Zum Inhalt springen Zur Navigation springen
Schatten-IT stoppen: DSGVO-Risiken von SaaS im ISMS steuern

Schatten-IT stoppen: DSGVO-Risiken von SaaS im ISMS steuern

Artikel von Mika Wiemken·26. September 2025

„Schatten-IT“ – also die Nutzung nicht freigegebener Hard- und Software – stellt für viele Unternehmen ein unterschätztes Risiko dar. Besonders im Bereich von SaaS-Anwendungen entstehen Herausforderungen, da Daten außerhalb des kontrollierten Rahmens verarbeitet werden, ohne dass Datenschutz oder Informationssicherheit eingebunden sind. Dadurch entstehen Lücken in der DSGVO-Compliance und im Informationssicherheitsmanagement. Dieser Beitrag zeigt, wie sich Schatten-Tools sichtbar machen lassen, wie Risiken in ein ISMS integriert werden können und wie ein schlanker Freigabeprozess für Sicherheit sorgt, ohne die Produktivität der Mitarbeitenden zu gefährden.

Warum Schatten-IT für DSGVO und ISMS riskant ist

Die Ursachen für Shadow IT sind banal: Mitarbeitende suchen sich ein Tool, das ihr Problem sofort löst – und setzen es oft ohne Rücksprache oder Freigabe direkt ein. Aus Sicht der Informationssicherheit ist das jedoch gefährlich. Werden beispielsweise personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche interne Kommunikation in einem SaaS-Dienst gespeichert, fehlt häufig die Grundlage für DSGVO-Konformität und Informationssicherheit. Besonders kritisch ist es, wenn zentrale Faktoren wie Speicherort, Löschkonzept, Zugriffskontrollen oder Berechtigungsmodelle unklar bleiben. Hinzu kommen weitere Risiken: Unkontrollierte Datenflüsse können Sicherheitslücken erzeugen, Abhängigkeiten von unsicheren oder instabilen Anbietern bergen ein Verfügbarkeitsrisiko, und Verstöße gegen regulatorische Vorgaben oder interne Richtlinien können nicht nur finanzielle Schäden, sondern auch Reputationsverlust nach sich ziehen.

Für ein ISMS bedeutet all das den Verlust der Kontrolle über die zentralen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Während also der individuelle Nutzen der Tools hoch ist, stehen Unternehmen gleichzeitig vor der Herausforderung, Datenflüsse nachträglich nachvollziehen und rechtliche sowie sicherheitstechnische Anforderungen erfüllen zu müssen.

Transparenz schaffen mit Blick auf Informationssicherheit

Der erste Schritt besteht darin, Schatten sichtbar zu machen. Eine strukturierte Bestandsaufnahme zeigt, welche Dienste tatsächlich genutzt werden und welche Daten dorthin gelangen. Hilfreich sind vorhandene Quellen wie Web-Gateway-Statistiken oder Abrechnungen kleiner SaaS-Buchungen. Ein interessanter Denkanstoß: Wenn ein Dienst bereits über SSO angebunden ist, stellt sich die Frage, ob er überhaupt noch als Schatten-IT gilt – oder ob es hier vielmehr um eine klare und die richtige Einordnung im Sicherheitskontext geht.

Entscheidend ist vor allem die Kommunikation: Mitarbeitende sollten nicht das Gefühl haben, für ihre Tool-Nutzung bestraft zu werden, sondern eingeladen werden, Anwendungen zu melden – idealerweise bevor sie eingesetzt werden, aber auch nachträgliche Meldungen sind wichtig, um ein vollständiges Bild zu erhalten. Für die anschließende Bewertung bietet sich eine einfache Risiko-Ampel an, die Dienste nach klaren Kriterien einordnet, z. B.:

  • grün, wenn ein Auftragsverarbeitungsvertrag vorliegt, Speicherort und Sicherheitsmechanismen transparent sind,
  • gelb bei offenen Fragen und
  • rot bei klaren Ausschlussgründen wie fehlenden Löschmöglichkeiten.

Diese Einstufung sollte direkt ins Risikomanagement des ISMS überführt werden, sodass Schatten-IT nicht länger außerhalb der Sicherheitsarchitektur bleibt.

Integration von Schatten-IT ins ISMS

Ein ISMS nach ISO 27001 verlangt, Risiken systematisch zu erfassen und zu behandeln. Damit Schatten-IT nicht zu einem dauerhaften blinden Fleck wird, sollten identifizierte Anwendungen als Assets in das ISMS aufgenommen werden. Dazu gehört die Benennung von Verantwortlichkeiten ebenso wie die Bewertung des Schutzbedarfs. Werden dort personenbezogene Daten verarbeitet? Handelt es sich um interne Dokumente oder gar vertrauliche Kommunikation? Solche Fragen entscheiden darüber, wie hoch das Risiko einzuschätzen ist und welche Maßnahmen notwendig sind. Auf dieser Grundlage lassen sich Behandlungspläne formulieren, die sicherstellen, dass auch ursprünglich unkontrollierte Tools in ein geordnetes Sicherheitsmanagement integriert werden.

Schlanke Prozesse statt Bürokratie

Wichtig ist, dass Governance nicht mit unnötiger Bürokratie verwechselt wird. Ein schlanker Freigabeprozess stellt sicher, dass Sicherheit und Produktivität in Balance bleiben. Damit dieser Ansatz funktioniert, muss er im Unternehmen aber auch klar kommuniziert werden: Nur wenn Mitarbeitende wissen, dass Software – einschließlich SaaS-Dienste – ausschließlich nach Durchlaufen dieses Prozesses genutzt werden darf, können sie sich auch daran halten. Ein kurzes Self-Service-Formular reicht aus, um Zweck, Datenarten und beteiligte Teams zu erfassen.

Die anschließende Prüfung konzentriert sich auf wenige zentrale Fragen: Gibt es einen Auftragsverarbeitungsvertrag? Ist der Speicherort transparent? Unterstützt der Dienst SSO oder MFA? Lassen sich Daten bei Bedarf exportieren und löschen?

Wird ein Dienst freigegeben, sollte er in einem App-Katalog mit Standardkonfiguration aufgenommen werden. So können Teams sofort starten, ohne Sicherheitslücken in Kauf zu nehmen. Durch regelmäßige Rezertifizierungen bleibt sichergestellt, dass Rollen und Berechtigungen aktuell sind, ohne den laufenden Betrieb zu behindern.

Pragmatischer Ablauf zur Steuerung von Schatten-IT

  1. Schatten-IT erkennen – identifizieren, welche nicht freigegebenen SaaS-Apps tatsächlich genutzt werden.
  2. Nutzung analysieren – herausfinden, wie intensiv und von wem die Anwendungen eingesetzt werden. So lässt sich die Relevanz eines Tools einschätzen, bevor Energie in Detailprüfungen fließt.
  3. Risiken bewerten – Sicherheitsfaktoren, rechtliche Anforderungen (z. B. DSGVO) und branchenspezifische Vorgaben prüfen.
  4. Compliance prüfen – abgleichen, ob die Tools den Unternehmens- und Datenschutzstandards entsprechen.
  5. Cloud-Apps steuern – durch Freigabe, Sperrung oder Integration in SSO/MFA klare Governance etablieren.
  6. Kontinuierlich überwachen – neue Tools und veränderte Nutzungsmuster regelmäßig prüfen, um Sicherheit und Produktivität im Gleichgewicht zu halten.

Von der Grauzone zur Governance

Wer Schatten-IT in Verbindung mit DSGVO und ISMS ernst nimmt, setzt auf Transparenz und klare, aber pragmatische Regeln. Aus Schatten-Tools werden so kontrollierte Assets, die rechtlich und sicherheitstechnisch abgesichert sind. Unternehmen profitieren gleich doppelt: Sie senken Risiken – von Datenschutzverstößen über unkontrollierte Datenflüsse und Sicherheitslücken bis hin zu finanziellen oder reputativen Schäden – und reduzieren gleichzeitig Kosten, während die Produktivität der Teams erhalten bleibt. Damit wird deutlich: Der richtige Umgang mit Schatten-IT im Kontext der DSGVO ist kein Bremsklotz, sondern ein wichtiger Baustein nachhaltiger Informationssicherheit.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.