Säule 4NIS2DSGVOBSI-GRUNDSCHUTZTISAX

Schatten-IT-Management

Praxis-Szenario

Der Marketing-Chef installiert einen KI-Übersetzer aus dem Internet, um Produkttexte für den französischen Markt zu erstellen. Der Dienst speichert alle eingegebenen Texte auf Servern in den USA — darunter unveröffentlichte Produktnamen und Preise. Drei Monate später tauchen die Daten bei der Konkurrenz auf. Gleichzeitig: Ein Teamleiter nutzt ein kostenloses Projektmanagement-Tool. Kundendaten werden hochgeladen — DSGVO-Verstoß. Die Aufsichtsbehörde verhängt ein Bußgeld von 20.000 €. Schatten-IT: Software, die ohne Wissen der IT eingesetzt wird. In jedem Unternehmen durchschnittlich 5× mehr Apps als offiziell bekannt.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. a

Sicherheit der Lieferkette einschließlich Bewertung eingesetzter Software und Dienste

DSGVODSGVO Art. 30

Auftragsverarbeitung: Nur geprüfte und freigegebene Dienste für personenbezogene Daten

BSI IT-GrundschutzBSI OPS.1.2.5

Regelungen zum Umgang mit nicht-genehmigter Software gemäß BSI OPS.1.2.5

Lösung & Umsetzung

1. Ist-Aufnahme: Netzwerk-Scan + Mitarbeiterbefragung — welche Tools werden wirklich genutzt? 2. Freigabeprozess einführen: Einfaches Formular (Name, Zweck, Datenanforderungen, Kosten) 3. Geschäftsführer-Freigabe für neue Software-Installationen 4. Sicherheitscheck: VirusTotal-Scan, Datenschutzprüfung, Lizenzcheck 5. Quartalsweiser Review: Welche Schatten-IT ist dazugekommen? 6. Whitelist pflegen: Erlaubte Tools für jeden Einsatzbereich kommunizieren

Ihr Mehrwert

Schatten-IT-Management reduziert unbekannte Risiken um 90%. Sie sparen Lizenzkosten durch Konsolidierung (oft 20-30% Einsparung). Nachweis für Audits: Kontrollierter Software-Einsatz. Cyber-Versicherungen gewähren bis zu 15% Rabatt.

Nächster Schritt