Mit strategischen Ansätzen dem Risiko Schatten-KI begegnen

Welche Risiken birgt die Schatten-KI?

Zwar kann der sachgemäße Einsatz von KI wichtige Geschäftsfunktionen unterstützen, doch müssen Unternehmen damit umsichtig umgehen. Mitarbeitende, die nicht genehmigte KI-gestützte Tools nutzen, können eine ernsthafte Gefahr für ihr Unternehmen darstellen, darunter:

• Datenlecks. Mitarbeiter, die KI-gestützte Tools zur Erleichterung ihrer Arbeitsaufgaben nutzen, könnten versehentlich sensible Kunden- und geschäftsbezogene Informationen diesen Tools preisgeben. Ein Mitarbeiter könnte ChatGPT nutzen, um einen Bericht mit sensiblen Geschäftsinformationen zusammenzufassen. Zukünftige KI-Modelle könnten dann anhand dieser Informationen trainiert werden, und diese könnten in Antworten auf zukünftige Nutzeranfragen wieder auftauchen. Laut dem IBM-Bericht Cost of a Data Breach aus dem Jahr 2025 meldete jedes fünfte Unternehmen eine Datenpanne aufgrund von Vorfällen mit Schatten-KI.
• Compliance- und regulatorische Bedenken. Die Weitergabe sensibler Daten an KI-Tools kann zu Bußgeldern und Sanktionen führen. So verstößt beispielsweise die Offenlegung personenbezogener Daten von Kunden gegen die Bestimmungen der DSGVO, des HIPAA und des Payment Card Industry Data Security Standard (PCI-DSS). Dies könnte Unternehmen finanziellen Schaden zufügen und ihren Ruf schädigen.
• Fehlerhafte Ergebnisse. Wenn wichtige geschäftliche Entscheidungen, wie beispielsweise Einstellungen oder die Erstellung von Geschäftsplänen, auf KI-Ergebnissen basieren, kann dies zu operativen und strategischen Fehlern führen, da KI-Tools falsche Ergebnisse liefern oder veraltete Informationen verwenden können. Die Umsetzung von KI-Entscheidungen ohne Überprüfung kann Reputationsschäden verursachen, insbesondere wenn sie zur Ausgrenzung von Kundengruppen oder potenziellen Mitarbeitern führen.
• Vergrößerte Angriffsflächen. Einige KI-gestützte Tools sind als Add-ons für Webbrowser erhältlich. Ein kompromittiertes KI-Plug-in vergrößert beispielsweise die Angriffsfläche eines Unternehmens und schafft neue Angriffspunkte, die Angreifer ausnutzen können.
• Mangelnde Nachvollziehbarkeit. Sicherheitsteams können die Nutzung von Schatten-KI meist weder nachverfolgen noch überprüfen. Dies erschwert es, nachzuvollziehen, wie eine bestimmte geschäftliche Entscheidung getroffen wurde, oder einen Sicherheitsvorfall zu untersuchen.

Beispiele für Schatten-KI

Die Schatten-KI in Unternehmen nimmt verschiedene Formen an. In der Regel werden dabei nicht genehmigte KI-Tools zur Erledigung von Aufgaben eingesetzt, wie zum Beispiel:

• Die Verwendung nicht genehmigter Chatbots zur Erstellung von Antworten auf Kundenanfragen.
• Das Einfügen vertraulicher Unternehmensdaten in ein ungeprüftes KI-Tool zur Erstellung eines zusammenfassenden Berichts.
• Die Verwendung eines öffentlich zugänglichen KI-Tools zum Verfassen von E-Mails, die vertrauliche Geschäftsinformationen enthalten.
• Die Sichtung von Lebensläufen von Bewerbern mit nicht genehmigten KI-gestützten Tools.
• Die Erstellung von Vertragsentwürfen mithilfe nicht verwalteter KI-Tools, wodurch vertrauliche Informationen offengelegt werden.

Wie lassen sich die Risiken durch Schatten-KI eindämmen?

Obwohl es für Unternehmen schwierig sein kann, die Nutzung von Schatten-KI nachzuverfolgen und zu überprüfen, gibt es dennoch Strategien, um die damit verbundenen Risiken zu mindern. Die folgenden vier Ansätze können dazu beitragen, durch Schatten-KI verursachte Schäden zu vermindern.

Ein 5-Säulen-Ansatz

Der Ansatz mit fünf Schwerpunkten konzentriert sich darauf, die unerlaubte Nutzung von KI durch Mitarbeiter in eine von der Organisation selbst gesteuerte Nutzung umzuwandeln. Diese wird durch spezifische Kontrollmechanismen und Richtlinien geregelt. Dieser Ansatz umfasst die folgenden fünf Elemente:

1. Akzeptieren

Das Unternehmen sollte zunächst akzeptieren, dass Mitarbeitende KI-Tools nutzen, um viele alltägliche Aufgaben zu erleichtern, wie zum Beispiel Ideen zu entwickeln, umfangreiche Berichte zusammenzufassen und E-Mails an Kunden zu verfassen. Die Ermittlung solcher Anwendungsfälle hilft Sicherheitsteams dabei, geeignete Richtlinien vorzuschlagen, um eine sichere Nutzung zu ermöglichen, anstatt diese zu verbieten.

2. Ermöglichen

Nachdem die Nutzung von KI-Tools zur Unterstützung bestimmter Arbeitsabläufe akzeptiert wurde, besteht der nächste Schritt darin, KI-Tools für Unternehmen bereitzustellen, die sicher und zuverlässig sind. Unternehmen können eine private Instanz eines LLM bereitstellen oder ein Abonnement bei einer gängigen Unternehmensplattform erwerben, die Datenschutz und die Einhaltung gesetzlicher Vorschriften gewährleistet. Alternativ können sie einen integrierten KI-Assistenten innerhalb einer bestehenden Produktivitätssuite nutzen.

3. Bewerten

Erstellen Sie eine Vorlage zur Bewertung neuer KI-Tools, die Mitarbeiter nutzen möchten. Ein starrer, langsamer Genehmigungsprozess führt zu vermehrtem Schatten-KI-Einsatz. Unternehmen benötigen einen schnellen, agilen Ansatz, um neue KI-Tools effizient zu bewerten. Wenn ein Sicherheitsteam eine KI-gestützte Open-Source-Intelligence-Plattform (OSINT) zur Überwachung des Dark Web nutzen möchte, sollten die Sicherheits- und Rechtsabteilungen die Konformität der Plattform mit den geltenden Datenschutzbestimmungen zur Datenverarbeitung prüfen und die für das Training verwendeten Datenquellen kontrollieren, bevor sie die Nutzung genehmigen.

4. Einschränken

Um eine unbefugte Weitergabe sensibler Daten an KI-Tools zu verhindern, sollten Unternehmen ihren Mitarbeitern untersagen, private KI-Konten zur Verarbeitung von firmeneigenem Quellcode, Kundendaten oder sonstigen sensiblen Geschäftsinformationen zu nutzen. Unternehmen können Richtlinien zur Verhinderung von Datenverlusten einführen, um zu verhindern, dass vertrauliche Geschäftsdaten in webbasierte KI-Schnittstellen eingefügt werden.

5. Ausschließen

Daten, die von den persönlichen KI-Tool-Konten der Mitarbeiter eingegeben werden, können auf unbestimmte Zeit in dem Tool verbleiben. Laut einer Studie aus dem Jahr 2025 von Harmonic Security, einem Anbieter einer Plattform für KI-Governance und -Kontrolle, stammten 45 Prozent der sensiblen KI-Interaktionen aus privaten E-Mail-Konten. Das bedeutet, dass Mitarbeiter, die das Unternehmen verlassen, möglicherweise weiterhin Zugriff auf vertrauliche Geschäftsdaten haben, die in den Verlaufsdaten dieser öffentlichen KI-Tools gespeichert sind. Die Überprüfung persönlicher KI-Konten im Rahmen des Offboarding-Prozesses von Mitarbeitern trägt dazu bei, sicherzustellen, dass keine sensiblen Daten darin zurückbleiben. Die Förderung der Nutzung von Unternehmens-KI-Tools für arbeitsbezogene Aufgaben ist eine weitere Möglichkeit, um sicherzustellen, dass alle Daten, die diese Tools verarbeiten, unter der Kontrolle des Unternehmens bleiben.

Dauerhafte Transparenz schaffen

Die kontinuierliche Überwachung der KI-Nutzung durch Mitarbeiter ist für die Kontrolle von Schatten-KI von entscheidender Bedeutung. Unternehmen können nicht schützen, was sie nicht sehen. Ohne ausreichende Transparenz bleiben Unternehmen vielen Risiken ausgesetzt, darunter auch solchen, die mit der unbefugten Nutzung von KI verbunden sind.

Um einen umfassenden Überblick über genehmigte und nicht genehmigte KI-Anwendungen zu gewährleisten, sollten Unternehmen einen mehrstufigen Erkennungsansatz implementieren. Dadurch erhalten Sicherheitsteams einen vollständigen Überblick über die Nutzung von Schatten-KI.

Sicherheitsteams sollten die folgenden Ebenen in der gesamten IT-Umgebung des Unternehmens unter der Berücksichtigung der rechtlichen Gegebenheiten in Sachen Datenschutz und auch etwaigen Betriebsvereinbarungen überwachen:

• Netzwerkebene. Unternehmen sollten Sicherheitsmaßnahmen wie Firewalls und ein System zur Verwaltung von Sicherheitsinformationen und -ereignissen einsetzen, um den Webdatenverkehr und API-Aufrufe an KI-Dienste zu überwachen.
• Erkennung auf Endgeräteebene. Unternehmen können EDR- und XDR-Dienste verwenden, um die Nutzung von KI auf Endgeräteebene zu erkennen. Wenn ein Mitarbeiter eine Verbindung zu einem KI-Dienst herstellt oder ein KI-Add-on für einen Webbrowser installiert, das mit einem externen KI-Dienst interagiert, kann der Dienst eine Warnmeldung auslösen oder die Aktion verhindern.
• SaaS-Ebene. Viele KI-Dienste lassen sich in gängige SaaS-Tools integrieren. Unternehmen sollten Cloud-Dienste wie Cloud Access Security Broker (CASB) und SaaS-Security-Posture-Management einsetzen, um unbefugte KI-Integrationen in genehmigten Anwendungen wie Slack, Salesforce und Microsoft 365 zu erkennen.
• Datenschutzebene. Diese Ebene konzentriert sich auf die Überwachung der an KI-Tools gesendeten Daten. Auf diese Weise können Unternehmen die Exfiltration sensibler Daten – wie personenbezogene Daten, Geschäftsgeheimnisse und vertrauliche Geschäftsinformationen – verhindern, bevor diese die Unternehmensumgebung verlassen und in einen nicht autorisierten KI-Dienst gelangen.

Unternehmen müssen bei ihrer Strategie zur kontinuierlichen Überwachung, wie oben beschrieben, ein großes Augenmerk auf den Schutz der Privatsphäre ihrer Mitarbeiter legen. Um dies zu erreichen, sollten Unternehmen zusätzlich folgende Punkte berücksichtigen:

• Informieren Sie die Mitarbeitenden sehr offen darüber, welche Teams was überwachen und warum.
• Richten Sie einen regelbasierten Auslöser ein, um eine Warnmeldung zur manuellen Überprüfung weiterzuleiten.

Schulungen

Um Schatten-KI wirksam zu bekämpfen, sollten Unternehmen über reine Sicherheitsmaßnahmen hinausdenken.

Investitionen in Schulungen zur KI-Kompetenz stärken die Fähigkeiten der Mitarbeiter, sodass diese KI-Tools nutzen können, um die Produktivität zu steigern und gleichzeitig die Sicherheit und den Datenschutz der Unternehmensdaten zu gewährleisten.

So schreibt beispielsweise Artikel 4 der KI-Verordnung (KI-VO, EU AI Act) vor, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen müssen, um sicherzustellen, dass ihr Personal sowie andere Personen, die in ihrem Auftrag am Betrieb und der Anwendung von KI-Systemen beteiligt sind, über angemessene KI-Kompetenz verfügen, wobei deren technische Kenntnisse, Fachwissen, Ausbildung und Schulung zu berücksichtigen sind.

Zwar ist ein allgemeines Verständnis von KI für die Mitarbeiter von entscheidender Bedeutung, doch ist es ebenso wichtig, rollenspezifische Schulungen anzubieten, die auf die besonderen Herausforderungen beim Einsatz von KI in bestimmten Aufgabenbereichen und abteilungsübergreifend eingehen. Softwareentwickler sollten sich auf bewährte Verfahren beim Einsatz von KI-Code-Unterstützung konzentrieren und sich mit der sicheren Integration von KI-Tools über APIs und Datenstandorte auseinandersetzen. Die Unternehmensleitung sollte alle Risiken der KI verstehen, einschließlich der Risiken in Bezug auf Datenschutz, Sicherheit sowie rechtliche und ethische Verpflichtungen.

 Dieser Artikel ist im Original in englischer Sprache auf Search Enterprise AI erschienen.