Der Einsatz von Künstlicher Intelligenz (KI) ist längst zum festen Bestandteil des Arbeitsalltags geworden. Mitarbeiter*innen nutzen Tools wie ChatGPT, Claude oder Gemini, um schneller zu recherchieren, Dokumente zu erstellen, Code zu schreiben oder Daten auszuwerten. Zudem bauen sie eigene KI-Anwendungen, die der Erstellung von Inhalten oder der Automatisierung von Prozessen dienen. Was dabei oft übersehen wird: Die Nutzung erfolgt in vielen Fällen eigenständig „im Schatten“, ohne Abstimmung mit der IT oder klar definierte Vorgaben – es handelt sich um sogenannte Schatten-KI (auch Shadow AI).
Was als pragmatische Effizienzsteigerung gedacht ist, entwickelt sich so zu einem ernstzunehmenden Risiko. Unternehmen verlieren zunehmend die Kontrolle darüber, welche Daten in KI-Anwendungen verarbeitet werden, wo sie gespeichert sind, ob sie in das Training externer Modelle einfließen, wer darauf zugreift – und auf welcher Grundlage daraus Geschäftsentscheidungen entstehen. Die Folge sind potenziell ungewollte Verstöße gegen interne Richtlinien, Datenschutzrecht, vertragliche Pflichten und regulatorische Anforderungen wie den EU AI Act.
Was versteht man unter Shadow AI?
Der Begriff Shadow AI ist eine direkte Weiterentwicklung der bereits bekannten Shadow IT. Während Shadow IT die unautorisierte Nutzung von Software, Hardware oder Cloud-Diensten bezeichnet, handelt es sich bei Shadow AI um eine neue Risikokategorie mit Überlappung zur Shadow IT. Sie beschreibt KI-Anwendungen, die ohne Governance-Prozess, Dokumentation oder Freigabe für arbeitszwecke genutzt oder eigenentwickelt werden.
Im Unterschied zur klassischen Shadow IT bleibt Shadow AI häufig lange unentdeckt. Der Grund: KI-Anwendungen sind niedrigschwellig verfügbar, können von jedem mühelos im Browser aufgerufen werden und lassen sich nahtlos in tägliche Arbeitsprozesse integrieren. Ein kurzer Prompt, ein hochgeladenes Dokument oder eine automatisierte Auswertung wirken für Mitarbeiter*innen harmlos. Aus Unternehmenssicht können genau hier jedoch erhebliche Risiken entstehen.
Shadow AI ist kein IT-Problem, sondern ein Governance-Problem. Wer KI-Nutzung nicht sichtbar macht oder pauschal verbietet, verliert die Kontrolle über Risiken und verspielt gleichzeitig die Chance, KI strategisch, sicher und skalierbar einzusetzen.
Andre Hanke, Senior Security Consultant, usd AG
Typische Gefahren sind:
- Unbeabsichtigte Preisgabe vertraulicher Daten (Geschäftsgeheimnisse, personenbezogene Daten, IP, Berufsgeheimnisse)
- Verlust der Kontrolle durch intransparente Datenverarbeitung in externen Systemen (Trainings-Nutzung, Speicherort, Drittstaaten-Transfer, Sub-Processors)
- Verstöße gegen Datenschutz- und Compliance-Vorgaben
Ein zentrales Problem: Unternehmen wissen häufig nicht, welche Tools konkret genutzt werden und welche Daten betroffen sind. Dadurch entstehen blinde Flecken im Informationssicherheitsmanagement.
Wie kann ich mit den Risiken von Shadow AI umgehen?
Shadow AI sollte zunächst nicht allein als Problem verstanden werden, sondern als Ausgangspunkt. Sie macht deutlich, wie stark KI bereits im Unternehmen verankert ist – und wo Handlungsbedarf besteht.
Gleichzeitig macht sie deutlich, dass es sich nicht um ein vorübergehendes Phänomen handelt, sondern um einen strukturellen Wandel. Mitarbeiter*innen nutzen KI dort, wo sie einen konkreten Mehrwert sehen, unabhängig von bestehenden Prozessen. Die Herausforderung besteht daher nicht darin, diese Nutzung zu unterbinden, sondern sie sichtbar zu machen und in geregelte, steuerbare Bahnen zu lenken.
Um die potenziellen Risiken zu kontrollieren, braucht es vor allem eines: Transparenz. Nur wenn Ihr Unternehmen ein klares Bild davon hat, welche KI-Anwendungen im Einsatz sind, in welchen Prozessen sie genutzt werden und welche Daten verarbeitet werden, können Sie effektive Maßnahmen zur Steuerung und Absicherung ergreifen.
Um die notwendige Transparenz zu schaffen, empfiehlt sich zur systematischen Erfassung die Inventarisierung von KI-Anwendungen in einem KI-Systeminventar. Im Gegensatz zu einer klassischen Asset-Liste, muss ein solches KI-Systeminventar für jeden Eintrag folgende Punkte erfassen:
- Zweck
- Betroffene Daten
- Risikoklasse
- Verantwortliche*r
- Lifecylce-Status
- Eingesetztes Modell
- Drittparteien
So entsteht erstmals ein belastbares Gesamtbild über den tatsächlichen KI-Einsatz in Ihrem Unternehmen und damit die Grundlage für fundierte Entscheidungen. Damit aus Transparenz jedoch echte Steuerung wird, sollten Sie die erfassten KI-Anwendungen anschließend risikobasiert bewerten, klare Nutzungsregeln definieren (z.B. AI Policy) und neue Use Cases einem strukturierten Freigabeprozess unterziehen.
Erst das Zusammenspiel aus Transparenz, Bewertung und verbindlichen Leitlinien ermöglicht eine wirksame AI Governance. Gleichzeitig reicht eine reine Dokumentation nicht aus. Es braucht aktive Aufklärung und offene Kommunikationskanäle, damit Mitarbeiter*innen verstehen, welche Tools erlaubt sind, welche Risiken bestehen und wie sie sicher mit KI umgehen – ohne direkt mit Verboten oder massiven Einschränkungen zu drohen. Sonst bleibt Shadow AI im Verborgenen. Erst wenn Transparenz und Verantwortungsbewusstsein zusammenkommen, lässt sich Shadow AI kontrollieren und eine tragfähige AI Governance etablieren.
Shadow AI bildet die Grundlage für jede weitere AI Governance Maßnahme: Wer nicht weiß, welche KI wo eingesetzt wird, kann weder Risiken bewerten noch regulatorische Anforderungen wie den EU AI Act umsetzen.
Möchten Sie erfahren, wie wirksame AI Governance in der Praxis gelingt? Dann ist unser aktuelles Webinar genau das Richtige für Sie.
Von AI-Euphorie zu klaren Leitplanken: AI Governance, die funktioniert: AI ist längst im Einsatz und oft einen Schritt schneller als die Governance. Unsere erfahrenen Security Consultants zeigen anhand von drei realen Szenarien, welche Risiken dabei entstehen. In unserem Webinar erfahren Sie, wie Sie AI Governance mit klaren Strukturen und konkreten Bausteinen pragmatisch aufbauen, um regulatorische Anforderungen wie den EU AI Act zu erfüllen und sich dabei an bewährten Standards wie der ISO 42001 zu orientieren.
Sie benötigen weitere Unterstützung beim Thema AI Governance? Sprechen Sie uns gerne an. Wir unterstützen Sie flexibel dort, wo Sie Bedarf haben: Beim Aufbau eines AI Management Systems nach ISO/IEC 42001 ebenso wie bei der gezielten Umsetzung einzelner Anforderungen, etwa im Kontext des EU AI Acts.
