Shadow-IT-Erkennung bei Post-Merger-Integrationen: Finden, was niemand dokumentiert hat

Jedes Unternehmen hat Shadow IT. Bei einer Fusion verdoppelt sich das Problem — denn nun gibt es die undokumentierten Systeme, nicht genehmigten SaaS-Tools und technologischen Abteilungsentscheidungen zweier Organisationen, die die IT-Governance vollständig umgangen haben.

Das durchschnittliche Unternehmen nutzt 3- bis 4-mal mehr SaaS-Anwendungen, als die IT-Abteilung kennt. Nach einer Fusion verschlechtert sich dieses Verhältnis, bevor es besser wird. Dieser Beitrag beschreibt, wie Sie finden, was niemand dokumentiert hat, und es unter Governance stellen — ohne den Geschäftsbetrieb zu stören.

Warum Shadow IT ein M&A-Problem ist

Bestehende Shadow IT vor der Fusion

Beide Unternehmen haben bestehende Shadow IT. Typische Beispiele:

• Marketing führt Kampagnen auf einer nicht genehmigten E-Mail-Plattform mit vollständigen Kundendaten durch
• Engineering-Teams nutzen persönliche GitHub-Konten für Unternehmens-Code
• Finanzabteilungen setzen SaaS-Tools ein, die sensible Finanzdaten enthalten
• HR nutzt externe Bewertungstools mit personenbezogenen Mitarbeiterdaten

Fusionsbedingte Shadow IT

Die Fusion selbst erzeugt neue Shadow IT:

• Teams führen Kollaborationstools ein, weil die IT-Abteilung Kommunikationsplattformen noch nicht vereinheitlicht hat
• Abteilungen richten Projektmanagement-Tools ein, um unternehmensübergreifende Arbeit zu koordinieren
• Entwickler erstellen gemeinsame Cloud-Konten zur Zusammenarbeit über Unternehmensgrenzen hinweg
• Vertriebsteams teilen Kundendaten über nicht genehmigte Filesharing-Dienste

Erkennungstechnik 1: CASB-Netzwerkanalyse

Microsoft Defender for Cloud Apps

Konfigurieren Sie Defender for Cloud Apps zur Analyse von Netzwerk-Traffic-Protokollen aus Firewalls und Proxies:

Das Cloud Discovery Dashboard kategorisiert jeden externen Dienst, auf den Mitarbeiter zugreifen, und bewertet das Risiko basierend auf:

• Sicherheitszertifizierungen (SOC 2, ISO 27001)
• Datenverschlüsselungspraktiken
• Dateneigentumsbedingungen
• Kontokündigungsrichtlinien
• Rechtsgebiet

Was Sie finden werden: Typischerweise 200-400 einzigartige Cloud-Dienste im Einsatz, von denen 50-70 % der IT unbekannt waren.

Priorisierung

Sortieren Sie Entdeckungen nach:

1. Datensensibilität — Dienste, die Kundendaten, Finanzdaten oder personenbezogene Daten verarbeiten
2. Nutzeranzahl — Weit verbreitete Tools haben höhere Priorität als Einzelpersonen-Experimente
3. Risikobewertung — Dienste mit schlechter Sicherheitslage oder bedenklichen Nutzungsbedingungen
4. Redundanz — Dienste, die genehmigte Tool-Funktionalität duplizieren

Erkennungstechnik 2: Entra ID-Anmelde- und Zustimmungsprotokolle

OAuth-Anwendungszustimmung

Benutzer stimmen OAuth-Anwendungen zu, die auf Unternehmensdaten zugreifen (E-Mail, Kalender, Dateien). Diese erscheinen in Entra ID:

# Alle OAuth2-Berechtigungszustimmungen auflisten
Get-MgOAuth2PermissionGrant -All | Select-Object ClientId, ConsentType, Scope, PrincipalId

# Enterprise-Anwendungen mit Benutzerzustimmung auflisten
Get-MgServicePrincipal -Filter "tags/any(t: t eq 'WindowsAzureActiveDirectoryIntegratedApp')" -All

Worauf Sie achten sollten:

• Anwendungen mit Mail.Read, Files.ReadWrite.All oder User.Read.All-Berechtigungen
• Anwendungen, denen viele Benutzer zugestimmt haben (deutet auf weite Verbreitung hin)
• Anwendungen von unbekannten Herausgebern
• Anwendungen mit Admin-Zustimmung (höchstes Risiko)

Analyse der Anmeldeprotokolle

// KQL-Abfrage in Log Analytics — Nicht-Microsoft-App-Anmeldungen finden
SigninLogs
| where TimeGenerated > ago(90d)
| where AppDisplayName !startswith "Microsoft" and AppDisplayName !startswith "Office"
| summarize UserCount = dcount(UserPrincipalName), SignInCount = count() by AppDisplayName, AppId
| order by UserCount desc
| take 50

Erkennungstechnik 3: Finanzanalyse

Spesenauswertung

SaaS-Tools werden häufig über Firmenkreditkarten oder Spesenabrechnungen beschafft. Arbeiten Sie mit der Finanzabteilung zusammen, um:

1. Alle Spesenabrechnungen der letzten 12 Monate zu exportieren
2. Nach Software, Abonnements und Technologieanbietern zu filtern
3. Gegen den genehmigten Softwarekatalog abzugleichen
4. Wiederkehrende Belastungen bei unbekannten Anbietern zu identifizieren

Beschaffungsunterlagen

Prüfen Sie die Beschaffung auf Abteilungsebene auf Direktkäufe, die die IT-Genehmigung umgangen haben. Marketing- und Vertriebsabteilungen sind die häufigsten Quellen nicht genehmigter Technologieeinkäufe.

Erkennungstechnik 4: DNS- und Endpoint-Analyse

DNS-Abfrageprotokolle

Wenn Ihre DNS-Infrastruktur Abfragen protokolliert, analysieren Sie Verkehrsmuster:

• Domainnamen zu Diensten auflösen (z. B. app.notion.so → Notion)
• Dienste identifizieren, auf die häufig von vielen Endgeräten zugegriffen wird
• Auf Datenexfiltrations-Indikatoren achten (hohes Upload-Volumen zu unbekannten Diensten)

Endpoint-Software-Inventar

Nutzen Sie Intune oder SCCM, um installierte Anwendungen auf verwalteten Endgeräten zu inventarisieren. Achten Sie auf:

• VPN-Clients (persönliche VPN-Nutzung, die auf Datenrouting-Bedenken hindeutet)
• Cloud-Storage-Sync-Clients (Dropbox, persönliches OneDrive, Google Drive)
• Remote-Desktop-Tools (TeamViewer, AnyDesk)
• Entwicklungstools, die auf Code-Speicherung außerhalb genehmigter Repositories hindeuten können

Das AMRR-Klassifizierungsrahmenwerk

Für jedes entdeckte System klassifizieren Sie es:

Übernehmen

Das Tool erfüllt einen echten Bedarf, ist sicher und kann unter IT-Governance gestellt werden. Fügen Sie es dem genehmigten Katalog hinzu, verhandeln Sie einen Enterprise-Vertrag, konfigurieren Sie SSO mit Entra ID und wenden Sie Data Loss Prevention-Richtlinien an.

Migrieren

Das Tool enthält wertvolle Daten, erfüllt aber nicht die Sicherheits- oder Compliance-Anforderungen. Exportieren Sie die Daten in eine genehmigte Alternative, unterstützen Sie Benutzer beim Übergang und setzen Sie ein Abschaltdatum.

Stilllegen

Das Tool wird nicht mehr benötigt oder dupliziert genehmigte Funktionalität. Exportieren Sie benötigte Daten, benachrichtigen Sie Benutzer und nehmen Sie es außer Betrieb. Bieten Sie klare Alternativen an.

Ersetzen

Das Tool erfüllt einen echten Bedarf, ist aber für den Enterprise-Einsatz ungeeignet. Beschaffen Sie eine genehmigte Alternative für denselben Anwendungsfall und migrieren Sie dann die Benutzer.

Governance nach der Erkennung

Erkennung ist kein einmaliges Ereignis. Etablieren Sie eine fortlaufende Shadow-IT-Governance:

1. Kontinuierliches CASB-Monitoring — Wöchentliche Berichte über neu erkannte Cloud-Dienste
2. Admin-Zustimmungs-Workflow — Admin-Genehmigung für OAuth-Anwendungszustimmungen vorschreiben
3. Beschaffungsrichtlinie — Alle SaaS-Käufe über 100 EUR/Monat erfordern IT-Überprüfung
4. Quartalsweise Zugriffsüberprüfung — Enterprise-Anwendungen in Entra ID vierteljährlich überprüfen
5. Self-Service-Katalog — Machen Sie es einfach, genehmigte Tools anzufordern. Wenn der offizielle Prozess ein 6-wöchiger Beschaffungszyklus ist, kaufen Mitarbeiter Tools auf ihrer Kreditkarte.

Das Ziel ist nicht, Shadow IT zu blockieren — sondern den geordneten Weg einfacher zu machen als den ungeordneten.

Sie beschäftigen sich mit Shadow IT in einer Post-Merger-Umgebung? Kontaktieren Sie uns — wir helfen Unternehmen, die Technologie zu entdecken, zu klassifizieren und zu steuern, die niemand dokumentiert hat.