Shadow AI: Erkennen und Handeln

Avatar
Lisa Ernst · 13.11.2025 · Technik · 7 min

In vielen Unternehmen ist Shadow AI längst Realität. Studien zeigen, dass ein Großteil der Mitarbeitenden unerlaubte KI-Tools nutzt und dabei sensible Daten eingibt. Dieser Artikel bietet eine Schritt-für-Schritt-Anleitung, um Shadow AI sichtbar zu machen und zu managen, ohne Innovationen zu behindern.

Grundlagen der Shadow AI

Shadow AI bezeichnet die Nutzung von KI-Systemen im Unternehmen, die außerhalb offizieller IT- und Governance-Strukturen stattfindet. Swisscom beschreibt dies als den Einsatz nicht genehmigter oder privater KI-Tools mit Unternehmensdaten, der weder kontrolliert noch dokumentiert wird (swisscom.ch). Dies führt zu „blinden Flecken“ bei Sicherheit, Datenschutz und Compliance, da unklar ist, welche Daten wohin fließen und welche Modelle Entscheidungen beeinflussen (swisscom.ch).

Die Cloud Security Alliance fasst die Hauptprobleme zusammen: unkontrollierte Datenlecks, erhöhte Compliance-Risiken und automatisierte Workflows, die etablierte Kontrollen umgehen (cloudsecurityalliance.org). Beispiele hierfür sind Mitarbeitende, die private Chatbots für die Formulierung von E-Mails nutzen, Teams, die Open-Source-Modelle ohne Absprache integrieren, oder Browser-Plugins mit KI-Funktionen, die Inhalte aus Mails oder CRM-Daten auslesen.

Quelle: YouTube

Schritt 1: Definition und Spielfeld festlegen

Bevor Shadow AI erkannt werden kann, muss klar definiert sein, was in Ihrem Kontext als Shadow AI gilt. Drei Leitfragen helfen dabei:

Eine schriftliche Definition, wie „Shadow AI ist jede Nutzung von KI-Tools, Modellen oder KI-Funktionen mit Unternehmensdaten, die nicht ausdrücklich durch IT, Informationssicherheit und Datenschutz freigegeben wurde“, schafft eine klare Linie für alle weiteren Schritte.

Erkennungsmethoden

Shadow AI birgt erhebliche Risiken für Unternehmen, darunter Fehlinformationen und die Offenlegung sensibler Daten.

Quelle: walkme.com

Shadow AI birgt erhebliche Risiken für Unternehmen, darunter Fehlinformationen und die Offenlegung sensibler Daten.

Schritt 2: Mitarbeitende offen fragen statt nur zu kontrollieren

Mitarbeitende nutzen KI oft aus dem Wunsch nach höherer Produktivität. IBM zeigt, dass sie KI als Hilfe sehen, aber mangels offizieller Angebote auf private Tools ausweichen (ibm.com). Statt Überwachung ist Transparenz effektiver. Eine kurze, ehrliche Umfrage kann Aufschluss geben:

Workshops mit Schlüsselbereichen (z. B. Sales, HR, Entwicklung) können konkrete Anwendungsfälle aufzeigen. Es ist wichtig zu betonen, dass es nicht um Kontrolle, sondern um die gemeinsame Suche nach sicheren Lösungen geht. Mitarbeitende nutzen Shadow AI teilweise mit stiller Zustimmung der Vorgesetzten, da offizielle Alternativen fehlen (techradar.com). Das Ergebnis ist eine erste Landkarte der Realität und die Identifizierung wertvoller Schattenlösungen.

Schritt 3: Netzwerk- und Browserspuren auswerten

Objektive Messungen durch Netzwerkzugriffe und Browsernutzung sind entscheidend. In kleineren Umgebungen können Proxy- oder Firewall-Logs genutzt werden, in größeren Secure-Web-Gateways oder Cloud-Access-Security-Broker. Ziel ist es, herauszufinden, welche KI-bezogenen Dienste aus dem Netzwerk aufgerufen werden und von wem.

Typische Anhaltspunkte sind:

Ein Report von Cyera zeigt, dass generative KI-Tools wie ChatGPT eine Hauptursache für Datenlecks sind, da Mitarbeitende sensible Inhalte per Copy & Paste in persönliche Accounts einfügen (tomsguide.com). Klassische DLP-Werkzeuge erkennen dies oft nicht. Ziel ist es, Muster zu erkennen: Welche KI-Dienste tauchen regelmäßig auf, welche wurden in Umfragen nicht genannt und welche Bereiche fallen besonders auf?

Schritt 4: SaaS- und Identitätsintegrationen prüfen

Shadow AI verbirgt sich auch in verknüpften Apps und Plugins. Wichtige Checks umfassen:

Hier werden die „leisen“ Schatten sichtbar: KI-Funktionen, die unauffällig in Systeme integriert sind, aber tiefgreifende Zugriffe haben.

Schritt 5: Entwicklung, Pipelines und Modelle checken

In der Softwareentwicklung ist Shadow AI oft im Code-Ökosystem vorhanden. Praktische Ansatzpunkte sind:

Dieser Schritt deckt technische Schattenprojekte auf: interne Modelle, Skripte oder Automatisierungen, die produktiv laufen, aber nie einen Governance-Prozess durchlaufen haben.

Strategien und Management

Die Bewältigung von Shadow AI erfordert ein gemeinsames Verständnis der Risiken und die Entwicklung geeigneter Lösungsstrategien im Unternehmen.

Quelle: demeterict.com

Die Bewältigung von Shadow AI erfordert ein gemeinsames Verständnis der Risiken und die Entwicklung geeigneter Lösungsstrategien im Unternehmen.

Schritt 6: Datenklassifikation darüberlegen

Das Erkennen allein reicht nicht; eine Bewertung der Risiken ist entscheidend. Ein pragmatischer Weg ist die Definition einfacher Datenklassen:

Anschließend werden die gefundenen KI-Nutzungen eingeordnet: Welche Shadow-AI-Fälle betreffen nur interne, nicht-personenbezogene Daten? Wo werden Kunden-, Patienten- oder Mitarbeiterdaten an externe, nicht geregelte Dienste gegeben? Swisscom betont, dass Shadow AI gefährlich wird, wenn sensible Daten in Tools landen, die weder vertraglich abgesichert noch technisch kontrolliert sind (swisscom.ch). Cyera warnt, dass generative KI als Hauptquelle für Datenlecks klassische Kanäle übertrifft, da Mitarbeitende vertrauliche Inhalte in KI-Chats kopieren (tomsguide.com). Die Kombination aus „hochsensiblen Daten“ und „unkontrollierter externer KI“ ist der erste Prioritätsbereich für Maßnahmen.

Schritt 7: Safe Space für KI-Experimente und Meldekanäle schaffen

Verbote allein beseitigen Shadow AI nicht; sie fördern Umgehungsstrategien. Viele Führungskräfte berichten, dass Mitarbeitende zu privaten Tools wechseln, wenn offizielle Alternativen fehlen (upwork.com). Daher ist es wichtig:

So wird Shadow AI vom Risiko zum Ideenradar für sinnvolle, offizielle KI-Einsätze.

Quelle: YouTube

Schritt 8: Kontinuierliches Monitoring und klare Regeln aufsetzen

Shadow AI ist ein kontinuierlicher Prozess, der technische Sichtbarkeit und klare Leitplanken erfordert. Bausteine hierfür sind:

Dies verschiebt das Gleichgewicht von zufälligen Schattenentscheidungen hin zu sichtbarer, steuerbarer KI-Nutzung.

Fazit und Ausblick

KI-generierte Schatten können subtil sein und auf den ersten Blick unbemerkt bleiben – ähnlich wie Shadow AI in Unternehmensprozessen.

Quelle: user-added

KI-generierte Schatten können subtil sein und auf den ersten Blick unbemerkt bleiben – ähnlich wie Shadow AI in Unternehmensprozessen.

Shadow AI in Unternehmen zu erkennen, bedeutet nicht, eine Jagd auf Mitarbeitende zu eröffnen. Es bedeutet, ehrlich zu analysieren, wo KI bereits im Einsatz ist, welche Daten bewegt werden und welche Risiken kritisch sind. Die Zahlen zeigen, dass unautorisierte KI-Nutzung heute eher Regel als Ausnahme ist, mit allen Chancen und Gefahren (cybernews.com) (ibm.com).

Durch die Umsetzung der Schritte dieser Anleitung – Definition, offene Befragung, technische Sichtbarkeit, Datenklassifikation, Schaffung eines Safe Space und kontinuierliche Governance – können Unternehmen Shadow AI sichtbar machen, systematisch bewerten und Schattenprojekte in offizielle, sichere KI-Lösungen überführen. Die eigentliche Chance liegt darin, mit den Menschen zusammenzuarbeiten, die KI bereits kreativ nutzen, anstatt gegen sie.

Teilen Sie doch unseren Beitrag!