Illustration Absmeier foto freepik ki

In der britischen Kolonialzeit in Indien versuchte die Regierung, eine Kobra-Plage in Delhi durch ein Kopfgeld auf tote Schlangen zu bekämpfen. Die Bevölkerung reagierte pragmatisch, aber anders als erwartet: Sie begann, Kobras zu züchten, um die Prämie zu kassieren. Als das Programm gestoppt wurde, ließen die Züchter die wertlos gewordenen Schlangen frei, was die Plage schlimmer machte als zuvor. Dieser sogenannte Kobra-Effekt ist heute eine Standardmetapher in der Managementtheorie, doch nirgendwo ist er aktueller als in der modernen IT-Sicherheit. CIOs und IT-Leiter stehen zunehmend vor dem Paradoxon, dass strengere Sicherheitsrichtlinien oft nicht zu mehr Schutz, sondern zu riskanteren Umgehungslösungen führen.

Psychologische Mechanismen hinter der Umgehung von IT-Richtlinien

Das Phänomen der Regelumgehung ist selten ein Akt böswilliger Sabotage, sondern meist ein Ausdruck von Hilfsbereitschaft und Leistungswillen. Psychologisch betrachtet streben Mitarbeiter danach, ihre Aufgaben effizient zu erledigen und Ziele zu erreichen. Wenn IT-Richtlinien als inkompatibel mit diesen Zielen wahrgenommen werden, entsteht eine kognitive Dissonanz. Der Mitarbeiter rechtfertigt den Verstoß gegen die Sicherheitsvorgabe mit dem höheren Ziel der Aufgabenerfüllung. Ein klassisches Beispiel ist der Vertriebsmitarbeiter, der große Präsentationen nicht über den langsamen, gesicherten VPN-Tunnel versenden kann und stattdessen auf einen schnellen, aber ungesicherten öffentlichen File-Transfer-Dienst ausweicht, um die Deadline des Kunden zu halten.

Regulierungsfolgen am Beispiel digitaler Verbrauchermärkte und Dienste

Dieses Muster der Ausweichbewegung ist kein isoliertes Problem der Unternehmens-IT, sondern ein universelles menschliches Verhalten im digitalen Raum. Man beobachtet es überall dort, wo Regulierungen als zu restriktiv empfunden werden und die Nutzerakzeptanz fehlt. Ein anschauliches Vergleichsbeispiel bietet der digitale B2C-Markt, wo staatliche Eingriffe oft direkte Gegenreaktionen auslösen. Wenn beispielsweise Plattformen durch strenge nationale Vorgaben in ihrer Funktionalität beschnitten werden, wandern Nutzer oft zu internationalen Anbietern ab, die diese Einschränkungen nicht haben. Analysten beobachten in diesem Kontext, dass Nutzer im Internet gezielt nach Wegen für das umgehen von LUGAS Beschränkungen suchen, um Restriktionen wie Einzahlungslimits oder Wartezeiten zu vermeiden, die der deutsche Glücksspielstaatsvertrag vorsieht.

Die Parallele zur Unternehmens-IT ist offensichtlich: In beiden Fällen führt eine gut gemeinte, aber als gängelnd empfundene Regulierung dazu, dass der Nutzer den geschützten, regulierten Raum verlässt und sich in einen unregulierten Bereich begibt. Im B2C-Bereich bedeutet dies den Wechsel zu Anbietern ohne deutsche Lizenz; im Unternehmen bedeutet es den Wechsel zur Schatten-IT. Das Ergebnis ist in beiden Fällen ein Kontrollverlust des Regulierers. Die technische Hürde eliminiert das Bedürfnis nicht, sie verlagert nur die Befriedigung dieses Bedürfnisses in einen Bereich, der sich der Überwachung entzieht.

Technische Schlupflöcher und die Entstehung von Schatten-IT

Die technische Dimension dieses Problems hat sich in den letzten Jahren dramatisch verschärft, insbesondere durch den einfachen Zugang zu leistungsfähiger künstlicher Intelligenz. Während früher Schatten-IT oft nur aus Excel-Makros oder Dropbox-Konten bestand, haben wir es heute mit hochkomplexen Schatten-KI-Strukturen zu tun. Aktuelle Erhebungen zeigen alarmierende Zahlen: So nutzen mittlerweile 45 Prozent der Beschäftigten in der Bundesverwaltung ungenehmigte KI-Tools, um ihre Arbeit zu bewältigen. Diese Tools werden oft mit sensiblen Behördendaten gefüttert, ohne dass eine Prüfung auf Datensicherheit oder Serverstandort stattgefunden hat.

Das Risiko dieser Entwicklung ist immens, da die Daten, die in diese Schatten-Systeme abfließen, der Kontrolle des Unternehmens vollständig entzogen sind. Es entstehen Datensilos, die nicht gesichert werden, nicht Compliance-konform sind und bei einem Cyberangriff ein offenes Tor darstellen. Die Ironie liegt darin, dass die strengen Restriktionen, die eigentlich Datenabfluss verhindern sollten, genau diesen Abfluss begünstigen, indem sie die Nutzer auf unkontrollierbare Kanäle drängen. Statt einer zentral verwalteten, sicheren KI-Lösung nutzen Mitarbeiter dutzende verschiedene, oft kostenlose Tools, deren AGBs die Nutzung der eingegebenen Daten für Trainingszwecke erlauben – ein Albtraum für jeden Datenschutzbeauftragten.

Strategien für eine akzeptanzorientierte und sichere IT-Kultur

Um den Kobra-Effekt in der IT-Security zu vermeiden, müssen Unternehmen ihre Sicherheitsstrategie grundlegend überdenken. Der Fokus muss sich von reiner Restriktion hin zu »Enablement« verschieben. Das bedeutet konkret: Die IT-Abteilung darf nicht länger als die Abteilung wahrgenommen werden, die »Nein« sagt, sondern als die, die »Wie« fragt. Wenn Mitarbeiter generative KI nutzen wollen, ist ein pauschales Verbot wirkungslos. Stattdessen müssen Unternehmen schnell und unbürokratisch sichere Alternativen bereitstellen, die den gleichen Funktionsumfang bieten wie die unsicheren Tools aus dem Internet. Sicherheit muss so bequem sein, dass sie der Weg des geringsten Widerstands wird.

634 Artikel zu „Schatten-IT“

News | Favoriten der Redaktion | Geschäftsprozesse | IT-Security | Kommunikation | Services | Tipps

Schatten-IT durch übergroße Anhänge: Warum der E-Mail-Versand oft zur Sicherheitslücke wird

24. Juli 2025

Mitarbeiter, die dringend große Dateien versenden müssen, greifen nicht selten zu frei verfügbaren Filetransfer-Diensten im Internet. Es gibt viele Angebote, die leicht zu bedienen sind und in Sekunden funktionieren – ein Upload-Link genügt. Doch was aus Sicht der Nutzer pragmatisch und effizient erscheint, birgt für Unternehmen erhebliche Risiken. Datenschutz, IT-Sicherheit und Nachvollziehbarkeit bleiben dabei oft…