Schatten-IT Audit: Was Ihre IT-Abteilung nicht weiß, aber wissen muss.
Ihre Mitarbeiter nutzen im Schnitt doppelt so viele SaaS-Tools wie Ihre IT kennt. ChatGPT, Dropbox, Trello, dazu Excel-Applikationen in jeder Abteilung. Seit Dezember 2025 haften Sie als Geschäftsführer persönlich dafür, dass Sie Ihre IT-Assets kennen. Der Schatten-IT Audit liefert in 4–6 Wochen ein vollständiges Inventar mit Risikobewertung und NIS2-Compliance-Fahrplan.
Das erhalten Sie
- Vollständiges IT-Asset-Inventar: jede SaaS-Anwendung, jedes KI-Tool, jede Abteilungslösung. Mit Kosten, Verantwortlichem und Datensensitivität
- Risikobewertung mit Ampelsystem: Rot, Gelb, Grün für jedes Asset. Basierend auf Datensensitivität, Tool-Risiko und Nutzungsvolumen
- NIS2- und DSGVO-Compliance-Gap-Analyse: wo genau Ihre Schatten-IT gegen §30 BSIG, Art. 28/30/32 DSGVO oder den EU AI Act verstößt
- Priorisierte Handlungsroadmap: was sofort passieren muss (0-30 Tage), was kurzfristig (1-3 Monate) und was mittelfristig (3-6 Monate)
- Management-Präsentation: Executive Summary, Risiko-Heatmap, Top-10-Sofortmaßnahmen und NIS2-Compliance-Status. Grundlage für die GF-Freigabe nach §38 BSIG
Kommt Ihnen das bekannt vor?
- Ihre Kreditkartenabrechnungen zeigen SaaS-Abos, die niemand in der IT genehmigt hat
- Sie fallen unter NIS2, aber Ihr IT-Asset-Inventar hat blinde Flecken. Das wissen Sie, aber keiner hat Zeit, es aufzuräumen
- Drei Abteilungen nutzen drei verschiedene Projektmanagement-Tools. Daten liegen überall und nirgends
- Mitarbeitende kopieren Kundendaten in ChatGPT, und Sie haben weder Regeln noch einen Überblick darüber
- Der Wirtschaftsprüfer oder ein Kunde fragt nach Ihrem Softwareinventar, und die Antwort dauert Wochen statt Stunden
4 Phasen. Kein CASB, kein Toolverkauf.
Finanzdaten-Audit
Wir folgen dem Geld. 12 Monate Kreditkarten, Kreditorenbuchhaltung und Spesenkonten zeigen, welche Software wirklich im Einsatz ist. Über die Hälfte aller SaaS-Ausgaben versteckt sich erfahrungsgemäß unter falschen Kostenarten.
Einzelinterviews mit Fachabteilungen
Marketing, Vertrieb, HR, Controlling, Entwicklung: Wir sprechen mit jeder Abteilung einzeln. Nicht per Fragebogen, sondern im Gespräch. Denn in der Großrunde sagt ja niemand, welche Tools wirklich genutzt werden.
Technische Quick-Wins
SSO/IdP-Audit über Azure AD oder Google Workspace, OAuth-Berechtigungen prüfen, vorhandene Firewall- und DNS-Logs auswerten. Keine neue Infrastruktur nötig, wir arbeiten mit dem, was da ist.
Konsolidierung und Bewertung
Alle Quellen zusammenführen, deduplizieren, mit Abteilungsverantwortlichen validieren. Jedes Asset bekommt einen Risiko-Score, ein NIS2-Compliance-Mapping und eine klare Handlungsempfehlung.
Wie es danach weitergeht
Nach der Management-Präsentation entscheiden Sie. Die Handlungsroadmap funktioniert auch ohne uns. Wenn Sie bei der Umsetzung der kritischen Maßnahmen Steuerung brauchen, übernehmen wir das. Kein Automatismus.
Wissen Sie, was in Ihrem Unternehmen wirklich läuft?
30 Minuten mit dem Berater, der Ihr Audit durchführt. Kein Vertriebsgespräch, kein Toolverkauf.