BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 02 Dezember 2025

Shadow IT beseitigen ohne Revolution

Die Marketingerin zahlt Canva Pro privat. Der Vertrieb nutzt einen eigenen LinkedIn-Scraper. Dev verwendet ChatGPT Team über eine private E-Mail. Das ist Shadow IT — und fast nie böswillig.

Shadow IT sind Tools, die im Unternehmen genutzt werden, ohne dass IT oder Management davon wissen. Im KMU-Bereich ist das die Regel, nicht die Ausnahme — und meistens nicht böswillig. Menschen wollen ihre Arbeit erledigen, das offizielle Tool kann es nicht oder ist zu langsam, es gibt eine Alternative für 15 €/Monat, sie klicken auf „Abonnieren".

Der Schaden

  • Daten lecken. Kundendaten in einem privaten Account unterliegen keiner Unternehmenskontrolle, überstehen das Offboarding nicht und können nicht exportiert oder gelöscht werden.
  • Kein MFA, keine Passwort-Richtlinie. Accounts außerhalb von SSO sind am verwundbarsten.
  • Doppelte Kosten. Ihr zahlt bereits für HubSpot, aber der Vertrieb nutzt Pipedrive. Jetzt zahlt ihr für beides.
  • Bei einem Audit oder Vorfall kennt ihr den Scope nicht. „Welche Systeme enthalten Daten von Kunde X?" → keine Antwort.

Aufräumen ohne Konfrontation

Shadow IT ist fast immer ein Signal, dass euer offizieller Stack etwas nicht bietet. Also nicht sofort verbieten — erst verstehen, warum es entstanden ist.

  1. Amnestie-Runde. „Wir machen eine Bestandsaufnahme. Keine Strafe — alle haben 2 Wochen Zeit, ihre Tools zu melden."
  2. Erstellt ein SaaS-Inventar. Siehe Schritt-für-Schritt-Anleitung.
  3. Pro Tool entscheiden: formalisieren (Upgrade auf Team-Abo + SSO), ersetzen (durch etwas aus dem bestehenden Stack) oder als Ausnahme akzeptieren.
  4. Bietet Alternativen an. Wenn ihr Canva Pro einschränkt, sorgt für eine praktikable Alternative. Menschen wählen Tools aus einem Grund.
  5. Macht Anfragen einfach. Ich möchte ein neues SaaS → Formular → Antwort innerhalb von 3 Werktagen. So verhindert ihr, dass Shadow IT wieder wächst.

Tooling zur Erkennung

Zero-Trust-Gateways (Cloudflare Access, Zscaler) zeigen, welche Domains aufgerufen werden. Für KMUs ist das oft überdimensioniert — eine vierteljährliche Umfrage funktioniert ebenfalls. Siehe SaaS-Inventar für den praktischen Ansatz.

Onderwerpen

#governance #saas #shadow-it

Volledige gids: Control de accesos para pymes: la guía completa (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Zugangsverwaltung für KMU: der vollständige Leitfaden (2026)

Von der ersten Zugriffsmatrix über regelmäßige Reviews bis hin zu Directory-Sync — alles, was du wissen musst, wenn dein Unternehmen über 10 Personen hinauswächst, aber noch keine IT-Abteilung hat.

3 min
Toegangsbeheer

SaaS-Inventar erstellen: Was läuft eigentlich in deinem Unternehmen?

Das durchschnittliche KMU hat 47 aktive SaaS-Abonnements. Die Hälfte kennt niemand. Ohne Inventar ist kein vernünftiges Zugriffsmanagement möglich – denn man weiß nicht, welche Türen man überhaupt prüfen muss.

2 min
Toegangsbeheer

Temporärer Zugriff: wie du ihn vergibst – und wieder entziehst

Ein Consultant für 6 Wochen, ein Entwickler nur für die Migration, eine Vertretung während der Elternzeit. Temporären Zugriff zu vergeben ist einfach – ihn wieder zu entziehen ist die eigentliche Herausforderung.

2 min
Toegangsbeheer

Das Least-Privilege-Prinzip erklärt für Unternehmer

So wenig Zugriff wie möglich, so kurz wie nötig. Das klingt nach Produktivitätsverlust — in der Praxis bewahrt es dich vor einem Datenleck, das dich monatelang Erklärungen kostet.

2 min
Access reviews

Periodische Access Reviews: Prozess, Häufigkeit, Nachweisführung

Ein Access Review ist eine Audit-Anforderung, mit der fast jedes KMU kämpft. Beim zweiten Mal müssen Sie dafür keine Woche mehr einplanen — wenn Sie es beim ersten Mal richtig aufsetzen.

2 min
Offboarding

Wasserdichtes Offboarding in 12 Schritten

Jemand verlässt das Unternehmen. Im KMU-Umfeld entstehen hier die meisten Datenlecks. Eine Checkliste, die abdeckt, was wirklich zu tun ist – mit Fristen, Verantwortlichen und typischen Fallstricken.

2 min
← Alle artikelen in "Toegangsbeheer"