ℹ Was ist Schatten-IT?
Schatten-IT bezeichnet IT-Systeme, Software, Hardware oder Cloud-Dienste, die ohne Wissen oder Genehmigung der zentralen IT-Abteilung in einem Unternehmen eingesetzt werden.
Mitarbeiter oder Abteilungen nutzen in der Regel unbewusst Schatten-IT, um ihre Arbeit effizienter zu gestalten, jedoch oft ohne Rücksicht auf Unternehmensrichtlinien, Sicherheitsanforderungen oder Compliance-Vorgaben.
❌ Warum entsteht eigentlich Schatten-IT?
Die Schatten-IT entsteht nicht nur durch das absichtliche Ausnutzen von Lücken in Richtlinien oder wegen einer vernachlässigten Kontrolle der IT-Abteilung. Es gibt viele weitere Gründe, warum dies passiert:
- Zeitdruck: Mitarbeiter greifen auf eigene Lösungen zurück, wenn die IT-Abteilung nicht schnell genug reagieren kann.
- Einfache Verfügbarkeit: Cloud-Dienste und Apps sind leicht zugänglich und oft ohne großen Aufwand einsetzbar.
- Flexibilität: Mitarbeiter wollen innovative oder anpassungsfähigere Tools nutzen, die besser zu ihren Anforderungen passen.
- Mangelnde Kommunikation: Unklare Richtlinien oder fehlende Schulungen führen dazu, dass Mitarbeiter sich nicht bewusst sind, dass sie Schatten-IT betreiben.
💰 Welche Kosten verstecken sich denn in Software und deren Lizenzen?
Die Bedeutung von Lizenz- und Nutzungsmodellen für die Kosten ist weitaus größer als vielfach angenommen wird, denn Software-Produkte können von Open Source bis hin zum Abo-Modell jeweils eigene individuelle Kostenmerkmale aufweisen.
✅ Lizenz-Arten und deren Besonderheiten
Die Lizenz-Art selbst hat dabei direkte Lizenz- und Vertragsbedingungen, die im Rahmen der Abrechnung, der Kosten und der Nutzung als solches Ihren "eigenen Charakter" haben kann.
Open-Source-Lizenzen
In der Regel werden Bibliotheken, Frameworks oder Tools, die Entwickler in Projekten häufig mit Open-Source-Lösungen oder Teilprodukten aus dem Open-Source-Umfeld umgesetzt.
Hierbei gibt es eine Reihe von Besonderheiten zu beachten, denn der Einsatz von Open-Source-Lösungen kann bedeuten, dass die entwickelte Software genauso als Open-Source lizenziert werden muss.
Des Weiteren können Lizenzen dazu führen, dass beim Schwenk eines Projekts von gemeinnützig auf gewinnbringend Kosten entstehen, die vorab nicht einkalkuliert oder unbekannt waren.
Freemium-Software
Damit die Einstiegs-Akzeptanz von privaten Nutzern und Unternehmen besser ist, wird meistens eine kostenlose Startphase angeboten.
Hierbei sind z. B. Produkte wie Dropbox, Trello oder Slack kostenlos bis zu einem gewissen Betrag, zu einer Benutzergrenze oder einer Menge an Daten je Monat.
Je nach Nutzungsprofil kann unbemerkt diese Phase ablaufen und auf eine kostenpflichtige Version umgestellt werden, die zum Teil erhebliche Kosten je Monat, Jahr oder anderen Zeit Intervall mit sich bringt.
💡 Lizenzmanagement leicht gemacht
Kombiniert Lizenzen, Verträge, Erinnerungen und vieles mehr in einem System.
Abonnementbasierte Lizenzen
Jede Software, die im Rahmen eines Vertrags in gewissen Zyklen abgerechnet wird, ist als abonnementbasiertes Produkt zu verstehen.
Klassische Beispiel dazu sind zum Beispiel Office365, Adobe Creative Cloud oder Salesforce.
Die üblichen Probleme sind hierbei
- Nicht genutzte Abos auf deaktivierter Hardware oder von gekündigten Mitarbeitern.
- Doppelte Abos, die durch einen falschen Einkaufsprozess eventuell mehrfach angeschafft wurden.
- Vergessene Abos, die nicht dokumentiert sind in der Kostenrechnung des Anbieters auftauchen.
Individuell erworbene Lizenzen
Software kann je nach Unternehmensgröße auch direkt von Mitarbeitern angeschafft werden. Meistens findet dies dann über die persönliche Kreditkarte des Mitarbeiters statt, so dass sich die Zahlungsinformationen den Verantwortlichen entziehen.
Kernproblem dabei: Diese Lizenzen werden selten in das zentrale Lizenzmanagement aufgenommen und können im Unternehmen unkontrolliert verwendet werden.
Es können Rechtsrisiken entstehen und Audits damit gefährdet werden, falls eine solche Lizenz fälschlicherweise dem Unternehmen zugerechnet wird.
Mobile Apps
Bei Mobile Apps besteht die Besonderheit darin, dass die Lizenz meist an einen App-Store und ein Benutzerkonto gebunden ist.
Nutzer kaufen die App daher oft nicht direkt, sondern erhalten nur ein Nutzungsrecht. Zusätzlich gelten neben der Lizenz des Entwicklers auch die Regeln der Plattformen wie Apple oder Google. Häufig sind die Lizenzen außerdem auf bestimmte Geräte oder Accounts beschränkt.
Zudem haben viele Unternehmen keinen Überblick über App-basierte Lizenzen, insbesondere wenn BYOD (Bring Your Own Device) erlaubt ist.
Test- und Demolizenzen
Software, die für eventuelle Testzwecke heruntergeladen wurde, beinhaltet meistens eine temporäre Lizenz. Falls die Software über das Lizenz-Ende verwendet wird, könnten Verstöße mit weiteren Kosten (Lizenz-Kosten + Vertragsstrafe) drohen.
Lizenzen von Drittanbietern oder Partnern
Lizenzen von Drittanbietern oder Partnern zeichnen sich dadurch aus, dass sie nicht direkt vom Unternehmen selbst, sondern von externen Parteien verwaltet, genutzt oder bereitgestellt werden (CSP-Modell).
Die kritischen Besonderheiten hierbei sind:
- Gemeinsame Nutzung von Ressourcen: Wer nutzt welche Software in welchem Maße?
- Unklare Verantwortlichkeiten: Wer muss sich um die Bereitstellung, die Kosten oder den Updates kümmern?
- Unterschiedliche Lizenzmodelle: Wie können Abo-Lizenzen neben Kauf-Lizenzen bewertet werden?
- Hohe Erwartungen an stabilen Datenschutz und hohe Sicherheit bei Zugriffskontrollen: Wird der Zugriff auf die Software und die Nutzung der Daten dauerhaft kontrolliert?
- Regulatorische und Compliance-Vorgaben: Bricht eventuell ein Partner die Compliance-Richtlinien oder wird eventuell regionales Recht gebrochen?
- Verborgene Kosten: Muss das Unternehmen für die Kosten des Partners haften oder diese sogar übernehmen?
Gerade die komplexen Strukturen und Unterschiede zwischen einem Partner und dem eigenen Unternehmen können meistens nur mit hohem Aufwand betrachtet werden. Die Menge an Software und deren Lizenzen, Vertragsunterschiede und die Zusammenarbeit über Ländergrenzen hinweg sind hierbei zusätzliche Hürden, die nur mit Transparenz und Einsicht in alle Datenquellen zu beherrschen ist.
🚩 Wie können Probleme durch komplexe Software und eine Schatten-IT angegangen werden?
Es muss eine konsequente Zentralisierung mittels eines Lizenzmanagement-Tools (SAM - Software Asset Management) durchgeführt werden. Hierbei muss der Ist-Zustand so genau wie möglich erfasst werden, damit Bewertungen, Analysen und Budgets passend ausgeführt werden können.
Die Geräte und deren Software aus der Schatten-IT müssen per Netzwerkscans erkannt und ausgewiesen werden. Nicht erlaubte Software oder Geräte müssen aus dem Firmennetz entfernt und deren Lizenz-Situation geklärt werden, um Rechtsrisiken zu vermeiden.
Alle Mitarbeiter müssen im Rahmen von Schulungen mit dem richtigen Umgang in dem Thema ausgebildet werden. Transparenz und Offenheit im Umgang mit Software und den Lizenz-Modellen ist faktisch in jedem Bereich ein Thema und sollte grundsätzlich verstanden werden.
Zur Kontrolle sollten regelmäßige Audits zwecks Qualitätsprüfung und Einhaltung der neuen Richtlinien durchgeführt werden. Fallen neue Geräte oder Software-Produkte auf muss die IT-Abteilung individuell entscheiden, wie mit dem Produkt, in dem betroffenen Abteilungen und dem jeweiligen Mitarbeitern umgegangen wird.
Per se sollten IT-Richtlinien für alle Mitarbeiter des Unternehmens klar und deutlich kommuniziert werden. Eventuell werden grobe Regelungen als Teil des Arbeitsvertrags definiert oder es werden allgemeine Schulungen zu Beginn, zu einem Quartal oder in anderen Zyklen angeboten.
Mit einem systematischen Ansatz können Unternehmen die Kontrolle über alle Lizenzen verbessern und rechtliche sowie finanzielle Risiken minimieren.
📃 Fazit - Gutes Lizenz-Management hilft die Komplexität zu verringern
Ein gutes Lizenz-Management trägt wesentlich dazu bei, die Komplexität moderner IT-Landschaften zu reduzieren, insbesondere im Kontext komplexer Unternehmenssoftware und der zunehmenden Schatten-IT.
Wenn Softwarelizenzen zentral erfasst, regelmäßig überprüft und aktiv gesteuert werden, behalten Unternehmen den Überblick darüber, welche Anwendungen tatsächlich genutzt werden und wo redundante oder unautorisierte Lösungen im Einsatz sind.
Gerade in komplexen Softwareumgebungen entstehen schnell parallele Tools und unkontrollierte Installationen, weil Fachabteilungen kurzfristig eigene Lösungen beschaffen (typischer Auslöser für Schatten-IT).
Durch ein strukturiertes Lizenz-Management lassen sich solche Insellösungen identifizieren, konsolidieren und in standardisierte Systeme überführen.
Dadurch sinkt nicht nur die technische und organisatorische Komplexität, sondern auch das Risiko von Sicherheitslücken, Compliance-Verstößen und unnötigen Kosten.
