Viktor - stock.adobe.com
Schatten-KI: Wenn Produktivität zum Sicherheitsrisiko wird
Das Mitarbeitende in Unternehmen ganz selbstverständlich KI-Tools nutzen, die nicht von der IT freigegeben sind, ist häufig Alltag. Dem Risiko müssen Unternehmen begegnen.
Künstliche Intelligenz hat die Arbeitswelt revolutioniert und beschleunigt schon heute eine Vielzahl von Arbeitsprozessen. Doch abseits der offiziell genehmigten IT-Infrastruktur erwächst ein Phänomen, das für Unternehmen zunehmend zur Belastungsprobe wird: die sogenannte Schatten-KI. Im folgenden Beitrag beleuchten wir die Risiken sowie die aktuelle Verbreitung und zeigen Wege auf, wie Unternehmen die Kontrolle zurückgewinnen, ohne die Innovation zu bremsen.
In vielen Büros gehört es mittlerweile zum Alltag, dass ein Mitarbeiter schnell einen Blogbeitrag schreiben, ein langes Meeting-Protokoll zusammenfassen oder eine komplexe Excel-Tabelle analysieren muss. Der Griff zu frei verfügbaren KI-Tools wie ChatGPT ist dabei oft der Weg des geringsten Widerstands. Findet diese Nutzung jedoch ohne Wissen und Freigabe der IT-Abteilung statt, sprechen wir von Schatten-KI.
Was Schatten-KI eigentlich bedeutet
Der Begriff leitet sich von der bekannten Schatten-IT ab, womit die eigenständige Nutzung von Cloud-Lösungen wie Dropbox oder Messenger-Diensten im Arbeitskontext ohne IT-Freigabe gemeint ist. Schatten-KI bezeichnet spezifisch den nicht genehmigten und unbeaufsichtigten Einsatz von KI-Systemen durch Beschäftigte. Das Problem dabei besteht darin, dass sich diese Nutzung oft außerhalb der etablierten Compliance-Richtlinien bewegt. IT-Verantwortliche und Datenschutzbeauftragte wissen schlichtweg nicht, dass und wohin Unternehmensdaten abfließen, was ernsthafte Risiken für die Informationssicherheit birgt.
Der Status Quo ist weit verbreitet und unterschätzt
Dass Schatten-KI keine abstrakte Nischenerscheinung ist, belegen aktuelle Zahlen eindrücklich. Laut einer Erhebung des Digitalverbands Bitkom gehen mittlerweile vier von zehn Unternehmen davon aus, von Schatten-KI betroffen zu sein. In acht Prozent der Unternehmen gilt das Phänomen sogar als weit verbreitet. Paradoxerweise erlauben zwar 26 Prozent der Unternehmen ihren Angestellten offiziell die Nutzung generativer KI, doch greifen viele Beschäftigte dennoch auf nicht genehmigte Tools zurück. Selbst in sensiblen Bereichen wie Politik und Verwaltung nutzen laut einer Microsoft-Umfrage 45 Prozent der Befragten KI-Tools, die von ihrer Organisation nicht als sicher eingestuft wurden.
Die Ursachen sind oft gut gemeint, aber riskant
Wenn Mitarbeiter sich über Regeln hinwegsetzen, steckt in den allermeisten Fällen keine böse Absicht dahinter. Ein wesentlicher Treiber ist der Produktivitätsdruck, da Mitarbeiter oft unter Zeitdruck stehen und nach effizienten Lösungen suchen. Häufig reichen die vom Unternehmen bereitgestellten Lösungen nicht aus oder passen schlichtweg nicht zu den spezifischen Bedürfnissen der Angestellten. Zudem sind viele KI-Tools kostenlos und sofort verfügbar, was die Hürde zur Nutzung enorm senkt. Ein weiteres Problem ist die Unwissenheit, da es oft an Schulungen fehlt und sich Angestellte der Gefahren für Geschäftsgeheimnisse gar nicht bewusst sind.
Typische Einfallstore für Schatten-KI im Mittelstand
In der Praxis lassen sich häufig wiederkehrende Szenarien beobachten, in denen ungeprüfte KI zum Einsatz kommt. Marketing-Teams nutzen generative KI beispielsweise gerne für Texte oder Social-Media-Posts, oft ohne dass der Datenschutzbeauftragte das Tool geprüft hat. Im Kundenservice verwenden Mitarbeiter Chatbots für schnelle Antworten und geben dabei potenziell Kundendaten in Systeme ein, die nicht DSGVO-konform sind.
Auch bei der Transkription von Meetings werden Aufzeichnungen von KI verarbeitet, was kritische Fragen zu Einwilligung, Speicherfristen und Zugriffen auf die Audiodaten aufwirft. Ebenso werden im Bereich Reporting und Analyse sensible Unternehmensdaten in KI-Tools hochgeladen, wobei ohne Compliance-Prüfung der Effizienzgewinn schnell durch Bußgelder wegen Datenschutzverstößen zunichte gemacht werden kann.
Ein Albtraum für die Compliance
Die Nutzung von Schatten-KI hebelt bestehende Sicherheitskonzepte aus und birgt vielfältige Gefahren. An erster Stelle stehen Datenschutzverstöße, da es oft an einer Rechtsgrundlage für die Datenverarbeitung oder an notwendigen Auftragsverarbeitungsverträgen fehlt. Zudem können ungeprüfte Tools Sicherheitslücken aufweisen, die Einfallstore für Cyberkriminelle darstellen oder dazu führen, dass Unternehmensdaten für das Training fremder Modelle verwendet werden. Unternehmen verlieren so den Überblick über ihre Datenströme. Nicht zuletzt können fehlerhafte KI-Ergebnisse oder Urheberrechtsverletzungen dem Ruf des Unternehmens erheblichen Schaden zufügen.
„Die Nutzung von Schatten-KI hebelt bestehende Sicherheitskonzepte aus und birgt vielfältige Gefahren. An erster Stelle stehen Datenschutzverstöße, da es oft an einer Rechtsgrundlage für die Datenverarbeitung oder an notwendigen Auftragsverarbeitungsverträgen fehlt.“
Alexander Ingelheim, Proliance
Der Weg aus dem Schatten durch Governance statt Verbot
Ein reines Verbot von KI-Tools ist in der modernen Arbeitswelt kaum durchsetzbar und oft kontraproduktiv. Bitkom-Präsident Dr. Ralf Wintergerst rät daher dazu, KI-Wildwuchs zu vermeiden, indem Unternehmen klare Regeln aufstellen und eigene Technologien bereitstellen.
Um KI sicher und DSGVO-konform zu nutzen, empfiehlt sich ein strukturierter Prozess, der sich an Best Practices orientiert. Zunächst muss definiert werden, für welchen Zweck genau die KI eingesetzt werden soll und welche Ergebnisse benötigt werden. Darauf aufbauend müssen die Datenarten klassifiziert werden, um zu klären, ob personenbezogene Daten verarbeitet werden und ob diese aus internen Systemen oder externen Quellen stammen. Rechtlich ist zu prüfen, ob eine Einwilligung, wie etwa bei Chatbots, notwendig ist oder das berechtigte Interesse greift. Ebenso essenziell ist der Check des Anbieters auf Einhaltung der DSGVO und des AI Acts (KI-Verordnung), beispielsweise hinsichtlich Serverstandort und Subprozessoren. Technisch und organisatorisch sollten Maßnahmen wie Zugriffskontrollen, Datenmaskierung und das Prinzip der menschlichen Überprüfung implementiert werden. Abschließend ist die Schulung und Sensibilisierung der Mitarbeiter entscheidend, um über Risiken wie Bias und Halluzinationen aufzuklären und die KI-Kompetenz im Unternehmen zu fördern.
Eine solide KI-Governance legt fest, welche Tools zu welchem Zweck genutzt werden dürfen. Sie sollte auch definieren, ob eine Offenlegungspflicht besteht und sich Chatbots beispielsweise gegenüber Kunden als Maschine zu erkennen geben müssen.
Fazit
Schatten-KI ist eine reale unternehmerische Herausforderung, die insbesondere den Mittelstand betrifft. Wer jedoch jetzt in eine klare KI-Strategie, geprüfte Tools und die Kompetenz seiner Mitarbeiter investiert, holt die KI aus der Grauzone. So werden Compliance-Verstöße vermieden und die enormen Potenziale der Technologie sicher nutzbar gemacht.
Über den Autor:
Alexander Ingelheim ist CEO und Mitgründer von Proliance.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
