Kurz vorweg: Das durchschnittliche KMU nutzt 2026 mehr als 110 SaaS-Anwendungen – die IT-Abteilung kennt typischerweise nur 30 bis 40. Die Lücke ist Schatten-IT. Die konkreten Risiken: revDSG-Verstösse durch fehlende AVV, Datenleck via ungeschützte Tools, doppelte Lizenzkosten (drei Tools für dasselbe), fehlende Multi-Faktor-Authentisierung und unkontrollierbare Zugriffe nach Mitarbeiter-Austritt. Pauschalverbote scheitern – funktionieren tut nur ein Self-Service-Modell mit Leitplanken.
Wie Schatten-IT entsteht – 5 typische Wege
Marketing kauft Tool mit Firmen-Kreditkarte
CMO braucht kurzfristig Canva Pro, ein E-Mail-Versand-Tool oder ein Heatmap-Plugin. CHF 29 pro Monat fallen nicht auf, Beleg landet im Spesen-Report, IT erfährt nie davon.
Free-Tier-Sign-up mit Geschäfts-E-Mail
Mitarbeitende melden sich bei Notion, Figma, Miro oder Loom kostenlos an – mit der vorname.name@firma.ch. Nach 3 Monaten arbeiten 12 Personen damit, aber niemand hat einen Vertrag.
ChatGPT, Claude, Gemini mit Geschäftsdaten
Sachbearbeiter füttert ChatGPT-Konto (privat oder kostenloses ChatGPT.com) mit Kundenkorrespondenz, Offerten, HR-Daten. Daten landen im Anbieter-Training, je nach Plan und Region.
Browser-Extensions ohne Freigabe
Grammarly, LanguageTool, Adobe Acrobat, Loom, Pocket – Browser-Erweiterungen lesen jeden Tab mit. Installiert sind sie oft ohne Wissen der IT, einmal angeklickt nach einem Blog-Tipp.
Persönliche Accounts mit Firmen-Login
Mitarbeiter nutzt sein privates Dropbox-, Google-Drive- oder iCloud-Konto, um schnell ein File von zu Hause zu öffnen. Oder verknüpft den privaten LinkedIn-Account mit dem CRM.
Risiken konkret: was Schatten-IT 2026 wirklich kostet
Schatten-IT ist nicht abstrakt gefährlich – sie hat eine sehr konkrete Risikokostenstruktur. Fünf Bereiche, in denen Schweizer KMU 2026 regelmässig getroffen werden:
revDSG-Verstoss
Ohne Auftragsverarbeitungsvertrag (AVV) ist die Nutzung eines Cloud-Tools mit Personendaten ein Verstoss gegen revDSG Art. 9. Im Verarbeitungsverzeichnis (Art. 12) tauchen die Tools nicht auf – im Audit ist das nicht erklärbar.
Cloud Act und Drittstaaten
Viele Schatten-IT-Tools laufen bei US-Anbietern. Werden Personendaten (gerade besonders schützenswerte) ohne dokumentierte Transferrisikobewertung verarbeitet, drohen Bussen bis CHF 250’000 (Art. 60 revDSG, persönliche Haftung).
Datenleck-Beispiele
Trello-Boards öffentlich indexiert, Notion-Pages mit Klartext-Passwörtern, Calendly mit allen Kunden-Mailadressen. Solche Lecks tauchen 2024–2026 monatlich in Schweizer Medien auf.
Doppelte Lizenzkosten
Drei Teams haben drei verschiedene Projektmanagement-Tools, zwei davon mit M365 redundant. Studien zeigen: 30–40% der SaaS-Ausgaben in KMU sind funktional doppelt. Bei CHF 50’000 SaaS-Jahresbudget = CHF 15’000–20’000 Verschwendung.
Verlust beim Mitarbeiter-Austritt
Wenn ein Verkäufer mit privatem Dropbox-Login geht, gehen Kundenlisten mit. Wenn der Marketing-Lead Canva mit eigener Mailadresse abonnierte, geht das Brand-Asset-Repository mit.
Fehlendes MFA und SSO
Schatten-Tools haben fast nie SSO. Jedes Tool ist ein eigener Username-Passwort-Topf. Beim ersten Phishing-Angriff fallen 5 bis 15 Konten auf einmal, weil Mitarbeitende dasselbe Passwort nutzen.
SaaS-Discovery-Tools im Vergleich
| Tool | Ansatz | Stärke | Preis ab | Schweiz-tauglich |
|---|---|---|---|---|
| Microsoft Defender for Cloud Apps | Cloud-Proxy + Browser-Telemetrie | Tief integriert in M365/Entra, erkennt 31’000+ SaaS, automatische Risk-Scores, SSO-Empfehlungen | CHF 3.30/User/Mt (in E5) oder Add-on | Ja, EU-Datenboundary konfigurierbar |
| Cloudflare CASB | API + Zero-Trust-Gateway | Verbindet sich mit M365, Google Workspace, Slack, GitHub. Findet Misconfigurations und externe Freigaben automatisch | Im Cloudflare One Plan ab CHF 7/User/Mt | Ja, EU-PoP, AVV verfügbar |
| Zluri | API + Browser-Agent + Finance-Integration | Echtes SaaS-Management: Discovery + Lizenz-Audit + Offboarding-Workflows. Sehr gute UX | ab CHF 8/User/Mt (ab 50 User) | Bedingt – Daten in EU/US, AVV nötig |
| Torii | API-First + Finance-Sync | Stark im Cost-Management, automatische Renewal-Erinnerungen, Lizenz-Right-Sizing | ab CHF 10/User/Mt (Pro) | Bedingt – US-Anbieter, AVV nötig |
| BetterCloud | API + Workflow-Automation | Sehr gute Offboarding-Automation über 100+ SaaS, ideal für IT-Teams mit > 200 Usern | auf Anfrage, ab ca. CHF 15/User/Mt | Bedingt – US-Anbieter, Enterprise-Fokus |
| Productiv | API + Engagement-Analytics | Misst nicht nur, wer welches Tool hat, sondern wer es wie aktiv nutzt → echtes Lizenz-Right-Sizing | auf Anfrage, Enterprise-Preise | Bedingt – US-Anbieter, AVV nötig |
Für Schweizer KMU mit M365 ist Defender for Cloud Apps meist die pragmatischste Wahl – schon lizenziert oder günstig als Add-on, datenschutzkonform konfigurierbar. Wer ein eigenes SaaS-Management-Tool will, fährt mit Zluri am breitesten. Productiv ist Enterprise-Klasse und für KMU unter 100 User meist überdimensioniert.
5-Schritte-Plan: Schatten-IT in 6 Wochen unter Kontrolle bringen
Woche 1–2: Discovery
Drei Quellen kombinieren – Browser-/Firewall-Logs (Defender for Cloud Apps, Cloudflare Gateway), Expense Reports der letzten 12 Monate (Pleo, Yokoy, Kreditkarten-Exports), und direkte Interviews mit Teamleads (15 Min pro Abteilung). Ergebnis: Liste mit 80–150 erkannten SaaS-Tools.
Woche 3: Klassifizierung (Ampel grün/gelb/rot)
Jedes Tool bekommt eine Farbe. Grün: freigegeben, AVV vorhanden, SSO/MFA aktiv. Gelb: geduldet, aber Massnahmen nötig (AVV nachholen, MFA erzwingen). Rot: ablösen oder verbieten (kein AVV möglich, Datenresidenz unklar, US-only ohne Notwendigkeit).
Woche 4: Genehmigte App-Liste & Self-Service-Katalog
Pro Aufgabengebiet ein offizieller Stack: Projektmanagement = M365 Planner/Asana, Design = Canva Business, Video = Loom Business, KI = Copilot Chat. Sichtbar im Intranet. Wer ein anderes Tool will, beantragt es – Genehmigung in 48h.
Woche 5: SSO/MFA-Pflicht und AVV-Bibliothek
Jedes grüne Tool wird an Entra ID (SSO) angebunden. MFA-Conditional-Access erzwungen. Pro Tool ein unterzeichneter AVV im DMS, plus Datenschutz-Folgenabschätzung bei sensiblen Tools.
Woche 6: SaaS-Management-Prozess fest verankern
Quartalsweise Review (welche Tools sind neu dazugekommen, welche unbenutzt), Offboarding-Checkliste mit allen Tools, Lizenz-Audit halbjährlich. Tool-Verantwortliche pro App (Business-Owner) definieren.
Nicht verbieten – erlauben mit Leitplanken
Pauschalverbote scheitern in jeder modernen Wissensorganisation. Wer Schatten-IT nur sanktioniert, treibt sie in den Untergrund (private Geräte, private Logins, persönliches WhatsApp) – und macht alles schlimmer. Das tragfähige Modell 2026 sieht anders aus:
- Self-Service-Katalog im Intranet: alle freigegebenen Tools sichtbar, mit Onboarding-Anleitung und Business-Owner.
- Genehmigungs-Flow für neue Tools: einfaches Formular, 5 Fragen (Zweck, Datenkategorie, Anzahl User, Anbieter, Kosten). Antwort der IT in maximal 48h.
- AVV-Bibliothek: pro Anbieter ein unterzeichneter Auftragsverarbeitungsvertrag im DMS, leicht auffindbar.
- Standardisierte Templates: Datenschutz-Folgenabschätzung, Transferrisikobewertung, technische und organisatorische Massnahmen (TOM) als ausfüllbare Vorlagen.
- Tool-Champions: in jeder Abteilung eine Person, die SaaS-Bedürfnisse sammelt und mit der IT kanalisiert.
- Klare Eskalation: wer ein nicht freigegebenes Tool produktiv nutzt, bekommt eine Mail mit 7-Tage-Frist zur Beantragung – nicht direkt eine Abmahnung.
Spezialfall Schatten-KI: ChatGPT, Claude, Gemini mit Geschäftsdaten
Schatten-KI ist der bei weitem heikelste Teil der Schatten-IT 2026 – und gleichzeitig der schnellst wachsende. Mitarbeitende lassen ChatGPT, Claude oder Gemini Offerten formulieren, Mails übersetzen, Kundengespräche zusammenfassen, Excel-Tabellen analysieren. Die Daten landen auf privaten Konten, oft mit unklarer Trainingseinwilligung und ohne AVV.
- Kostenlose ChatGPT-, Claude- oder Gemini-Konten dürfen niemals mit Personen- oder Geschäftsdaten gefüttert werden. Klare Richtlinie kommunizieren.
- Lösung Microsoft-Welt: Microsoft Copilot Chat (im M365-Plan enthalten oder als Add-on) – Daten verlassen den Tenant nicht, kein Training mit Firmen-Input.
- Lösung breiter Stack: ChatGPT Enterprise oder Team mit unterzeichnetem AVV, Daten nicht zum Training, SSO via Entra ID, MFA pflicht.
- Lösung Sicherheit: Claude for Enterprise mit Anthropic-AVV, EU-Datenresidenz prüfen.
- Schulung: 30-Minuten-Awareness pro Mitarbeiter, was hineingehört (öffentliche Texte, Recherche) und was nicht (Kundendaten, HR, Finanzen, Mandats-Akten).
- Audit-Trail: Enterprise-KI-Konten loggen, was eingegeben wurde – wichtig für GEBüV und revDSG-Nachweis.
Typische Stolpersteine
- Nur verbieten ohne Alternative: Wer ChatGPT verbietet, ohne Copilot Chat oder ChatGPT Enterprise anzubieten, treibt die Nutzung auf private Geräte und private Konten.
- Kein Genehmigungs-Flow: Wenn ein Tool-Antrag 3 Wochen dauert, kauft das Marketing-Team es einfach selbst und schickt die Rechnung in die Buchhaltung.
- Kein Lizenz-Audit: SaaS-Verträge laufen oft auto-renewal. Ohne quartalsweisen Lizenz-Check zahlt man jahrelang für 50 User, hat aber nur 30 aktive.
- Keine Offboarding-Liste: Beim Austritt werden nur AD und M365 deaktiviert. 20 SaaS-Konten bleiben aktiv, Daten bleiben zugänglich. Pro Tool ein Offboarding-Schritt zwingend.
- MFA nicht durchgesetzt: SSO eingerichtet, aber MFA nur empfohlen. Ein gephishtes Passwort genügt für Tenant-weiten Zugriff. Conditional Access mit MFA-pflicht ist nicht optional.
- AVV vergessen: Tool freigegeben, SSO konfiguriert, aber kein AVV unterzeichnet. Bei revDSG-Prüfung dasselbe Risiko wie unkontrollierte Schatten-IT.
- Keine Datenklassifizierung: Ohne Wissen, welches Tool welche Daten verarbeitet, kann man weder Ampel-Klassifizierung noch Transferrisikobewertung machen.
- Discovery einmalig statt kontinuierlich: SaaS-Landschaft ändert sich monatlich. Wer einmalig inventarisiert und dann nicht weitermisst, hat in 12 Monaten wieder dasselbe Bild.
Fazit: Schatten-IT ist Symptom, nicht Krankheit
Schatten-IT entsteht, weil die offiziellen Tools langsam, unbequem oder unbekannt sind. Wer 2026 als IT-Verantwortlicher nur sanktioniert, verliert das Vertrauen der Fachabteilungen – und sieht trotzdem keine bessere Sicherheit. Das funktionierende Modell ist: Schatten-IT erkennen, Ampel-klassifizieren, einen schnellen Genehmigungs-Flow anbieten und mit AVV-Bibliothek, SSO und MFA hart absichern.
Konkret heisst das: 6 Wochen Aufwand für ein sauberes SaaS-Inventar, danach quartalsweise 4 Stunden Review. Im Schnitt sinken die SaaS-Ausgaben um 20–30%, die revDSG-Konformität wird auditierbar, und die Mitarbeitenden bekommen ein offizielles Toolset, mit dem sie tatsächlich arbeiten wollen. Das ist günstiger und sicherer als jeder Versuch eines Pauschalverbots.
SaaS-Landschaft inventarisieren
Wir entdecken alle SaaS-Tools in Ihrem KMU, klassifizieren nach Risiko, holen AVVs nach, bauen SSO/MFA und etablieren einen Self-Service-Katalog mit Genehmigungs-Flow – revDSG-konform und mit messbarer Kostensenkung.
Beratung anfragen