7 Shadow-IT-Risiken im Jahr 2026 & wie Credential Management sie löst
Breaking News:
Kathmandu Nepal
Donnerstag, Juli 2, 2026
Eine Gartner-Umfrage unter 302 Cybersecurity-Verantwortlichen (März bis Mai 2025) ergab, dass 69 % der Organisationen den Einsatz verbotener öffentlicher GenAI-Tools durch Mitarbeitende entweder vermuten oder bereits bestätigt haben. Gartner prognostiziert, dass bis 2030 mehr als 40 % der Unternehmen einen Sicherheits- oder Compliance-Vorfall erleben werden, der auf nicht autorisierten Shadow-AI-Einsatz zurückzuführen ist.
Von SaaS-Wildwuchs zu Shadow AI: Was sich verändert hat
Vor fünf Jahren bedeutete Shadow IT, dass ein Vertriebsteam ein nicht genehmigtes CRM nutzte oder ein Entwickler einen privaten AWS-Account aufsetzte. Das Risiko lag in der Datenspeicherung außerhalb des Unternehmensperimeters. Lästig, aber beherrschbar.
Die Variante von 2026 unterscheidet sich grundlegend, und zwar nicht nur im Ausmaß. Large-Language-Model-Sitzungen verarbeiten heute proprietären Quellcode. KI-Agenten authentifizieren sich über delegierte OAuth-Berechtigungen gegen Unternehmenssysteme und behalten diesen Zugriff auf unbestimmte Zeit. Die Daten werden nicht mehr nur außerhalb des Perimeters gespeichert, sondern von einer Drittanbieter-Infrastruktur analysiert, zusammengefasst und möglicherweise protokolliert, die Ihr Sicherheitsteam niemals geprüft hat.
Verbote funktionieren nicht. Mitarbeitende verstecken die Tools nur sorgfältiger. Der einzig gangbare Weg besteht darin, den genehmigten Pfad einfacher zu gestalten als den Shadow-IT-Pfad und Transparenz über jede Zugangsberechtigung herzustellen, die Ihre Infrastruktur berührt.
Die 7 Shadow-IT-Risiken, mit denen Ihre Organisation heute konfrontiert ist
1. Der KI-Datenmultiplikator
Klassisches Shadow IT speicherte Daten an nicht autorisierten Orten. Shadow AI tut etwas Gefährlicheres: Es verarbeitet Daten. Wenn ein Mitarbeitender ein Datenbankschema in ein öffentliches LLM einfügt oder einen KI-Coding-Assistenten mit einem privaten Repository verbindet, können diese Daten für das Modelltraining verwendet, in Session-Logs gespeichert oder an Unterauftragsverarbeiter weitergeleitet werden, die Ihre Rechtsabteilung niemals geprüft hat. Die Angriffsfläche ist keine Datei in einem privaten Cloud-Ordner, sondern eine aktive Datenpipeline ohne Audit-Trail auf Ihrer Seite.
2. Credential-Exposition und Passwort-Wiederverwendung
Kostenlose KI-Tools und SaaS-Anwendungen sind ein bevorzugtes Ziel für Infostealer-Malware. Wenn Mitarbeitende sich bei diesen Diensten mit ihrer geschäftlichen E-Mail-Adresse registrieren und Passwörter aus internen Systemen wiederverwenden, wird ein Sicherheitsvorfall bei einer unbekannten Produktivitäts-App zum direkten Angriffsvektor in Ihre Infrastruktur. Passwort-Wiederverwendung über genehmigte und nicht genehmigte Dienste hinweg gehört zu den konstantesten Befunden in der Post-Incident-Forensik, zugleich aber zu den am einfachsten vermeidbaren.
3. Das Problem verwaister Konten (Orphaned Accounts)
Wenn ein Mitarbeitender das Unternehmen verlässt, entzieht Ihre IT-Abteilung den Zugriff auf alle Systeme, die ihr bekannt sind. Der entscheidende Satz ist: „die ihr bekannt sind." Shadow-Accounts (eigenständig erstellt, nie im IAM-System erfasst) überleben das Offboarding unberührt. Ehemalige Mitarbeitende behalten Zugriff auf Tools, die Unternehmensdaten enthalten, manchmal über Monate hinweg. Sie werden dies erst bemerken, wenn etwas schiefläuft.
4. Persistente OAuth-Berechtigungen für KI-Agenten
Dies ist das Risiko, das die meisten Organisationen noch nicht im Blick haben. Wenn ein Nutzer einen KI-Agenten autorisiert, sich über OAuth mit Slack, GitHub oder Google Drive zu verbinden, bleibt diese Berechtigung nach dem Ende der Sitzung bestehen: nach dem Abmelden des Nutzers und häufig auch nach der Deaktivierung des Unternehmenskontos. Der Agent behält Lese- und Schreibzugriff auf Produktivsysteme. Es gibt keinen automatischen Ablauf. Es gibt kein zentrales Register. Und es gibt keinen Widerrufsprozess, solange niemand gezielt danach sucht.
5. Verstöße gegen Art. 28 DSGVO
Gemäß Art. 28 DSGVO muss jeder Dritte, der personenbezogene Daten in Ihrem Auftrag verarbeitet, durch einen unterzeichneten Auftragsverarbeitungsvertrag (AVV) abgedeckt sein. Die Nutzung eines SaaS-Tools oder KI-Dienstes ohne AVV ist keine Grauzone, sondern ein direkter Verstoß, unabhängig davon, ob ein Datenschutzvorfall eintritt. Shadow IT macht eine systematische AVV-Abdeckung strukturell unmöglich, da die genutzten Tools per Definition der Compliance-Funktion unbekannt sind.
6. NIS2-Blindstellen in der Lieferkette
§30 BSIG verpflichtet wesentliche und wichtige Einrichtungen dazu, Cybersicherheitsrisiken in ihren Lieferketten zu managen, einschließlich IKT-Drittanbieter. Ein nicht erfasstes SaaS-Tool ist eine nicht bewertete Drittanbieter-Abhängigkeit. Wird dieses Tool kompromittiert und breitet sich der Vorfall auf Ihre Systeme aus, stehen Sie nicht nur vor dem Sicherheitsvorfall selbst, sondern auch vor einem Compliance-Versagen, weil Sie nicht nachweisen können, dass Sie das Risiko eines Anbieters bewertet haben, von dessen Nutzung Sie nichts wussten.
7. DORA-Nichteinhaltung für Finanzunternehmen
Die Verordnung über die digitale operationale Resilienz (DORA), die seit Januar 2025 für EU-Finanzunternehmen gilt, verpflichtet Organisationen zur Führung eines vollständigen Registers aller IKT-Drittanbieter. Shadow IT macht dieses Register per Definition unvollständig. Bei einer Aufsichtsprüfung oder Vorfallsuntersuchung werden Lücken im IKT-Register nicht als administrative Versäumnisse behandelt, sondern als Kontrollversagen gewertet.
Wie Credential Management Shadow IT beherrschbar macht
Der erste Impuls ist, nicht genehmigte Tools auf Netzwerkebene zu sperren. Das ist verständlich, aber nahezu wirkungslos. Mitarbeitende umgehen Einschränkungen über private Geräte, mobile Hotspots und Browser-Erweiterungen. Die Tools verschwinden im Verborgenen; das Risiko wird lediglich unsichtbar.
Die produktivere Frage lautet: Warum greifen Mitarbeitende überhaupt zu Shadow-Tools? Meistens, weil die genehmigte Alternative langsamer, schwerer zugänglich ist oder ein Ticket-System erfordert. Die Lösung liegt in der Reduzierung von Reibung auf dem legitimen Weg, kombiniert mit Transparenz darüber, was tatsächlich genutzt wird.
Credential Management ist der praktische Mechanismus für beides. Ein zentralisierter Vault mit rollenbasierter Zugriffskontrolle (RBAC) verändert den Workflow an drei Punkten:
Die Self-Hosted-Architektur von Passwork stellt sicher, dass Zugangsdaten die eigene Infrastruktur nie verlassen, was unmittelbare Relevanz für Art. 28 DSGVO und die Anforderungen von NIS2 an das Lieferkettenmanagement hat.
Shadow IT ist ein Identitätsproblem
Jedes Shadow-IT-Risiko auf dieser Liste lässt sich auf dieselbe Grundursache zurückführen: Zugangsdaten und Zugriffsberechtigungen, die außerhalb Ihrer Sichtbarkeit existieren. Ein KI-Agent mit einem persistenten OAuth-Token ist eine Identität, die Ihr IAM-System nicht kennt. Ein verwaistes Konto ist eine Identität, die Ihr Offboarding-Prozess übersehen hat. Ein wiederverwendetes Passwort ist eine Identität, die Ihre kontrollierte Umgebung mit einer unkontrollierten verbindet.
Shadow IT zu lösen erfordert nicht, jedes nicht genehmigte Tool zu sperren. Es erfordert den Aufbau eines Systems, in dem Zugangsdaten der Kontrollpunkt sind: wo Zugriff über einen verwalteten Kanal gewährt wird, wo jede Identität sichtbar ist und wo der Widerruf eine einzige Aktion ist, kein manuelles Audit.
Organisationen, die das im Jahr 2026 richtig umsetzen, werden Shadow IT nicht eliminiert haben. Sie werden es beherrschbar gemacht haben.
Passwork ist ein unabhängiges europäisches Cybersicherheitsunternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen und öffentliche Einrichtungen entwickelt. Das Unternehmen operiert nach EU-Recht und ist vollständig NIS2-, ENS- und DSGVO-konform. Passwork legt den Schwerpunkt auf nachhaltigen Mehrwert, hält ISO-27001-zertifizierte Entwicklungsstandards ein und gewährleistet absoluten Datenschutz für seine Kunden.
Passwork Europe SL.
Carrer d’Arago, 208, 2-5
E08011 Barcelona
Telefon: +34613704284
https://passwork.pro/de/
![]()