Eine Marketing-Managerin meldet sich mit ihrer Firmen-E-Mail bei einem Design-Tool an. Ein Projektleiter speichert Kundendokumente in seiner privaten Dropbox. Ein Entwickler verbindet eine Drittanbieter-App per OAuth-Zustimmung mit dem Microsoft 365-Tenant des Unternehmens. Keine dieser Handlungen war böswillig. Alle haben Sicherheitslücken geschaffen, die die IT-Abteilung nicht sehen kann.
Das ist Schatten-IT: Technologie, die innerhalb einer Organisation ohne ausdrückliche Genehmigung oder Kenntnis des IT-Managements genutzt wird. Das Problem ist nicht neu, aber Cloud-Dienste haben es dramatisch verschärft.
Das Ausmaß des Problems
Studien von Gartner zeigen regelmäßig, dass 30 bis 40 Prozent der IT-Ausgaben in Unternehmen außerhalb des IT-Budgets stattfinden. Für KMU ohne formale Beschaffungsprozesse dürfte der Anteil höher liegen.
In einem typischen Microsoft 365-Tenant-Audit finden wir zwischen 15 und 40 Drittanbieter-Anwendungen mit OAuth-Zustimmungen — das heißt, ihnen wurde die Berechtigung erteilt, E-Mails zu lesen, auf Dateien zuzugreifen oder im Namen von Benutzern zu handeln. Die meisten IT-Administratoren wissen von der Mehrheit dieser Zustimmungen nichts.
Jede OAuth-Zustimmung ist ein potenzieller Zugriffsvektor. Wird die Drittanbieter-Anwendung kompromittiert, erbt der Angreifer alle Berechtigungen, die dieser Anwendung in Ihrem Tenant gewährt wurden.
Warum Mitarbeiter Schatten-IT nutzen
Das Verständnis der Motivation ist entscheidend für die Lösung. Mitarbeiter greifen zu nicht genehmigten Tools, weil:
- Das genehmigte Tool zu langsam oder umständlich ist — wenn das offizielle Projektmanagement-Tool 12 Klicks für eine Aufgabe braucht, werden Mitarbeiter eine einfachere Alternative nutzen
- Kein genehmigtes Tool existiert — die Organisation hat für einen legitimen Geschäftsbedarf keine Lösung bereitgestellt
- Sie nicht wissen, dass es ein Problem ist — die meisten Mitarbeiter ahnen nicht, dass das Verbinden einer Drittanbieter-App mit ihrem M365-Konto ein Sicherheitsrisiko schafft
Mitarbeiter für die Nutzung von Schatten-IT zu bestrafen, ohne diese Grundursachen zu adressieren, garantiert, dass das Problem weiterbesteht — es wird nur besser verborgen.
Die konkreten Risiken
Datenabfluss
Wenn ein Benutzer Unternehmensdokumente in einem privaten Cloud-Speicher ablegt, verlassen diese Dokumente dauerhaft Ihren Sicherheitsperimeter. Sie verlieren Sichtbarkeit, Kontrolle und die Möglichkeit, den Zugriff zu widerrufen. Verlässt der Mitarbeiter das Unternehmen, gehen die Daten mit.
OAuth-Token-Missbrauch
Eine Drittanbieter-Anwendung mit der Berechtigung „Alle Dateien lesen und schreiben" in Ihrem M365-Tenant kann auf jedes Dokument in SharePoint und OneDrive zugreifen — je nach Berechtigungsumfang auch auf Dateien, auf die der zustimmende Benutzer persönlich keinen Zugriff hat. Diese Tokens bestehen, bis sie explizit widerrufen werden.
Compliance-Verstöße
Die DSGVO verlangt, dass die Verarbeitung personenbezogener Daten dokumentiert und rechtmäßig ist. Wenn Kundendaten durch eine nicht genehmigte SaaS-Anwendung mit Servern außerhalb der EU fließen, verstößt Ihre Organisation möglicherweise gegen Datentransfer-Vorschriften — unabhängig davon, ob die IT davon wusste.
NIS2 verlangt Supply-Chain-Sicherheitsmaßnahmen. Jede nicht genehmigte SaaS-Anwendung ist ein undokumentierter Zulieferer, der Ihre Lieferketten-Sicherheitsbewertung umgeht.
Verstärkung von Account-Kompromittierung
Verwendet ein Mitarbeiter dasselbe Passwort für einen Schatten-IT-Dienst und sein Unternehmenskonto (immer noch verbreitet trotz wiederholter Warnungen), kompromittiert ein Breach des Schatten-Dienstes direkt die Unternehmens-Anmeldedaten.
Wie Sie Schatten-IT adressieren
1. Bestand aufnehmen
Microsoft Defender for Cloud Apps (in M365 E5 enthalten oder als Add-on verfügbar) bietet ein Schatten-IT-Discovery-Dashboard. Es analysiert Netzwerkverkehr, um zu identifizieren, welche Cloud-Dienste Mitarbeiter nutzen. Das ist der Ausgangspunkt — Sie können nicht verwalten, was Sie nicht sehen.
Für Organisationen ohne Defender for Cloud Apps zeigt ein Entra ID-Audit der OAuth-Zustimmungen, welche Drittanbieter-Anwendungen Zugriff auf Ihren Tenant erhalten haben. Das ist manuell über das Azure-Portal möglich.
2. OAuth-Zustimmungen überprüfen
Auditieren Sie jede Enterprise-Anwendung in Entra ID. Klären Sie für jede: Wer hat zugestimmt, welche Berechtigungen wurden gewährt, wird die Anwendung noch genutzt? Widerrufen Sie Zustimmungen für nicht mehr benötigte oder nie genehmigte Anwendungen.
Konfigurieren Sie Entra ID so, dass neue OAuth-Zustimmungen eine Admin-Genehmigung erfordern. Das verhindert, dass Benutzer Drittanbieter-Anwendungen ohne IT-Freigabe Zugriff auf Unternehmensdaten gewähren.
3. Genehmigte Alternativen bereitstellen
Fragen Sie für jedes entdeckte Schatten-IT-Tool: Welchen geschäftlichen Bedarf deckt es? Gibt es einen legitimen Bedarf, stellen Sie eine genehmigte Alternative bereit. Gibt es keinen, kommunizieren Sie klar, warum das Tool nicht erlaubt ist.
4. DLP-Richtlinien implementieren
Data Loss Prevention-Richtlinien in Microsoft 365 können den Transfer sensibler Daten an nicht genehmigte Cloud-Dienste erkennen und blockieren. Konfigurieren Sie Richtlinien, die das Hochladen von Dokumenten mit Kundendaten, Finanzinformationen oder klassifizierten Inhalten an nicht genehmigte Ziele verhindern.
5. Aufklären statt bestrafen
Führen Sie eine Security-Awareness-Sitzung durch, die erklärt, warum Schatten-IT Risiken schafft — nicht abstrakt, sondern mit konkreten, für Ihre Organisation relevanten Beispielen. Die meisten Mitarbeiter werden kooperieren, wenn sie verstehen, welches Risiko sie erzeugen.
Der kontinuierliche Prozess
Schatten-IT-Discovery ist keine einmalige Übung. Neue Anwendungen tauchen ständig auf. Planen Sie vierteljährliche Überprüfungen der OAuth-Zustimmungen und jährliche Schatten-IT-Discovery-Scans. Integrieren Sie Schatten-IT in Ihren Incident-Response-Plan — wenn ein Drittanbieter-Dienst kompromittiert wird, müssen Sie schnell wissen, ob Ihre Organisation dort Daten hatte.
Starten Sie mit einem M365-Sicherheitsaudit, um herauszufinden, welche Schatten-IT heute in Ihrer Umgebung existiert.