Unter Schatten-IT oder auch „shadow IT“ versteht man jegliche Form von Software, etwaige Apps beziehungsweise Programme und Cloud-Dienste, die ohne Einsicht oder Genehmigung durch die IT-Abteilung von Mitarbeitern in einem Unternehmen genutzt werden. Diese Situation stellt in den meisten Unternehmen ein erhebliches Sicherheitsrisiko dar, da solche Software und Programme im Verborgenen auf lokalen Maschinen der Mitarbeiter laufen und nur schwer von der IT erfasst werden können. Ursachen für die Nutzung von Schatten-IT und unter der Hand genutzter Software sind meist Unzufriedenheiten der Mitarbeiter gegenüber der IT-Abteilung, die beispielsweise aufgrund von langen Reaktionszeiten oder durch Ablehnung von bestimmter Software durch die IT entstehen.
Aufgrund dessen entscheiden einige Nutzer selbst, welche Software sie bei sich am Arbeitsplatz nutzen wollen. Ein wichtiger Aspekt für die Datensicherheit und den Datenschutz ist die Voraussetzung, dass ausschließlich autorisierte Nutzer und Geräte in einem Netzwerk mit einander agieren. Dazu bestehen diverse Einrichtungen und Technologien wie Firewalls, Proxy-Server und Benutzerkennwörter, die diese Datensicherheit gewährleisten. Wenn nun jedoch durch solche Schatten-IT ein unbefugter Zugriff auf die internen Systeme durch Unbefugte ermöglicht wird, stellt dies eine hohe Gefahr für die Sicherheit des Netzwerks dar. Es besteht die Möglichkeit, durch unbekannte Sicherheitslücken diverser Software einen Datenverlust durch beispielsweise Diebstahl der Daten zu erleiden. Ebenso kann Malware leichter in ein Netzwerk eingeschleust werden, da diese Programme nicht durch die IT-Abteilung geprüft und gegebenenfalls angepasst werden können.
Darüber hinaus würde die Nutzung solcher Schatten-IT gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Um solche Risiken und dadurch entstehende Folgen zu vermeiden, ist es wichtig, stets aufmerksam und sorgfältig in den IT-Systemen zu arbeiten. Sowohl die Mitarbeiter als auch die IT-Abteilung sollten gegen Schatten-IT vorgehen, indem keine Programme eigenständig und vor allem ohne die Zustimmung der IT installiert werden, da die IT-Abteilung angefragte Software aus gutem Grund ablehnt. Zusätzlich kann man die Firewall so konfigurieren, dass sie selbstständig verdächtigen Datenverkehr erkennen kann und entsprechend blockiert.