Bildquelle: Pexels / https://www.pexels.com/photo/3760067/
Kurz gesagt Schatten-IT meint Software, Cloud-Dienste oder digitale Werkzeuge, die Fachbereiche nutzen, ohne dass sie sauber in Einkauf, Sicherheit, Support und Servicebetrieb eingebunden sind. Das klingt zuerst nach Regelbruch. Im Alltag ist es aber oft auch ein Hinweis darauf, dass ein Team ein Problem schneller lösen will, als der offizielle Weg es zulässt.
Für ITSM-Generalisten ist deshalb die wichtigste Frage nicht, wie man jede Umgehung sofort bestraft. Die bessere Frage lautet: Warum war der offizielle Eingang für diesen Bedarf nicht attraktiv genug? Wer Schatten-IT nur als Disziplinproblem behandelt, übersieht Nachfrage, Dringlichkeit und echte Lücken im Servicekatalog. Wer sie als Signal liest, kann aus ungeordnetem Wildwuchs eine steuerbare Serviceentwicklung machen.
Das Problem beginnt selten beim Tool
Ein Fachbereich nutzt ein neues Analysewerkzeug, weil ein Bericht dringend gebraucht wird. Ein Projektteam legt Daten in einem SaaS-Dienst ab, weil die interne Lösung zu schwerfällig wirkt. Eine Abteilung testet einen KI-Assistenten, weil sie Routinearbeit schneller erledigen will. In allen Fällen entsteht Risiko, aber das Risiko beginnt nicht erst im Browserfenster des fremden Dienstes.
Der eigentliche Anfang liegt meist in einer Lücke zwischen Bedarf und Angebot. Gibt es keinen einfachen Weg für kleine digitale Hilfsmittel, suchen Teams eigene Wege. Dauert eine Prüfung Wochen, obwohl die Arbeit morgen erledigt sein muss, steigt der Druck zur Umgehung. Ist der Servicekatalog zu technisch formuliert, erkennt der Fachbereich nicht, welche Hilfe es bereits gibt.
Verbote allein machen Nutzung unsichtbar
Ein klares Verbot kann nötig sein, etwa bei sensiblen Daten, kritischen Prozessen oder rechtlich problematischen Diensten. Es löst aber nicht automatisch das Betriebsproblem. Wird nur mit Verboten gearbeitet, wandert Nutzung häufig tiefer in informelle Kanäle. Dann sieht die IT weder Datenflüsse noch Kosten, Berechtigungen, Verträge, Supportbedarf oder Ausfallrisiken.
Das NIST Cybersecurity Framework stellt die Steuerungsfunktion ausdrücklich neben Schutz, Erkennung, Reaktion und Wiederherstellung. Für Schatten-IT heißt das praktisch: Organisationen müssen wissen, welche digitalen Abhängigkeiten entstehen und wer Verantwortung dafür trägt. Ohne Sichtbarkeit gibt es keine verlässliche Steuerung. Ohne Eingangskanal gibt es aber oft auch keine Sichtbarkeit.
Eine gute Eingangstür senkt die Umgehungslust
ITSM kann Schatten-IT nicht nur über Kontrolle bearbeiten, sondern über bessere Nachfragewege. Ein schlanker Anfragepfad für neue Werkzeuge ist dabei wichtiger als ein perfektes Formular. Fachbereiche müssen in normaler Sprache sagen können, welches Problem sie lösen wollen, welche Daten betroffen sind, wie dringend der Bedarf ist und ob bereits ein Tool getestet wird.
Die IT sollte darauf nicht zuerst mit einem Nein reagieren, sondern mit einer Einordnung. Ist das ein vorhandener Service? Braucht es eine schnelle Ausnahme mit klarer Grenze? Muss Sicherheit oder Datenschutz prüfen? Kann ein ähnliches Werkzeug zentral bereitgestellt werden? Gibt es eine bessere Lösung, die der Fachbereich nur nicht kannte? So entsteht aus Schattennutzung ein Gespräch über Bedarf, Risiko und Betriebsfähigkeit.
SaaS braucht Zuständigkeit wie jeder andere Service
Cloud- und SaaS-Dienste wirken leicht, weil sie schnell starten. Im Betrieb sind sie aber nicht leicht. Sie brauchen Berechtigungsmanagement, Kündigungsfristen, Datenklassifizierung, Supportweg, Verantwortliche und eine Entscheidung, was bei Ausfall oder Anbieterwechsel passiert. Genau deshalb gehört auch ein kleines Werkzeug nicht in eine Grauzone, sobald es für echte Arbeit wichtig wird.
Die CISA beschreibt im SCuBA-Projekt Sicherheitsgrundlagen für Cloud-Geschäftsanwendungen. Microsoft betont bei Identity Governance unter anderem Zugriffsprüfungen, Lebenszyklusprozesse und die Steuerung von Berechtigungen. Die gemeinsame praktische Lehre ist einfach: Nutzung muss an Identitäten, Rollen und Verantwortlichkeiten angebunden werden. Sonst bleiben Zugriffe länger aktiv als der eigentliche Bedarf.
Der Servicekatalog muss Nachfrage aufnehmen
Ein Servicekatalog ist nicht nur eine Liste vorhandener Angebote. Er kann auch zeigen, wohin neue digitale Bedarfe gehören. Dafür braucht er Kategorien, die Fachbereiche verstehen: Daten auswerten, Zusammenarbeit organisieren, externe Dateien teilen, KI-Unterstützung testen, Kundenkommunikation verbessern oder interne Freigaben beschleunigen. Solche Begriffe führen schneller zur richtigen Stelle als reine Produktnamen.
Hilfreich ist ein kurzer Vorfilter. Welche Daten werden verarbeitet? Sind Personenbezüge enthalten? Wird der Dienst extern gehostet? Soll er nur getestet oder dauerhaft genutzt werden? Hängt ein kritischer Prozess daran? Wer bezahlt? Wer ist fachlich verantwortlich? Diese Fragen machen aus einem vagen Toolwunsch einen prüfbaren Servicebedarf.
Aus Fundstücken werden drei Entscheidungen
Wenn ein nicht erfasster Dienst entdeckt wird, sollte der Betrieb nicht in Panik verfallen. Sinnvoll sind drei klare Entscheidungen. Erstens: stoppen, weil das Risiko zu hoch ist. Zweitens: dulden, aber begrenzen, etwa für einen kurzen Test ohne sensible Daten. Drittens: übernehmen, also als offiziellen Service, freigegebene Lösung oder geregelte Ausnahme in den Betrieb aufnehmen.
Für jede Entscheidung braucht es eine Begründung, eine verantwortliche Rolle und ein Ablaufdatum. Besonders die befristete Duldung ist wichtig. Sie verhindert, dass ein Test dauerhaft produktiv wird, ohne jemals richtig bewertet worden zu sein. Gleichzeitig nimmt sie Druck aus dem System, weil Fachbereiche nicht das Gefühl haben, zwischen Stillstand und Heimlichkeit wählen zu müssen.
Die stärkste Kontrolle beginnt mit einem brauchbaren Ja
Schatten-IT verschwindet nicht, weil ein Regelwerk strenger klingt. Sie wird kleiner, wenn der offizielle Weg schneller, verständlicher und hilfreicher wird. Dazu gehört auch die Bereitschaft, legitime Bedürfnisse anzuerkennen. Ein Team, das ein Werkzeug heimlich nutzt, sendet oft die Botschaft: Wir brauchen etwas, das der aktuelle Servicebetrieb nicht gut genug liefert.
Die Eingangstür zum Servicebetrieb ist deshalb kein weicher Kompromiss. Sie ist ein Kontrollinstrument. Sie macht Nachfrage sichtbar, schafft einen Ort für Risikoabwägung und führt digitale Werkzeuge in Zuständigkeit, Support und Lebenszyklus zurück. Genau dort wird aus Schatten-IT wieder steuerbare IT.
Quellen und Einordnung NIST Cybersecurity Framework, CISA Secure Cloud Business Applications Projekt und Microsoft Identity Governance Dokumentation. Stand der Quellenprüfung: 18.06.2026.
