Unternehmen geben viel Geld für den Kauf von Computerausrüstung aus. Hardwarekäufe können sowohl in Form von Endbenutzergeräten wie Laptops, Desktops und Mobiltelefonen erfolgen, als auch andere Computerhardware wie Server und Netzwerkausrüstung umfassen. Unternehmen können auch riesige Summen für Software ausgeben, die auf der Hardware ausgeführt wird. Zusammengenommen sind dies offizielle Infrastrukturen, da das Unternehmen deren Nutzung für geschäftliche Zwecke genehmigt hat.
Schatten-IT ist der Name für eine inoffizielle Infrastruktur, bei der Menschen begonnen haben, nicht genehmigte Geräte, Software oder Cloud-Dienste zu verwenden. Schatteninfrastruktur muss nicht unbedingt einmal geschäftlich genutzt werden. Wenn beispielsweise ein Unternehmen BYOD, auch bekannt als Bring Your Own Device, verbietet und ein Mitarbeiter sein privates Mobiltelefon mit dem Unternehmensnetzwerk verbindet, gilt dies immer noch als Schatten-IT. Dies liegt daran, dass das Gerät mit einem Firmennetzwerk verbunden ist, von wo aus es Malware usw. verbreiten könnte, wenn es kompromittiert wurde.
Nicht freigegebene Software wird auch als Schatten-IT bezeichnet. Da die Software auf Unternehmenscomputern ausgeführt wird, kann dies die Leistung oder Sicherheit der Geräte oder Netzwerke beeinträchtigen. Die Hauptrisiken nicht genehmigter Software bestehen darin, dass sie nicht aktualisiert wird oder der Benutzer eine inoffizielle und mit Malware beladene Kopie erhält.
Cloud-IT-Dienste sind ein relativ neuer Teil der Schatten-IT, der zur Verarbeitung von Daten verwendet werden kann, das Problem ist diese Dienste können außerhalb der gesetzlichen Verpflichtung des Unternehmens liegen, die Daten zu schützen und nicht an andere weiterzugeben Unternehmen. Nicht genehmigte Cloud-Dienste durchlaufen außerdem mit deutlich geringerer Wahrscheinlichkeit einen ordnungsgemäßen Härtungsprozess, wodurch sie anfälliger für Hacking-Versuche sind.
Schatten-IT ist kein einfaches Risiko, sich darauf vorzubereiten und zu handhaben, da die genauen Probleme und Risiken, die sie darstellen, per Definition unbekannt sind. Die einzige Möglichkeit, sich darauf vorzubereiten, besteht darin, Verfahren und Pläne zu erstellen und klare Konsequenzen für Regelverstöße zu haben. Es ist auch besonders wichtig sicherzustellen, dass die offiziellen Verfahren zur ordnungsgemäßen Anforderung von Ausrüstung usw. einfach sind zu verwenden, da dies die Wahrscheinlichkeit verringert, dass Mitarbeiter etwas tun, was sie nicht tun sollten, weil es so ist Einfacher.