7 Shadow-IT-Risiken im Jahr 2026 & wie Credential Management sie löst

Shadow IT sieht im Jahr 2026 grundlegend anders aus als noch vor fünf Jahren. Das eigentliche Problem sind heute KI-Agenten mit persistenten OAuth-Token, LLM-Sitzungen, die still im Hintergrund proprietären Quellcode verarbeiten, und verwaiste SaaS-Konten, an deren Einrichtung sich niemand mehr erinnert. Jedes dieser Elemente erweitert die Angriffsfläche eines Unternehmens weit über das hinaus, was ein klassischer Netzwerkperimeter abdecken kann.Laut dem State of Shadow AI-Report von UpGuard nutzen mehr als 80 % der Mitarbeitenden nicht genehmigte KI-Tools. 

Eine Gartner-Umfrage unter 302 Cybersecurity-Verantwortlichen (März bis Mai 2025) ergab, dass 69 % der Organisationen den Einsatz verbotener öffentlicher GenAI-Tools durch Mitarbeitende entweder vermuten oder bereits bestätigt haben. Gartner prognostiziert, dass bis 2030 mehr als 40 % der Unternehmen einen Sicherheits- oder Compliance-Vorfall erleben werden, der auf nicht autorisierten Shadow-AI-Einsatz zurückzuführen ist.

Von SaaS-Wildwuchs zu Shadow AI: Was sich verändert hat

Vor fünf Jahren bedeutete Shadow IT, dass ein Vertriebsteam ein nicht genehmigtes CRM nutzte oder ein Entwickler einen privaten AWS-Account aufsetzte. Das Risiko lag in der Datenspeicherung außerhalb des Unternehmensperimeters. Lästig, aber beherrschbar.

Die Variante von 2026 unterscheidet sich grundlegend, und zwar nicht nur im Ausmaß. Large-Language-Model-Sitzungen verarbeiten heute proprietären Quellcode. KI-Agenten authentifizieren sich über delegierte OAuth-Berechtigungen gegen Unternehmenssysteme und behalten diesen Zugriff auf unbestimmte Zeit. Die Daten werden nicht mehr nur außerhalb des Perimeters gespeichert, sondern von einer Drittanbieter-Infrastruktur analysiert, zusammengefasst und möglicherweise protokolliert, die Ihr Sicherheitsteam niemals geprüft hat.

Verbote funktionieren nicht. Mitarbeitende verstecken die Tools nur sorgfältiger. Der einzig gangbare Weg besteht darin, den genehmigten Pfad einfacher zu gestalten als den Shadow-IT-Pfad und Transparenz über jede Zugangsberechtigung herzustellen, die Ihre Infrastruktur berührt.

Die 7 Shadow-IT-Risiken, mit denen Ihre Organisation heute konfrontiert ist

1. Der KI-Datenmultiplikator

Klassisches Shadow IT speicherte Daten an nicht autorisierten Orten. Shadow AI tut etwas Gefährlicheres: Es verarbeitet Daten. Wenn ein Mitarbeitender ein Datenbankschema in ein öffentliches LLM einfügt oder einen KI-Coding-Assistenten mit einem privaten Repository verbindet, können diese Daten für das Modelltraining verwendet, in Session-Logs gespeichert oder an Unterauftragsverarbeiter weitergeleitet werden, die Ihre Rechtsabteilung niemals geprüft hat. Die Angriffsfläche ist keine Datei in einem privaten Cloud-Ordner, sondern eine aktive Datenpipeline ohne Audit-Trail auf Ihrer Seite.

2. Credential-Exposition und Passwort-Wiederverwendung

Kostenlose KI-Tools und SaaS-Anwendungen sind ein bevorzugtes Ziel für Infostealer-Malware. Wenn Mitarbeitende sich bei diesen Diensten mit ihrer geschäftlichen E-Mail-Adresse registrieren und Passwörter aus internen Systemen wiederverwenden, wird ein Sicherheitsvorfall bei einer unbekannten Produktivitäts-App zum direkten Angriffsvektor in Ihre Infrastruktur. Passwort-Wiederverwendung über genehmigte und nicht genehmigte Dienste hinweg gehört zu den konstantesten Befunden in der Post-Incident-Forensik, zugleich aber zu den am einfachsten vermeidbaren.

3. Das Problem verwaister Konten (Orphaned Accounts)

Wenn ein Mitarbeitender das Unternehmen verlässt, entzieht Ihre IT-Abteilung den Zugriff auf alle Systeme, die ihr bekannt sind. Der entscheidende Satz ist: „die ihr bekannt sind." Shadow-Accounts (eigenständig erstellt, nie im IAM-System erfasst) überleben das Offboarding unberührt. Ehemalige Mitarbeitende behalten Zugriff auf Tools, die Unternehmensdaten enthalten, manchmal über Monate hinweg. Sie werden dies erst bemerken, wenn etwas schiefläuft.

4. Persistente OAuth-Berechtigungen für KI-Agenten

Dies ist das Risiko, das die meisten Organisationen noch nicht im Blick haben. Wenn ein Nutzer einen KI-Agenten autorisiert, sich über OAuth mit Slack, GitHub oder Google Drive zu verbinden, bleibt diese Berechtigung nach dem Ende der Sitzung bestehen: nach dem Abmelden des Nutzers und häufig auch nach der Deaktivierung des Unternehmenskontos. Der Agent behält Lese- und Schreibzugriff auf Produktivsysteme. Es gibt keinen automatischen Ablauf. Es gibt kein zentrales Register. Und es gibt keinen Widerrufsprozess, solange niemand gezielt danach sucht.

5. Verstöße gegen Art. 28 DSGVO

Gemäß Art. 28 DSGVO muss jeder Dritte, der personenbezogene Daten in Ihrem Auftrag verarbeitet, durch einen unterzeichneten Auftragsverarbeitungsvertrag (AVV) abgedeckt sein. Die Nutzung eines SaaS-Tools oder KI-Dienstes ohne AVV ist keine Grauzone, sondern ein direkter Verstoß, unabhängig davon, ob ein Datenschutzvorfall eintritt. Shadow IT macht eine systematische AVV-Abdeckung strukturell unmöglich, da die genutzten Tools per Definition der Compliance-Funktion unbekannt sind.

6. NIS2-Blindstellen in der Lieferkette

§30 BSIG verpflichtet wesentliche und wichtige Einrichtungen dazu, Cybersicherheitsrisiken in ihren Lieferketten zu managen, einschließlich IKT-Drittanbieter. Ein nicht erfasstes SaaS-Tool ist eine nicht bewertete Drittanbieter-Abhängigkeit. Wird dieses Tool kompromittiert und breitet sich der Vorfall auf Ihre Systeme aus, stehen Sie nicht nur vor dem Sicherheitsvorfall selbst, sondern auch vor einem Compliance-Versagen, weil Sie nicht nachweisen können, dass Sie das Risiko eines Anbieters bewertet haben, von dessen Nutzung Sie nichts wussten.

7. DORA-Nichteinhaltung für Finanzunternehmen

Die Verordnung über die digitale operationale Resilienz (DORA), die seit Januar 2025 für EU-Finanzunternehmen gilt, verpflichtet Organisationen zur Führung eines vollständigen Registers aller IKT-Drittanbieter. Shadow IT macht dieses Register per Definition unvollständig. Bei einer Aufsichtsprüfung oder Vorfallsuntersuchung werden Lücken im IKT-Register nicht als administrative Versäumnisse behandelt, sondern als Kontrollversagen gewertet.

Wie Credential Management Shadow IT beherrschbar macht

Der erste Impuls ist, nicht genehmigte Tools auf Netzwerkebene zu sperren. Das ist verständlich, aber nahezu wirkungslos. Mitarbeitende umgehen Einschränkungen über private Geräte, mobile Hotspots und Browser-Erweiterungen. Die Tools verschwinden im Verborgenen; das Risiko wird lediglich unsichtbar.

Die produktivere Frage lautet: Warum greifen Mitarbeitende überhaupt zu Shadow-Tools? Meistens, weil die genehmigte Alternative langsamer, schwerer zugänglich ist oder ein Ticket-System erfordert. Die Lösung liegt in der Reduzierung von Reibung auf dem legitimen Weg, kombiniert mit Transparenz darüber, was tatsächlich genutzt wird.

Credential Management ist der praktische Mechanismus für beides. Ein zentralisierter Vault mit rollenbasierter Zugriffskontrolle (RBAC) verändert den Workflow an drei Punkten:

    Zugriffsanfragen laufen über den Vault statt über eigenständige Registrierungen. Mitarbeitende, die ein neues Tool benötigen, beantragen den Zugriff zentral: Das IT-Team sieht die Anfrage, bewertet das Tool und erteilt den Zugriff oder lehnt ihn mit einer dokumentierten Begründung ab.

 

    Laufende Transparenz entsteht als Nebeneffekt des normalen Betriebs. Das Vault-Inventar wird zum Tool-Inventar, ohne separates Audit.

 

           Offboarding wird zu einer einzigen Aktion. Der Entzug des Vault-Zugriffs unterbricht den Zugriff auf alle Tools gleichzeitig, einschließlich Tools, die zuvor Shadow IT waren und inzwischen in das verwaltete Inventar überführt wurden.

Die Self-Hosted-Architektur von Passwork stellt sicher, dass Zugangsdaten die eigene Infrastruktur nie verlassen, was unmittelbare Relevanz für Art. 28 DSGVO und die Anforderungen von NIS2 an das Lieferkettenmanagement hat.

Shadow IT ist ein Identitätsproblem

Jedes Shadow-IT-Risiko auf dieser Liste lässt sich auf dieselbe Grundursache zurückführen: Zugangsdaten und Zugriffsberechtigungen, die außerhalb Ihrer Sichtbarkeit existieren. Ein KI-Agent mit einem persistenten OAuth-Token ist eine Identität, die Ihr IAM-System nicht kennt. Ein verwaistes Konto ist eine Identität, die Ihr Offboarding-Prozess übersehen hat. Ein wiederverwendetes Passwort ist eine Identität, die Ihre kontrollierte Umgebung mit einer unkontrollierten verbindet.

Shadow IT zu lösen erfordert nicht, jedes nicht genehmigte Tool zu sperren. Es erfordert den Aufbau eines Systems, in dem Zugangsdaten der Kontrollpunkt sind: wo Zugriff über einen verwalteten Kanal gewährt wird, wo jede Identität sichtbar ist und wo der Widerruf eine einzige Aktion ist, kein manuelles Audit.

Organisationen, die das im Jahr 2026 richtig umsetzen, werden Shadow IT nicht eliminiert haben. Sie werden es beherrschbar gemacht haben.

Über Passwork Europe SL.

Passwork ist ein unabhängiges europäisches Cybersicherheitsunternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen und öffentliche Einrichtungen entwickelt. Das Unternehmen operiert nach EU-Recht und ist vollständig NIS2-, ENS- und DSGVO-konform. Passwork legt den Schwerpunkt auf nachhaltigen Mehrwert, hält ISO-27001-zertifizierte Entwicklungsstandards ein und gewährleistet absoluten Datenschutz für seine Kunden.

Firmenkontakt und Herausgeber der Meldung:

Passwork Europe SL.
Carrer d’Arago, 208, 2-5
E08011 Barcelona
Telefon: +34613704284
https://passwork.pro/de/

Ansprechpartner:
Alex Muntyan
CEO
Telefon: +34673328602
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel