Shadow IT bezeichnet jede informationstechnische Ressource, sei es Hardware, Software, Cloud-Dienste oder Anwendungen, die innerhalb einer Organisation ohne Wissen, Genehmigung oder Verwaltung durch die IT-Abteilung genutzt wird. Shadow AI ist eine spezifische Teilmenge von Shadow IT, die sich auf Tools der künstlichen Intelligenz konzentriert.
Shadow IT gibt es seit Jahrzehnten, doch der Aufstieg von Cloud-Diensten und SaaS-Anwendungen hat ihre Verbreitung dramatisch erhöht. Gängige Beispiele sind privater Cloud-Speicher (Dropbox, Google Drive), nicht autorisierte Messaging-Apps, die Nutzung privater E-Mails für die Arbeit, nicht genehmigte Projektmanagement-Tools und nun auch KI-Dienste wie ChatGPT, Claude und GitHub Copilot.
Zu den Risiken von Shadow IT gehören: Sicherheitslücken durch ungeprüfte Software, Datenabfluss über nicht verwaltete Kanäle, Compliance-Verstöße durch unkontrollierte Datenverarbeitung, mangelnde Sichtbarkeit der organisationsweiten Datenflüsse, Support- und Integrationsprobleme sowie eine vergrößerte Angriffsfläche.
Zu den Managementstrategien gehören: Discovery-Tools, die nicht autorisierte Dienste identifizieren, klare Richtlinien mit praxistauglichen Genehmigungsprozessen, die Bereitstellung genehmigter Alternativen, die den Bedürfnissen der Nutzer entsprechen, die Aufklärung der Mitarbeitenden über Risiken, Netzwerküberwachung und Zugriffskontrollen sowie regelmäßige Audits der Technologienutzung. Ziel ist es, Sicherheit und die Produktivität der Mitarbeitenden in Einklang zu bringen.