Ihr größtes KI-Risiko sitzt nicht im Serverraum – sondern im Büro nebenan
Stellen Sie sich folgendes Szenario vor: Ihr Vertriebsmitarbeiter kopiert eine Kundenliste mit Namen, E-Mail-Adressen und Umsatzzahlen in ChatGPT, um personalisierte Angebote zu formulieren. Die Personalabteilung lässt Bewerbungsunterlagen durch ein KI-Tool zusammenfassen. Und ein Entwickler fügt proprietären Quellcode in einen KI-Coding-Assistenten ein, um einen Bug zu finden.
Keiner dieser Mitarbeiter handelt böswillig. Alle wollen produktiver arbeiten. Aber jeder Einzelne hat gerade sensible Unternehmensdaten an einen externen Anbieter übermittelt – ohne Wissen der IT-Abteilung, ohne Datenschutzprüfung und ohne dass es in irgendeinem Audit-Trail auftaucht.
Willkommen in der Welt der Schatten-KI – oder wie es in der Branche heißt: Shadow AI.
Was ist Schatten-KI – und warum ist sie gefährlicher als Shadow IT?
Schatten-KI beschreibt die nicht genehmigte oder unkontrollierte Nutzung von KI-Tools durch Mitarbeiter für berufliche Zwecke. ChatGPT, Google Gemini, Claude, Microsoft Copilot in der kostenlosen Variante, KI-gestützte Browser-Erweiterungen – die Liste der Tools, die ohne Freigabe der IT-Abteilung eingesetzt werden, wächst täglich.
Nun ist das Phänomen der Schatten-IT nicht neu. Mitarbeiter nutzen seit Jahren private Cloud-Speicher oder Messenger für dienstliche Zwecke. Der entscheidende Unterschied: Dropbox speicherte Dateien lediglich extern. Schatten-KI hingegen verarbeitet, analysiert und transformiert die Daten aktiv. Einmal eingegebene Informationen können vom Anbieter gespeichert, zum Modelltraining verwendet und – im schlimmsten Fall – bei geschickten Abfragen durch Dritte wieder ausgegeben werden.
Dazu kommt die Geschwindigkeit der Verbreitung. Während die unkontrollierte Nutzung von Dropbox in Unternehmen Jahre dauerte, erreichte ChatGPT 100 Millionen Nutzer in nur zwei Monaten. Die IT-Abteilung hatte schlicht keine Chance, Richtlinien zu entwickeln, bevor die Nutzung bereits Alltag war.
Die Zahlen: Schatten-KI ist kein Randphänomen
Die Datenlage aus aktuellen Studien zeichnet ein konsistentes Bild:
- Über 60 Prozent der Wissensarbeiter nutzen KI-Tools – viele davon ohne Wissen der IT-Abteilung.
- Laut einer Microsoft-Umfrage verwenden 78 Prozent der KI-Anwender eigene, nicht freigegebene Tools am Arbeitsplatz.
- Gartner bestätigt: Mehr als die Hälfte der Mitarbeiter nutzt private KI-Konten für berufliche Aufgaben.
- 52 Prozent derjenigen, die KI beruflich einsetzen, haben noch nie ein Sicherheitstraining zu diesem Thema erhalten.
- In über 80 Prozent der untersuchten Unternehmen wurden bereits Anzeichen für Shadow-AI-Aktivitäten festgestellt.
Und es wird teuer: Laut IBM kostet ein Datenschutzvorfall, der mit Schatten-KI in Verbindung steht, durchschnittlich 4,63 Millionen US-Dollar – das sind 670.000 Dollar mehr als bei herkömmlichen Sicherheitsvorfällen. Gartner prognostiziert, dass bis 2027 rund 40 Prozent der Unternehmen von Sicherheitsvorfällen betroffen sein werden, die direkt auf Shadow AI zurückgehen.
Der Samsung-Fall: Wenn es konkret wird
Eines der bekanntesten Beispiele für die Risiken von Schatten-KI stammt von Samsung. Nur 20 Tage nachdem Samsung Semiconductor die Nutzung von ChatGPT am Arbeitsplatz erlaubt hatte, kam es zu drei gravierenden Vorfällen:
Ein Ingenieur kopierte den gesamten Quellcode eines streng geheimen Programms in ChatGPT, um einen Fehler beheben zu lassen. Ein anderer Mitarbeiter gab Testsequenzen für die Chipentwicklung ein – Informationen, die in der Halbleiterbranche Millionen wert sind. Im dritten Fall wurden vertrauliche Besprechungsprotokolle an den Chatbot weitergeleitet, um daraus eine Präsentation erstellen zu lassen.
All diese Daten landeten auf den Servern von OpenAI – außerhalb von Samsungs Kontrolle, unwiderruflich. Samsung reagierte zunächst mit Warnungen und Einschränkungen, verhängte später ein komplettes Verbot generativer KI auf Firmengeräten und begann, einen eigenen internen KI-Dienst zu entwickeln.
Das Beispiel zeigt: Der Samsung-Vorfall hätte jedem Unternehmen passieren können – auch einem 50-Mann-Betrieb in Braunschweig oder Wolfsburg.
Warum das nicht „nur" ein IT-Problem ist: Die rechtliche Dimension
Schatten-KI ist längst kein reines IT-Sicherheitsthema mehr. Mit der Regulierungswelle 2025/2026 wird es zu einem handfesten Compliance- und Haftungsrisiko:
DSGVO: Jede Eingabe ist eine Datenverarbeitung
Sobald ein Mitarbeiter personenbezogene Daten – Kundennamen, E-Mail-Adressen, Gesundheitsdaten, Mitarbeiterinformationen – in ein externes KI-Tool eingibt, findet eine Datenverarbeitung im Sinne der DSGVO statt. Liegt für diesen Anbieter kein Auftragsverarbeitungsvertrag vor und fehlt eine Rechtsgrundlage für die Übermittlung (insbesondere bei US-amerikanischen Anbietern), ist diese Verarbeitung rechtswidrig. Es drohen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes.
NIS-2: KI-Risiken müssen ins Risikomanagement
Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Deutschland in Kraft – ohne Übergangsfrist. Betroffene Unternehmen sind zu einer umfassenden Risikoanalyse verpflichtet, die auch unkontrollierte KI-Nutzung einschließen muss. Die Meldepflicht bei Sicherheitsvorfällen beträgt 24 Stunden – das lässt sich kaum einhalten, wenn das Unternehmen nicht einmal weiß, wo und wie Daten verarbeitet werden. Geschäftsführer haften persönlich.
EU AI Act: Dokumentationspflichten und KI-Kompetenz
Der EU AI Act stellt zusätzliche Anforderungen an die Dokumentation des KI-Einsatzes im Unternehmen. Ab August 2026 greifen weitere Pflichten für Hochrisiko-KI-Systeme. Wer KI beispielsweise in der Personalauswahl oder im Kreditrisiko einsetzt, braucht ein vollständiges Compliance-Programm. Artikel 4 des EU AI Act schreibt zudem eine KI-Kompetenz-Pflicht vor: Arbeitgeber müssen sicherstellen, dass ihre Beschäftigten über hinreichende Kenntnisse im Umgang mit KI-Technologien verfügen. Bei Verstößen drohen Sanktionen von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes.
Die bittere Pointe: Wer nicht weiß, welche KI-Tools seine Mitarbeiter nutzen, kann keine dieser Pflichten erfüllen. Schatten-KI ist der blinde Fleck, der das gesamte Compliance-Konstrukt aushebelt.
Warum Verbote nicht funktionieren
Die naheliegende Reaktion vieler Unternehmen – „Wir verbieten einfach ChatGPT" – klingt konsequent, scheitert aber in der Praxis. Samsung hat es vorgemacht: Nach dem Verbot auf Firmenrechnern wichen Mitarbeiter auf private Geräte und Mobilfunknetze aus. Die KI-Nutzung verschwand nicht – sie wurde nur unsichtbar.
Das Problem lässt sich in einem Satz zusammenfassen: Ein Verbot ohne Alternative beseitigt Schatten-KI nicht – es treibt sie in den Untergrund.
Mitarbeiter nutzen KI-Tools nicht aus Bösartigkeit, sondern weil diese Tools ihnen helfen, schneller und besser zu arbeiten. Studien zeigen Produktivitätsgewinne von 20 bis 40 Prozent bei Routineaufgaben. Wer das verbietet, ohne eine sichere Alternative anzubieten, verliert nicht nur Produktivität, sondern auch Talente – denn qualifizierte Fachkräfte erwarten moderne Arbeitsbedingungen.
Was KMU konkret tun können: Fünf Schritte zur KI-Kontrolle
1. Sichtbarkeit schaffen – bevor Sie Regeln aufstellen
Der erste und wichtigste Schritt: Finden Sie heraus, was in Ihrem Unternehmen tatsächlich passiert. Welche KI-Tools werden genutzt? Von wem? Mit welchen Daten? Führen Sie eine ehrliche Bestandsaufnahme durch – nicht um zu bestrafen, sondern um informierte Entscheidungen treffen zu können. Netzwerk-Monitoring, SaaS-Management-Plattformen oder auch eine einfache anonyme Mitarbeiterbefragung sind ein Anfang.
2. Klare KI-Richtlinie erstellen
Definieren Sie verbindliche Regeln für den Umgang mit KI im Unternehmen. Diese Richtlinie sollte mindestens folgende Fragen beantworten: Welche KI-Tools sind freigegeben? Welche Daten dürfen in KI-Tools eingegeben werden – und welche auf keinen Fall? Wer ist Ansprechpartner bei Fragen oder Unsicherheiten? Wie wird die Nutzung dokumentiert? Eine pragmatische Richtlinie muss nicht 50 Seiten lang sein – aber sie muss existieren und kommuniziert werden.
3. Sichere Alternativen bereitstellen
Statt KI zu verbieten, stellen Sie kontrollierte Enterprise-Lösungen bereit. Microsoft 365 Copilot, Azure OpenAI Service oder selbst gehostete Open-Source-Modelle bieten die Produktivitätsvorteile von KI innerhalb einer kontrollierten Umgebung – mit Zugriffskontrollen, Audit-Logs und Datenschutzvereinbarungen. Wer seinen Mitarbeitern eine sichere, freigegebene KI-Lösung zur Verfügung stellt, reduziert den Anreiz zur Schatten-Nutzung drastisch.
4. Mitarbeiter schulen – nicht belehren
Awareness-Schulungen sind essenziell, aber der Ton macht die Musik. Erklären Sie anschaulich, warum bestimmte Daten nicht in externe KI-Tools gehören – mit konkreten Beispielen wie dem Samsung-Fall. Zeigen Sie gleichzeitig, wie Mitarbeiter KI sicher und produktiv einsetzen können. Denken Sie daran: Seit Februar 2025 besteht durch den EU AI Act eine Pflicht zur KI-Kompetenz des Personals. Schulungen sind also nicht nur sinnvoll, sondern rechtlich geboten.
5. Technische Kontrollen implementieren
Ergänzend zu Richtlinien und Schulungen sollten technische Maßnahmen greifen. Data-Loss-Prevention-Lösungen (DLP) können sensible Datenabflüsse erkennen. Browser-Proxies oder CASB-Lösungen (Cloud Access Security Broker) ermöglichen die Kontrolle des Zugriffs auf KI-Dienste. Browser-Erweiterungen lassen sich per Gruppenrichtlinie auf eine Allowlist beschränken. All das muss nicht teuer sein – aber es muss durchdacht sein.
Fazit: Schatten-KI ist da – die Frage ist, wie Sie damit umgehen
KI-Tools sind aus dem Arbeitsalltag nicht mehr wegzudenken. Die Frage ist nicht ob, sondern wie Ihre Mitarbeiter sie nutzen: unkontrolliert über private Konten und ohne jeden Schutz – oder über freigegebene, sichere Kanäle mit klaren Spielregeln.
Schatten-KI verschwindet nicht durch Wegsehen oder Verbieten. Sie verschwindet, wenn Unternehmen die Realität anerkennen und proaktiv handeln: mit Sichtbarkeit, klaren Richtlinien, sicheren Alternativen und gut geschulten Mitarbeitern.
Als Ihr IT- und Security-Berater unterstütze ich Sie gerne dabei – von der Bestandsaufnahme über die Erstellung einer praxistauglichen KI-Richtlinie bis hin zur technischen Umsetzung. Sprechen Sie mich an.
ITSECCON
IT & Security Consulting | Braunschweig