriff zu einer einzigen Operation. Entdecken Sie die Zugriffskontrollfunktionen von Passwork.

Schritt 6. Ein Security-Awareness-Programm aufbauen

Richtlinien und Tooling allein ändern kein Verhalten. Mitarbeiter nutzen Schatten-IT, weil sie das Risiko nicht verstehen, die genehmigte Alternative nicht kennen oder den genehmigten Weg als zu langsam empfinden. Ein Security-Awareness-Programm adressiert die ersten beiden direkt.

  • Das Risiko greifbar machen: Mitarbeitern ein reales Beispiel zu zeigen, wie ein Credential-Wiederverwendungsangriff funktioniert, wirkt stärker als eine Folie über „Datenschutz". Machen Sie das genehmigte Toolkit bekannt; Mitarbeiter, die wissen, dass eine schnelle, genehmigte Alternative existiert, greifen seltener zu einer nicht genehmigten. 
  • Eine Meldekultur schaffen: Mitarbeiter sollten sich wohl dabei fühlen, Tools zu melden, die sie bereits nutzen, ohne sofortige Bestrafung befürchten zu müssen. Entdeckung durch Selbstmeldung ist schneller und günstiger als Entdeckung durch ein Datenleck.
  • Jährliche Schulungen reichen nicht aus. Vierteljährliche Mikro-Schulungen (10-15 Minuten, szenariobasiert) übertreffen in Retentionsstudien durchgehend jährliche Compliance-Module. Phishing-Simulationen, die gefälschte SaaS-Anmeldeaufforderungen enthalten — nicht nur E-Mail-Köder — testen genau das Verhalten, das Schatten-IT-Governance ändern soll.

Verfolgen Sie die Auswirkungen des Programms auf die Schatten-IT-Erkennungsraten, nicht nur auf Schulungsabschlussquoten. Abschluss ist eine Input-Metrik. Die Reduzierung der Nutzung nicht genehmigter Tools ist der Output, der zählt.

Fazit: Den genehmigten Weg schneller machen als den Workaround

Fazit: Den genehmigten Weg schneller machen als den Workaround

Die Organisationen, die Schatten-IT effektiv verwalten, sind diejenigen, die den genehmigten Weg schneller als den Workaround gemacht haben. Nicht diejenigen mit den strengsten Blockierungsrichtlinien.

Das bedeutet ein Entdeckungsprogramm, das kontinuierlich läuft. Einen Credential-Tresor, den Mitarbeiter tatsächlich nutzen wollen, weil er ihnen Zeit spart. Einen Offboarding-Workflow, der automatisch ausgelöst wird, sobald ein HRIS-Kündigungsereignis eintritt. Eine KI-Richtlinie, die Mitarbeitern sagt, was sie mit KI-Tools tun können, nicht nur, was sie nicht dürfen. Und ein Security-Awareness-Programm, das das Risiko real macht statt abstrakt.

Für europäische Organisationen sind die Einsätze noch höher. DSGVO-Artikel 28, NIS2-Artikel 21 und DORA-Artikel 28 behandeln Schatten-IT nicht als Governance-Unannehmlichkeit; sie behandeln sie als Compliance-Verstoß mit quantifizierten Strafen. Der Aufschlag von 670.000 US-Dollar für Schatten-KI aus IBMs Bericht 2025 ist keine Abstraktion. Es ist das, was passiert, wenn Governance der Adoption hinterherhinkt. Schließen Sie diese Lücke, bevor das nächste Datenleck das Argument für Sie liefert.

Passwork ist ein Passwort- und Secrets-Manager, entwickelt für IT-Teams, die komplexe Zugriffsumgebungen verwalten. Es bietet zentralisierte Credential-Kontrolle, rollenbasierte Berechtigungen und ein vollständiges Audit-Protokoll — verfügbar als Self-Hosted-Deployment oder in der Cloud. Testen Sie Passwork in Ihrer Infrastruktur oder entdecken Sie die Cloud-Option.

Häufig gestellte Fragen

Was ist Schatten-IT im Jahr 2026?

Schatten-IT im Jahr 2026 bezeichnet jede Technologie (Software, SaaS-Anwendungen, KI-Tools oder autonome Agenten), die von Mitarbeitern ohne Wissen oder Genehmigung der IT genutzt wird. Sie umfasst traditionelle nicht genehmigte Apps wie File-Sharing und Messaging sowie neuere Risiken wie KI-Assistenten, die sensible Daten verarbeiten, und KI-Agenten mit persistentem OAuth-Zugriff auf Unternehmenssysteme.

Was ist der Unterschied zwischen Schatten-IT und Schatten-KI?

Schatten-IT ist unverwaltete Technologie, die unkontrollierte Datenresidenz erzeugt. Schatten-KI ist unverwaltete KI-Nutzung, die unkontrollierte Datenverarbeitung erzeugt: Modelle, die proprietäre Informationen analysieren, Outputs generieren und durch delegierte Berechtigungen handeln. Schatten-KI birgt ein höheres Risiko, da die Daten nicht nur irgendwo unbefugt gespeichert werden; sie werden aktiv von Systemen außerhalb Ihres Governance-Perimeters verarbeitet und bearbeitet.

Wie viel kostet Schatten-IT Organisationen?

IBMs Cost of a Data Breach Report 2025 ergab, dass die Beteiligung von Schatten-KI 670.000 US-Dollar zu den durchschnittlichen Kosten eines Datenlecks von 4,44 Millionen US-Dollar hinzufügt, wodurch Datenlecks mit Schatten-KI-Beteiligung auf etwa 5,11 Millionen US-Dollar kommen. Separat schätzt die DataFence-Forschung 2026, dass der durchschnittliche Schatten-IT-Cyberangriffvorfall 4,2 Millionen US-Dollar kostet. Über die Kosten von Datenlecks hinaus entfallen schätzungsweise 30-40 % der gesamten IT-Ausgaben in Großunternehmen auf Schatten-IT durch redundante Lizenzierung und verschwendete Ausgaben.

Wie erkennt man Schatten-IT?

Effektive Schatten-IT-Erkennung kombiniert mehrere Methoden: CASB-Deployment für Sichtbarkeit von Cloud-Services, DNS- und Proxy-Protokollanalyse für Erkennung auf Netzwerkebene, Endpunkt-Monitoring für Aktivität auf Geräteebene und Ausgabendatenprüfung für bezahlte Abonnements. Keine einzelne Methode bietet vollständige Abdeckung. E-Mail-Integrationstools können auch SaaS-Accounts aufdecken, die mit geschäftlichen E-Mail-Adressen erstellt wurden, einschließlich Free-Tier-Tools, die nicht in Ausgabendaten erscheinen.

Was ist das größte Schatten-IT-Risiko im Jahr 2026?

Das Risiko mit der höchsten Schwere ist die Credential-Exposition durch verwaiste Accounts und Passwort-Wiederverwendung. Jede nicht genehmigte App ist ein unverwaltetes Credential, oft mit einem wiederverwendeten Passwort geschützt und ohne MFA. Wenn diese Credentials kompromittiert werden (durch ein Datenleck beim SaaS-Anbieter, einen Infostealer oder Credential Stuffing), erhalten Angreifer Zugriff auf Accounts, von denen Sicherheitsteams nicht wissen und die sie nicht überwachen können.

Wie erzeugt Schatten-IT DSGVO-Exposition?

Jedes nicht genehmigte SaaS-Tool, das personenbezogene Daten verarbeitet, ist ein nicht autorisierter Auftragsverarbeiter gemäß DSGVO-Artikel 28, der vor Beginn der Verarbeitung einen schriftlichen Auftragsverarbeitungsvertrag erfordert. Wenn dieses Tool US-basiert ist und personenbezogene Daten ohne Standardvertragsklauseln oder einen anderen gültigen Übermittlungsmechanismus außerhalb des EWR überträgt, werden auch die Artikel 44-49 verletzt. Beide Expositionen entstehen in dem Moment, in dem sich ein Mitarbeiter anmeldet, unabhängig davon, ob die IT davon weiß.

Wie verhält sich Schatten-KI zum EU AI Act?

Der EU AI Act verhängt Strafen gegen Organisationen, die Hochrisiko-KI-Systeme ohne ordnungsgemäße Governance einsetzen — bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes gemäß Artikel 99(4). Mitarbeiter, die nicht genehmigte KI-Tools nutzen, die personenbezogene Daten verarbeiten oder folgenreiche Entscheidungen beeinflussen, setzen möglicherweise Hochrisiko-KI-Systeme außerhalb des Compliance-Rahmens der Organisation ein, was direkte regulatorische Exposition erzeugt, ohne dass eine formale Risikobewertung stattgefunden hat.

Warum scheitert das Blockieren von Schatten-IT?

Verbote ohne Ermöglichen drängen Schatten-IT in den Untergrund, statt sie zu eliminieren. Wenn Mitarbeiter das, was sie brauchen, nicht schnell genug über offizielle Kanäle bekommen können, finden sie Alternativen. Die wirksame Antwort ist strukturiertes Ermöglichen: schnelle Genehmigungsprozesse, sichere genehmigte Alternativen, zentralisiertes Credential-Management und ein Security-Awareness-Programm, das den konformen Weg zum bequemen Weg macht.

10 Remote-Work-Sicherheitsfehler (und wie Sie sie beheben)
10 Remote-Work-Sicherheitsfehler — und das eine Prinzip hinter allen: Sicherheit bricht dort, wo der sichere Weg mehr Reibung hat als der unsichere. Echte Fälle, realistische Lösungen, eine 5-Schichten-Baseline, gegen die Ihr Team prüfen kann.
Passwork BlogAlex Muntyan
Schatten-IT vs. Schatten-KI: Warum KI die größere Bedrohung ist
Mitarbeiter nutzen KI-Tools, die Sie nicht genehmigt haben, auf Accounts, die Sie nicht überwachen können, mit Daten, die Sie nicht wiederherstellen können. So sieht das Risiko tatsächlich aus und was Governance adressieren muss.
Passwork BlogAlex Muntyan
Leitfaden zur Lieferkettensicherheit: Lieferantenrisiken, Vorschriften, Zugriffskontrolle im Jahr 2026
48 % der Datenlecks betreffen jetzt eine Drittpartei. Dieser Leitfaden behandelt die Angriffsmuster hinter SolarWinds, MOVEit und XZ Utils — sowie die Zugriffskontrollen, Credential-Management-Praktiken und regulatorischen Anforderungen, die sie tatsächlich stoppen.
Passwork BlogAlex Muntyan
Company
About us Privacy policy ISO 27001 certificate Release notes Roadmap Blog
Browser extension
Google Chrome Mozilla Firefox Microsoft Edge Apple Safari
Mobile application
App Store Google Play
For business
Teams Small business Business and corporates Enterprise On-premise solution Password sharing tool Secret management
Help
User manual Technical documentation Help center