{"id":972,"date":"2025-09-29T15:55:20","date_gmt":"2025-09-29T13:55:20","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=972"},"modified":"2025-09-29T15:55:20","modified_gmt":"2025-09-29T13:55:20","slug":"schatten-it-wie-man-dsgvo-risiken-stoppt-und-die-kontrolle-zurueckgewinnt","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/09\/29\/schatten-it-wie-man-dsgvo-risiken-stoppt-und-die-kontrolle-zurueckgewinnt\/","title":{"rendered":"Schatten-IT: Wie man DSGVO-Risiken stoppt und die Kontrolle zur\u00fcckgewinnt"},"content":{"rendered":"<p>Kennen Sie das? Ein Mitarbeiter entdeckt ein neues SaaS-Tool, das ein Problem sofort l\u00f6st, und beginnt, es zu nutzen. Was als pragmatische L\u00f6sung gedacht ist, kann f\u00fcr das Unternehmen schnell zu einem ernsthaften Risiko werden: <strong>Willkommen in der Welt der Schatten-IT<\/strong>.<\/p>\n<p>Schatten-IT \u2013 also die Nutzung von nicht freigegebener Hard- und Software \u2013 ist weit verbreitet. Gerade bei Cloud-Diensten und SaaS-Anwendungen ist die H\u00fcrde f\u00fcr den Einsatz niedrig. Doch diese unkontrollierte Nutzung birgt erhebliche Gefahren f\u00fcr die Informationssicherheit und die Einhaltung der DSGVO.<\/p>\n<h4>Warum ist Schatten-IT so riskant?<\/h4>\n<p>Die Ursachen sind oft harmlos: Mitarbeiter wollen produktiv sein und suchen nach der besten L\u00f6sung f\u00fcr ihre Aufgaben. Das Problem entsteht, weil diese Tools ohne Beteiligung der IT-Sicherheit oder des Datenschutzes eingef\u00fchrt werden. Personenbezogene Daten, Gesch\u00e4ftsgeheimnisse oder vertrauliche Informationen landen so in Systemen, bei denen zentrale Fragen unbeantwortet bleiben:<\/p>\n<ul>\n<li><strong>Wo werden die Daten gespeichert?<\/strong><\/li>\n<li><strong>Gibt es ein funktionierendes L\u00f6schkonzept?<\/strong><\/li>\n<li><strong>Wer hat Zugriff auf die Daten?<\/strong><\/li>\n<\/ul>\n<p>F\u00fcr ein Informationssicherheitsmanagementsystem (ISMS) bedeutet dies den <strong>Verlust der Kontrolle \u00fcber Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit<\/strong> der Daten. Weitere Risiken sind unkontrollierte Datenfl\u00fcsse, die Sicherheitsl\u00fccken erzeugen, und die Abh\u00e4ngigkeit von instabilen Anbietern, was die Verf\u00fcgbarkeit gef\u00e4hrden kann. Nicht zuletzt k\u00f6nnen Verst\u00f6\u00dfe gegen die DSGVO hohe Bu\u00dfgelder und einen erheblichen Reputationsschaden nach sich ziehen.<\/p>\n<h4>Schritt 1: Transparenz schaffen \u2013 Die Schatten sichtbar machen<\/h4>\n<p>Der erste und wichtigste Schritt ist, herauszufinden, welche nicht freigegebenen Dienste \u00fcberhaupt genutzt werden. Eine Bestandsaufnahme ist unerl\u00e4sslich. Dabei k\u00f6nnen vorhandene Datenquellen helfen, wie zum Beispiel:<\/p>\n<ul>\n<li>Statistiken von Web-Gateways<\/li>\n<li>Abrechnungen kleinerer SaaS-Buchungen<\/li>\n<\/ul>\n<p>Entscheidend ist hierbei die <strong>offene Kommunikation<\/strong>. Mitarbeiter sollten ermutigt werden, genutzte oder geplante Tools zu melden, ohne Sanktionen bef\u00fcrchten zu m\u00fcssen. Eine einfache Risiko-Ampel kann helfen, die gemeldeten Dienste schnell zu bewerten:<\/p>\n<ul>\n<li><strong>Gr\u00fcn:<\/strong> Sicher und konform (z.B. Auftragsverarbeitungsvertrag liegt vor, Speicherort ist bekannt).<\/li>\n<li><strong>Gelb:<\/strong> Es gibt noch offene Fragen, die gekl\u00e4rt werden m\u00fcssen.<\/li>\n<li><strong>Rot:<\/strong> Klare Ausschlusskriterien sind erf\u00fcllt (z.B. keine L\u00f6schm\u00f6glichkeiten).<\/li>\n<\/ul>\n<p>Diese Bewertung sollte direkt in das Risikomanagement des ISMS \u00fcberf\u00fchrt werden.<\/p>\n<h4>Schritt 2: Schatten-IT ins ISMS integrieren<\/h4>\n<p>Ein ISMS nach ISO 27001 fordert, dass alle Risiken systematisch erfasst und behandelt werden. Identifizierte Schatten-Anwendungen m\u00fcssen daher als <strong>Assets in das ISMS aufgenommen<\/strong> werden. Dabei werden Verantwortlichkeiten festgelegt und der Schutzbedarf bewertet. Je nachdem, ob personenbezogene Daten oder vertrauliche Dokumente verarbeitet werden, wird das Risiko eingestuft und ein entsprechender Behandlungsplan erstellt.<\/p>\n<h4>Schritt 3: Schlanke Prozesse statt B\u00fcrokratie<\/h4>\n<p>Governance darf nicht zu einem Produktivit\u00e4tskiller werden. Ein <strong>schlanker und klar kommunizierter Freigabeprozess<\/strong> sorgt f\u00fcr die n\u00f6tige Balance. Mitarbeiter m\u00fcssen wissen, dass Software nur nach diesem Prozess genutzt werden darf.<\/p>\n<p>Ein einfaches Self-Service-Formular kann die wichtigsten Informationen abfragen: Zweck des Tools, Datenarten und beteiligte Teams. Die anschlie\u00dfende Pr\u00fcfung konzentriert sich auf wenige, aber entscheidende Fragen:<\/p>\n<ul>\n<li>Gibt es einen Auftragsverarbeitungsvertrag?<\/li>\n<li>Ist der Speicherort transparent?<\/li>\n<li>Unterst\u00fctzt der Dienst Single Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA)?<\/li>\n<li>K\u00f6nnen Daten exportiert und gel\u00f6scht werden?<\/li>\n<\/ul>\n<p>Freigegebene Dienste sollten in einem App-Katalog bereitgestellt werden, damit Teams schnell und sicher starten k\u00f6nnen.<\/p>\n<h4>Von der Grauzone zu klarer Governance<\/h4>\n<p>Wer Schatten-IT ernst nimmt, verwandelt unkontrollierte Grauzonen in abgesicherte und wertvolle Unternehmens-Assets. Ein pragmatischer Umgang mit dem Thema sch\u00fctzt nicht nur vor Datenschutzverst\u00f6\u00dfen, Sicherheitsl\u00fccken und finanziellen Sch\u00e4den, sondern erh\u00e4lt auch die Produktivit\u00e4t der Mitarbeiter. Der richtige Umgang mit Schatten-IT ist damit kein Bremsklotz, sondern ein entscheidender Baustein f\u00fcr nachhaltige Informationssicherheit.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kennen Sie das? Ein Mitarbeiter entdeckt ein neues SaaS-Tool, das ein Problem sofort l\u00f6st, und&hellip;<\/p>\n","protected":false},"author":1,"featured_media":642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,4],"tags":[],"class_list":["post-972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=972"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/972\/revisions"}],"predecessor-version":[{"id":973,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/972\/revisions\/973"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/642"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}