Schatten-KI im Unternehmen:
Unterschätzte Risiken
ein Artikel von Sanja Cancar
Bei einem Webinar zum EU AI Act stellt jemand eine Frage:
„Rein hypothetisch“ – dem vortragenden Anwalt stellen sich bei dieser Floskel bereits die Nackenhaare auf – „unsere Mitarbeitenden nutzen KI-Tools nach eigenem Ermessen. Das Unternehmen stellt selbst keine Systeme bereit und hat auch keine Empfehlungen abgegeben. Was sollten wir aktuell tun?“
Die Antwort des Experten ist so kurz wie scharf: „Sofort damit aufhören. Und eine KI-Richtlinie erstellen.“
Im Publikum sitzend muss ich unweigerlich daran denken, dass sehr viele Unternehmen noch nicht die Tragweite des EU-AI-Acts realisiert haben. In vielen Führungsetagen herrscht die Annahme, man könne die KI-Transformation durch Abwarten oder punktuelle Verbote kontrollieren. Die Realität in den Fachabteilungen sieht anders aus.
Das Vakuum der Governance: Ein gefährlicher Irrtum
Wo offizielle Leitplanken fehlen, entstehen private Workarounds. Das Ergebnis ist Schatten-KI – der Einsatz von Tools außerhalb jeglicher IT-Governance. Was zunächst wie Innovationsfreude wirkt, entwickelt sich zu einem unkontrollierten Wildwuchs mit handfesten Konsequenzen.
Laut Gartner werden bis 2030 über 40 % der globalen Organisationen Sicherheits- oder Compliance-Vorfälle erleiden, die direkt auf nicht autorisierte KI-Tools zurückzuführen sind. Und die Entwicklung läuft schneller, als viele ahnen.
Das eigentliche Ausmaß liegt zudem tiefer und ist schwerer zu fassen. KI ist nicht mehr nur ein separates Tool, das Mitarbeitende bewusst einschleusen. Sie steckt bereits in den Plattformen, die täglich im Einsatz sind: Microsoft Copilot bringt generative KI direkt in Teams, Outlook und Office-Anwendungen. Salesforce reichert CRM-Workflows mit KI-gestützten Empfehlungen an. Tableau liefert automatisierte Prognosen und Muster aus Unternehmensdaten.
Viele Organisationen nutzen KI damit bereits in erheblichem Umfang – ohne sich dessen vollständig bewusst zu sein. Für IT-Teams wird es dadurch zunehmend schwieriger, KI-bezogene Risiken systematisch zu erfassen und zu bewerten. Was nicht als KI-Entscheidung wahrgenommen wird, landet auch in keiner Governance-Struktur.
Viele Führungskräfte wissen schlicht nicht, welche Daten in welche Systeme fließen, welche Drittanbieter-Tools bereits tief in Prozesse integriert sind und wo automatisierte Entscheidungen ohne menschliche Aufsicht getroffen werden. Es entsteht eine gefährliche Inventar-Lücke.
Was Schatten-KI kostet – in Zahlen
Das ist kein theoretisches Risiko. Jede fünfte Organisation hat bereits einen Sicherheitsvorfall erlebt, der auf Schatten-KI zurückzuführen war. Die finanziellen Konsequenzen sind messbar: Datenschutzverletzungen mit hohem Schatten-KI-Anteil kosten laut IBM im Durchschnitt 670.000 US-Dollar mehr als vergleichbare Vorfälle – weil Erkennung und Eindämmung im Schnitt eine Woche länger dauern als üblich.
Die Schadensstruktur ist dabei besonders brisant: In 65 % der Fälle wurden personenbezogene Daten kompromittiert, in 40 % geistiges Eigentum. Schatten-KI hat damit den Fachkräftemangel im Sicherheitsbereich als einen der drei kostspieligsten Risikofaktoren bei Datenpannen abgelöst.
Was diese Zahlen verdeutlichen: Schatten-KI ist kein Randphänomen und kein abstraktes Compliance-Thema. Sie ist ein operatives Unternehmensrisiko mit direkter Auswirkung auf Kosten, Haftung und Reputation.
In der Praxis zeigt sich zudem die mangelnde Abstimmung zwischen Fachabteilungen, IT und Rechtsabteilung. Ohne klare Governance-Strukturen laufen Unternehmen Gefahr, regulatorisch permanent hinterherzuhinken. Technologisch verschärft wird die Gemengelage durch KI-Agenten, bei denen sich Fehler entlang von Prozessketten potenzieren können.
Die Inventur-Lücke: Blindflug im regulierten Raum
Schatten-IT stellte schon über Jahre hinweg ein ernstzunehmendes Sicherheitsrisiko dar. Schatten-KI ist aber ein anderes Kaliber. Während es früher um unautorisierte Hardware ging, fließen heute sensible Unternehmensdaten, Quartalszahlen und Kundeninformationen in öffentliche Large Language Models (LLMs). Sobald diese Daten eingespeist sind, verlassen sie den Einflussbereich des Unternehmens dauerhaft.
Wer kein KI-Inventar führt, betreibt Risikomanagement nach dem Prinzip Hoffnung und das im Blindflug. Das Problem ist nicht die punktuelle KI-Nutzung ohne zentrale Erfassung oder die Unterbindung von Innovation, sondern die Schließung der Dokumentationslücke, die durch den EU AI Act zur haftungsrelevanten Gefahr wird.
Ohne gezielte AI Literacy Schulungen und klare Richtlinien entstehen verschiedene Risiken:
- Ohne Secure Prompting geben Mitarbeitende ungewollt Geschäftsgeheimnisse preis oder übertragen vertrauliche Informationen in externe Modelle.
- Ohne kritische Urteilsfähigkeit gegenüber KI-Outputs werden Ergebnisse direkt in Kundenkommunikation, Analysen oder Entscheidungsgrundlagen übernommen – Fehler gelangen unbemerkt in die Wertschöpfungskette.
- Ohne Überblick entstehen ineffiziente Parallelstrukturen, Datenlecks, Compliance-Verstöße und der schleichende Verlust strategischer Kontrolle.
Schatten-KI ist ein Symptom
Die Beschäftigten wissen, dass KI ihre Effizienz steigert. Wenn das Unternehmen aber keine sicheren und freigegebenen Lösungen bereitstellt, entstehen zwangsläufig Workarounds. Schatten-KI ist primär ein Symptom für ein mangelndes internes Angebot.
Was wie eine harmlose Abkürzung aussieht, kann still und leise zu einer dauerhaften Offenlegung werden – und hier geht es nicht um reine Regelverstöße, sondern um Reputations- und Haftungsrisiken.
Ein vollständiges Verbot wird nicht funktionieren – dafür ist die Nutzung bereits zu tief im Arbeitsalltag verankert. Nichtstun ist der größte Fehler, aber unkoordiniertes Handeln ist nur unwesentlich besser.
AI Governance als Betriebssystem für vertrauenswürdige KI
AI Governance ist das notwendige Betriebssystem für ein KI-fittes Unternehmen.
Eine starke Entscheidungsarchitektur schafft Klarheit durch:
- Verantwortlichkeiten: Wer darf welche Tools für welche Datenklassen freigeben?
- Transparenz: Wie sieht der Prozess für die Aufnahme neuer Anwendungen in das Inventar aus?
- Human-in-the-loop: Wo bleibt der Mensch die letzte Instanz bei automatisierten Outputs?
Das schafft Vertrauen und Sicherheit bei den Mitarbeitenden, aber auch bei Kund:innen, Partnern und Aufsichtsbehörden.
Unser Fazit
Wer keine Strukturen schafft, um den KI-Einsatz zu steuern und Mitarbeitende zu befähigen, riskiert nicht nur Datenlecks oder Compliance-Verstöße – sondern möglicherweise auch Organisationsverschulden.
Schatten-KI entsteht durch ein Vakuum in der Entscheidungsarchitektur. Erst wenn Governance als operatives System verstanden wird, wandelt sich Wildwuchs in strategische Wirkung.
Denn im KI-Zeitalter kann nicht nur der Einsatz von Technologie riskant sein – sondern vor allem das Wegschauen.
🔗 Weiterführende Ressourcen:
