Die Digitalisierung kleiner und mittlerer Unternehmen (KMU) war schon immer ein Balanceakt zwischen Kontrolle und Innovation. Das Forschungsprojekt “Legitimise IT” nahm sich dieser Herausforderung an und entwickelte zwischen 2020 und 2022 einen strukturierten Ansatz für den Umgang mit Schatten-IT. Heute, im Jahr 2025, stellt sich die Frage: Wie relevant sind diese Erkenntnisse noch in Zeiten von ChatGPT, Gemini und Co.? Ein Blick zurück und nach vorn.
Die Ausgangslage: Warum “Legitimise IT”?
Schatten-IT – also IT-Lösungen, die ohne Wissen oder Genehmigung der IT-Abteilung von Fachabteilungen oder einzelnen Mitarbeitenden eingeführt werden – war schon immer ein zweischneidiges Schwert. Einerseits birgt sie Risiken für Datensicherheit und Compliance, andererseits ist sie oft Ausdruck von Innovation und Problemlösungskompetenz.
Das Forschungsprojekt “Legitimise IT” (Laufzeit: Juni 2020 bis Mai 2022) setzte genau hier an. Ziel war es, KMU zu befähigen, mit Schatten-IT konstruktiv umzugehen, statt sie einfach zu verbieten. Die Kernfrage: Wie können Unternehmen die Vorteile nutzen und gleichzeitig Risiken minimieren?
Der Ansatz: Systematik statt Verbote
Das Projektteam entwickelte einen mehrstufigen Ansatz:
- Identifikation von Schatten-IT: Mit Hilfe von Fragebögen und strukturierten Gesprächen wurde erfasst, wo und wie Schatten-IT in Unternehmen eingesetzt wird.
- Risiko- und Nutzwertanalyse: Die identifizierten Lösungen wurden hinsichtlich ihrer Risiken und ihres Nutzens bewertet. Eine eigens entwickelte Bewertungsmethodik wurde gemeinsam mit Unternehmensvertretern validiert.
- Lösungsansätze: Verschiedene Strategien zum Umgang mit Schatten-IT wurden erarbeitet – von klassischen Maßnahmen wie Dokumentation und Verantwortungsübertragung bis hin zu plattformbasierten und legitimierenden Ansätzen.
- Webbasiertes Tool: Die Ergebnisse wurden in ein frei zugängliches Online-Tool überführt, das IT-Entscheider Schritt für Schritt durch die Identifikation, Bewertung und Auswahl passender Lösungen führt.
- Reifegradmodell: Für eine objektive Standortbestimmung wurde ein Reifegradmodell entwickelt, mit dem Unternehmen ihren Umgang mit Schatten-IT einschätzen und Entwicklungspotenziale ableiten können.
Diese methodische Herangehensweise sollte KMU einen pragmatischen Weg aufzeigen, um Schatten-IT nicht pauschal zu verbieten, sondern gezielt zu legitimieren und zu integrieren.
Ergebnisse und Erkenntnisse
Die zentralen Erkenntnisse aus dem Projekt:
- Schatten-IT ist in nahezu allen Unternehmen präsent und lässt sich nicht einfach verbieten
- Ein strukturierter Umgang mit Schatten-IT ermöglicht es, Innovationspotenziale zu nutzen und gleichzeitig Risiken zu kontrollieren
- Die systematische Identifikation und Bewertung ist der Schlüssel zu fundierten Entscheidungen
- Je nach Situation und Unternehmenskontext eignen sich unterschiedliche Lösungsansätze
- Die Selbsteinschätzung mittels Reifegradmodell hilft Unternehmen, ihren Standort zu bestimmen und Entwicklungsmaßnahmen abzuleiten
Die neue Dimension: Shadow AI verändert alles?
Seit Abschluss des Projekts hat sich die IT-Welt dramatisch verändert. Der Durchbruch generativer KI und die breite Verfügbarkeit von KI-Tools wie ChatGPT haben eine neue Form der Schatten-IT geschaffen: Schatten-KI (engl.: Shadow AI). Dies belegt eine aktuelle Studie der PwC von 2024 (PwC-Umfrage zum Umgang mit KI im beruflichen Alltag): Fast 40 % der Berufstätigen nutzen KI-Anwendungen im Arbeitsalltag, oft ohne Wissen oder Kontrolle der IT-Abteilung. Damit gehen neue Risiken einher – etwa unkontrollierte Datenweitergabe, Compliance-Verstöße und fehlende Transparenz bei der Nutzung. Gleichzeitig verfügen viele Unternehmen noch nicht über klare Richtlinien oder Schulungsangebote für den KI-Einsatz. Schatten-KI macht deutlich: Unternehmen müssen ihre Governance und Sicherheitsmaßnahmen dringend anpassen, um Innovation zu ermöglichen und Risiken zu beherrschen.
Bewertung heute: Sind die Projektergebnisse noch aktuell?
Der strukturierte Ansatz zur Identifikation, Bewertung und Legitimierung ist angesichts der KI-Revolution noch relevanter geworden. Dennoch sind einige Anpassungen notwendig:
Was bleibt aktuell:
- Die Grundprinzipien des Projekts – Identifikation, Bewertung und strukturierter Umgang mit Schatten-IT – sind heute wichtiger denn je.
- Die Empfehlung, Schatten-IT nicht pauschal zu verbieten, sondern gezielt zu steuern und zu legitimieren, hat durch den Innovationsdruck der KI sogar an Bedeutung gewonnen.
Was muss angepasst werden:
- KI-Tools bringen neue Risiken mit sich, etwa im Hinblick auf Datenschutz, Datenabfluss und regulatorische Anforderungen.
- Die Methoden zur Identifikation und Bewertung von Schatten-IT müssen um KI-spezifische Aspekte erweitert werden (Risikobewertung und Reifegradmodell).
- Unternehmen benötigen automatisierte Monitoring-Tools und klare Richtlinien für den Umgang mit KI-Anwendungen.
Fazit: Ein solides Fundament für neue Herausforderungen
Das Projekt “Legitimise IT” hat ein methodisches Fundament geschaffen, das auch im KI-Zeitalter tragfähig bleibt. Die grundsätzliche Erkenntnis, dass ein pauschales Verbot von Schatten-IT weder praktikabel noch zielführend ist, gilt für Shadow AI umso mehr. Der strukturierte Ansatz zur Identifikation, Bewertung und Legitimierung bietet auch heute einen wertvollen Rahmen – er muss allerdings um KI-spezifische Aspekte erweitert werden.
Für Unternehmen bedeutet dies: Die im Projekt entwickelten Methoden und Tools sind nach wie vor nützlich, sollten aber durch KI-spezifische Governance-Maßnahmen ergänzt werden. Nur so können sie auch in Zukunft den schmalen Grat zwischen Innovation und Risikokontrolle erfolgreich meistern.
Be First to Comment