Verändert Shadow AI unbemerkt die Sicherheitslage Ihres Arbeitsplatzes?

Mon, 15 Dec 2025 14:00:01 Z

KI-Tools haben am Arbeitsplatz einen rasanten Aufstieg erlebt. Was einst hochspezialisierten Tech-Rollen vorbehalten war, ist heute alltäglich: Der Technology at Work Report 2025 von Ivanti ergab, dass 42 % der Büroangestellten angeben, bei der Arbeit Tools für generative KI wie ChatGPT zu nutzen – 16 Prozentpunkte mehr als im Vorjahr.

Der Haken: Diese Produktivitätsgewinne entstehen im Verborgenen. Von den Befragten, die angaben, Tools für generative KI zu nutzen, sagen 46 %, dass einige (oder alle) der von ihnen verwendeten Tools nicht vom Arbeitgeber bereitgestellt werden. Und jeder dritte Mitarbeitende hält KI-Produktivitätstools vor seinem Arbeitgeber geheim.

Tools für generative KI können die Produktivität deutlich steigern. Gleichzeitig stellen sie ein Risiko für die Datensicherheit dar – insbesondere, wenn sie ohne Aufsicht des Arbeitgebers eingesetzt werden.

Was ist Shadow AI?

Die nicht autorisierte Nutzung von KI ist im Grunde eine weitere Form von Shadow IT (d. h. die Nutzung von Technologie ohne Freigabe durch die IT).

Die Risiken, die Shadow AI mit sich bringt, ähneln anderen Shadow-IT-Risiken, haben jedoch eine zusätzliche Dimension: die enorme Menge an proprietären Daten, die generative KI benötigt, um effektiv zu sein. Kostenlose Tools für generative KI (und auch einige kostenpflichtige Tools) können Unternehmensdaten oder Suchanfragen von Mitarbeitenden zum Trainieren ihrer Modelle verwenden. Dadurch steigt das Risiko von Datenlecks und Compliance-Verstößen.

Die jüngste Enthüllung, dass geteilte ChatGPT-Konversationen von Suchmaschinen gecrawlt werden konnten (auch wenn OpenAI schnell gegengesteuert hat), sollte ein Weckruf sein: Ohne geeignete Kontrollen können Dritte Ihre Daten auf eine Weise nutzen, der Sie nicht zustimmen. Einige kostenlose Tools, darunter ChatGPT, lassen sich so konfigurieren, dass sie Sicherheitsrichtlinien erfüllen. Das ist jedoch schlicht nicht möglich, wenn Mitarbeitende sie verdeckt nutzen.

Kostenlose Tools wie ChatGPT sind nicht das einzige Shadow-AI-Risiko. Eine unerwartete Quelle ist tatsächlich bereits vorhandene Software. Angesichts des Tempos, mit dem KI-Funktionen ergänzt werden, können Tools, die zuvor möglicherweise von der IT freigegeben waren, nun neue Risiken bergen. Wenn Informationssicherheitsteams diese neuen Funktionen nicht kennen und bewerten, umgehen sie effektiv Prozesse für das Risikomanagement von Drittanbietern.

Warum ein risikoorientierter Ansatz für KI entscheidend ist

Ob bei generativer KI oder anderen Tools: Shadow IT entsteht, wenn es keinen klar definierten und praktikablen Weg gibt, Tools zu testen oder Arbeit zu erledigen. Da KI nicht verschwinden wird, müssen Unternehmen die Einführung proaktiv angehen. Denn Tools zu verbieten bedeutet nicht, dass Mitarbeitende nicht dennoch versuchen werden, sie zu nutzen, um ihre Produktivität zu steigern und sich die Arbeit zu erleichtern.

Ich verbringe den Großteil meiner Zeit damit, Risiken zu bewerten – einschließlich der Risiken, die KI-Tools mit sich bringen. Häufig müssen wir Risiken im Zusammenhang mit einer Chance zur Verbesserung des Unternehmens bewerten – in diesem Fall Produktivitätsgewinne der Mitarbeitenden und Folgewirkungen (wie Mitarbeiterzufriedenheit oder mehr Zeit für strategischere Projekte).

Kurz gesagt müssen wir fragen: Gibt es eine Möglichkeit, die Tools einzuführen, die Mitarbeitende anfragen, und ihre Vorteile zu nutzen, während das Risiko auf einem akzeptablen Niveau bleibt?

Hier kommt ein risikoorientierter Ansatz ins Spiel. Ein risikoorientierter Ansatz für die KI-Einführung konzentriert sich auf die Daten, die in die KI eingespeist werden müssen, und darauf, wie der Drittanbieter mit diesen Daten umgeht. Dieser Ansatz ähnelt dem Risikomanagement für Anbieter: Unternehmen können etablierte Praktiken und Prozesse nutzen, diese jedoch auf KI-spezifische Fragestellungen anpassen.

Wichtige Fragen sind unter anderem:

Werden unsere Daten zum Trainieren des KI-Modells verwendet?
Wie lange werden unsere Daten aufbewahrt?
Welche Schutzmaßnahmen gibt es, um das Risiko einer Offenlegung unserer Daten zu verringern?
Wer besitzt die Rechte an geistigem Eigentum, das mithilfe der KI generiert wird?

Die Minimierung von KI-Wildwuchs ist ein zentraler Bestandteil dieser Arbeit. Je mehr Anbieter spezialisierte KI-Tools einführen – und je mehr Anbieter Sie einbinden und deren KI-Tools Zugriff auf Ihre Daten gewähren –, desto stärker steigt Ihr Risiko. Das gilt auch für bestehende Tools, die plötzlich KI ohne Kosten- oder Vertragsänderungen einführen. Dadurch wird es schwierig, ein genaues Inventar der KI-Tools zu führen.

Einführung eines KI-Governance-Frameworks bei Ivanti

Bei Ivanti bekämpfen wir Shadow AI mit einem risikoorientierten Ansatz, der mit Mitarbeiterengagement beginnt und endet.

KI-Nutzung aus dem Verborgenen holen

Auch wenn wir Shadow AI niemals fördern würden, verfügen Mitarbeitende, die sie nutzen, über wertvolles Wissen darüber, wie sich KI in Workflows integrieren lässt. Statt also jede KI-Nutzung zu verbieten, müssen wir sicherstellen, dass Mitarbeitende einen klaren Weg haben, KI-Tools für die Arbeit anzufragen, und dass es regelmäßig Gelegenheiten für einen offenen Dialog gibt.

Ein offener Dialog sorgt dafür, dass Mitarbeitende sich wohl dabei fühlen, darüber zu sprechen, welche Tools ihnen zum Erfolg verhelfen. Letztlich bedeutet das, dass sie diese Tools (oder gleichwertige Tools) sicher nutzen. So erhalten Mitarbeitende die Möglichkeit, aktiv an der Entwicklung angemessener Governance mitzuwirken – statt zu versuchen, Einschränkungen zu umgehen.

Ein maßvoller Ansatz für KI-Implementierung und -Einführung

Sobald ein Tool genehmigt ist, ist es wichtig, eine ordnungsgemäße Implementierung sicherzustellen und zu verstehen, auf welche Daten Sie ihm Zugriff gewährt haben. Das ist besonders wichtig, wenn man die Risiken für Data Governance und Sicherheit betrachtet, die Tools für generative KI für Unternehmen mit sich bringen. Wenn wir KI durch die Perspektive der Data Governance betrachten, kann dies dazu beitragen, viele Aspekte des KI-Risikos zu adressieren.

Bei Ivanti verfolgen wir einen maßvollen Ansatz: Wir stellen ein Team bereit, das kontrollierte Tests von Tools für generative KI gemeinsam mit anderen Teams durchführt. Anschließend richten wir Feedbackschleifen ein, und die Einführung erfolgt schrittweise, um Störungen zu vermeiden.

Aufbau einer Feedbackschleife für KI-Tools

Wir müssen uns konsequent fragen:

Wie nutzen die Mitarbeitenden von Ivanti KI?
Gefällt sie ihnen?
Welches Feedback haben sie?
Wie können wir das Tool verbessern?

Dieser kontinuierliche Austausch stellt sicher, dass wir KI verantwortungsvoll nutzen und gleichzeitig die Produktivitätsanforderungen der Mitarbeitenden erfüllen.

Es geht nicht darum, einfach auf den KI-Zug aufzuspringen. Es geht darum zu wissen, ob es sich lohnt – für das Unternehmen und für die Menschen, die KI nutzen. Shadow AI steigert die Produktivität einer einzelnen Person. Wenn man diese Produktivität jedoch ausweitet, entsteht eine spürbare Verbesserung für das gesamte Unternehmen.

Shadow AI proaktiv bekämpfen

Der rote Faden ist hier: Auch wenn KI – und insbesondere Shadow AI – neue und besorgniserregende Risiken mit sich bringt, wird sie bleiben. Mitarbeitende, die KI im Verborgenen nutzen, handeln nicht in böser Absicht; vielmehr versuchen sie, dem Unternehmen zu nützen, auch wenn sie dabei den falschen Weg wählen.

Ein proaktiver, risikoorientierter Ansatz für die KI-Einführung erkennt diese Realität an. Statt mit reaktiven Verboten zu arbeiten, die Umgehungen nur fördern, müssen wir Mitarbeitende einbeziehen, um zu verstehen, welche Probleme sie mit KI lösen möchten. So können wir ihnen sichere Optionen bereitstellen, die unsere Anforderungen an Sicherheit und Datenschutz erfüllen.

Ivanti Blog: Beiträge von