Shadow AI

Shadow AI beschreibt ein Phänomen, bei dem Mitarbeiter künstliche Intelligenz, meist in Form von Large Language Models oder Bildgeneratoren, für berufliche Zwecke einsetzen, ohne dass diese Tools offiziell freigegeben oder in die IT-Infrastruktur integriert wurden. Es handelt sich um eine spezifische Ausprägung der Schatten-IT, die durch die niedrige Einstiegshürde webbasierter SaaS-Lösungen massiv an Dynamik gewonnen hat. Meist beginnt es mit einfachen Interaktionen im Browser, bei denen geschäftliche Daten in öffentliche Tools eingegeben werden, um Arbeitsprozesse zu beschleunigen. Da diese Anwendungen oft kostenlos oder über private Accounts zugänglich sind, umgehen sie die klassischen Beschaffungs- und Sicherheitsprüfprozesse vollständig.

Für deutsche Unternehmen ergeben sich daraus erhebliche Risiken, die vor allem die DSGVO und den Schutz von Geschäftsgeheimnissen betreffen. Wenn Mitarbeiter sensible Kundendaten, interne Strategiepapiere oder Quellcode in nicht kuratierte KI-Systeme einspeisen, landen diese Informationen oft auf außereuropäischen Servern und fließen in das Training zukünftiger Modelle ein. Dies führt zu einem Verlust der Datenhoheit und kann empfindliche Compliance-Verstöße nach sich ziehen. Zudem macht es die mangelnde Transparenz der IT-Leitung unmöglich, die Qualität und Sicherheit der Ergebnisse zu gewährleisten oder eine einheitliche KI-Strategie im Betrieb umzusetzen.

Ein typisches Beispiel aus dem deutschen Mittelstand ist ein Konstruktionsbüro, in dem ein Projektleiter eine öffentliche KI nutzt, um ein komplexes Lastenheft zusammenzufassen oder E-Mails für internationale Kunden zu formulieren. Dabei lädt er unwissentlich geistiges Eigentum des Unternehmens auf die Server eines Drittanbieters hoch, dessen Nutzungsbedingungen die Weiterverarbeitung der Daten vorsehen. Die IT-Abteilung erfährt von diesem Datenabfluss erst, wenn es zu einem Audit oder Sicherheitsvorfall kommt. Die Motivation der Mitarbeiter ist dabei selten böswillig, sondern entspringt dem Wunsch nach Effizienz bei gleichzeitigem Fehlen sanktionierter, sicherer Alternativen im Unternehmen.

Aktuell zeichnet sich ein Wandel vom reinen Verbot hin zum kontrollierten Enablement ab. Statt KI-Dienste pauschal zu sperren, setzen IT-Entscheider verstärkt auf die Bereitstellung datenschutzkonformer Enterprise-Versionen oder interner API-Gateways. Die Einführung des EU AI Act wird den Druck auf Unternehmen weiter erhöhen, ihre KI-Landschaft lückenlos zu dokumentieren und zu überwachen. Es gilt daher, die Lücke zwischen dem Bedürfnis der Belegschaft nach modernen Werkzeugen und den Sicherheitsanforderungen des Unternehmens durch klare Richtlinien und die Bereitstellung offizieller Schnittstellen zu schließen, um Shadow AI in eine verwaltete IT-Struktur zu überführen.