Die rasante Entwicklung der künstlichen Intelligenz bringt mit Shadow AI eine neue, oft übersehene Herausforderung für Unternehmen. Shadow AI bezeichnet – analog zur Schatten-IT – den nicht autorisierten Einsatz von KI-Technologien am Arbeitsplatz. Obwohl diese Technologien Produktivitätssteigerungen versprechen, bergen sie erhebliche Risiken für Datensicherheit und Compliance.
Obwohl Schatten-KI kurzfristige Effizienzgewinne verspricht, überwiegen die Risiken eindeutig. Unternehmen müssen proaktiv handeln. Der CISO sollte sich als strategischer Partner positionieren, der nicht nur schützt, sondern auch technologisches Wachstum fördert.
(Bild: vectorfusionart - stock.adobe.com)
Mit der Einführung von leicht bedienbaren Tools wie ChatGPT haben Mitarbeitende begonnen, KI-Anwendungen zu nutzen, bevor formale Richtlinien und Sicherheitsprotokolle implementiert werden konnten. Diese unkontrollierte Nutzung kann zu Datenverlusten, rechtlichen Problemen (beispielsweise in Bezug auf Datenschutz) und allgemeinen Sicherheitsrisiken führen. Laut einer Studie von Cyberhaven ist zwischen März 2023 und März 2024 die Menge an Unternehmensdaten, die in KI-Tools eingegeben wurden, um 485 Prozent gestiegen, wobei ein erheblicher Teil dieser Daten als sensibel gilt.
Diese Entwicklung erinnert an die frühen Tage der Cloud-Technologie, als Mitarbeitende cloudbasierte Dienste nutzten, bevor IT-Abteilungen deren Vorteile und Risiken vollständig erfasst hatten. Schatten-KI stellt heute eine ähnliche Herausforderung dar, für die noch keine angemessene Kontrolle und Governance betrieben wird.
Der Einsatz nicht autorisierter Technologien kann zu erheblichen Sicherheitslücken führen. Klare Richtlinien können Unternehmen dabei helfen, Datenverstößen zuvorzukommen. Letztere ergeben sich beispielsweise dann, wenn Mitarbeitende sensible Unternehmensdaten, persönliche Daten oder fremdes geistiges Eigentum in nicht genehmigte KI-Tools eingeben – was zu Datenlecks führt. Zudem können derartige Praktiken gegen Datenschutzgesetze wie die DSGVO verstoßen, was erhebliche Bußgelder und rechtliche Konsequenzen mit sich zieht.
Darüber hinaus kann der unkontrollierte Einsatz von KI zu operativen Ineffizienzen führen, da verschiedene Abteilungen möglicherweise unterschiedliche Tools ohne zentrale Koordination verwenden. Dies führt zu einer Fragmentierung der Daten und ineffizienten Arbeitsabläufen. Diese Herausforderungen erfordern proaktives Handeln seitens der Unternehmen, um Risiken zu minimieren und die Integrität ihrer Daten zu schützen.
Rolle des CISO im Wandel
Im Zeitalter von Shadow AI und deren potenzieller Präsenz über das gesamte Unternehmen hinweg kommt der Rolle des Chief Information Security Officer (CISO) eine gesteigerte Relevanz zu, die über seine traditionelle Funktion hinausgeht. Diese Herausforderung bietet die Gelegenheit, die Cybersicherheitsstrategie grundlegend zu überdenken. CISOs sollten mehr Sichtbarkeit auf Vorstandsebene erhalten, um sicherzustellen, dass Cybersicherheit als integraler Bestandteil der Unternehmensstrategie betrachtet wird. Effektive Kommunikation ist entscheidend, um eine Kultur der Sicherheit im gesamten Unternehmen zu fördern.
Die Integration von Cybersicherheit in das Risikomanagement erfordert darüber hinaus eine enge Zusammenarbeit zwischen Führungskräften und dem Chief Risk Officer (CRO). Durch regelmäßige Berichterstattung und transparente Kommunikation können CISOs Vertrauen aufbauen und notwendige Ressourcen sichern. Eine unternehmensweite Sicherheitskultur ist dabei essenziell.
Um den Herausforderungen von Shadow AI zu begegnen, sollten Unternehmen klare Richtlinien und Governance-Strukturen schaffen. Dazu zählt u.a. die Berichtsstruktur: CISOs sollten direkt an CIOs berichten, um Herausforderungen frühzeitig zu erkennen und Investitionen in Cybersicherheit effektiv zu steuern. In diesem Sinne besteht ein wesentlicher Schritt darin, den Vorstand regelmäßig über entsprechende Risiken zu informieren. Durch regelmäßige Updates und transparente Kommunikation können Vorstände besser verstehen, wie Cybersicherheitsmaßnahmen das Unternehmen schützen und unterstützen. Dies schafft Vertrauen und ermöglicht es dem CISO, notwendige Ressourcen und Unterstützung zu erhalten.
Für eine unternehmensweite Sicherheitskultur bedarf es außerdem einer Neuausrichtung der Kommunikation von Cybersicherheitsrisiken: Klarheit, Verständlichkeit und die Möglichkeit zum offenen Gespräch bilden hier das Fundament. CISOs sollten technische Begriffe in verständliche Sprache übersetzen und Fachjargon vermeiden, damit die gesamte Belegschaft bis in den Vorstand die Bedeutung und Dringlichkeit von Sicherheitsmaßnahmen nachvollziehen kann. Dies fördert eine gemeinsame Verantwortung und stärkt die Zusammenarbeit zwischen den verschiedenen Abteilungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dazu zählt auch die Entwicklung hin zu einer agilen, „lernenden Organisation“. Mitarbeiterschulungen auf allen Ebenen können einen positiven Einfluss beispielsweise hinsichtlich eines gemeinsamen Verantwortungsgefühls im Bereich Cybersicherheit haben. Regelmäßige Schulungen und interaktive Übungen helfen Mitarbeitenden, potenzielle Bedrohungen zu erkennen und angemessen darauf zu reagieren.
Schatten-KI mag auf den ersten Blick kurzfristige Effizienz-Gewinne versprechen – aber die Risiken überwiegen eindeutig. Um Gefahren einzudämmen, müssen Unternehmen proaktiv handeln. Der CISO sollte sich als strategischer Partner positionieren, der nicht nur schützt, sondern auch das positive technologische Wachstum des Unternehmens ermöglicht. Nur durch eine umfassende Integration von Cybersicherheit in die Unternehmensstruktur können Unternehmen die Herausforderungen von Shadow AI erfolgreich meistern und ihre digitale Resilienz stärken.
Indem Unternehmen die Rolle des CISO neu definieren und ihm die notwendige Sichtbarkeit und Unterstützung geben, können sie sicherstellen, dass Cybersicherheit nicht nur eine technische Angelegenheit bleibt, sondern zu einem integralen Bestandteil der Unternehmensstrategie wird. Dies ist entscheidend, um angesichts sich schnell entwickelnder Technologien wettbewerbsfähig zu bleiben und gleichzeitig die Sicherheit und Integrität der Unternehmensdaten zu gewährleisten.
Über den Autor: Saugat Sindhu ist Senior Partner & Global Head – Advisory Services – CRS bei Wipro. Er führt ein international tätiges Team im Bereich Management- und Unternehmensberatung, mit einem Fokus auf Cybersicherheit und Dienstleistungen in den Bereichen Integration und Transformation für gewerbliche und öffentliche Auftraggeber.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/72/9c/729c9590b356d43e038de46e54f98b03/0119078899v1.jpeg "Schatten-IT ist seit langem ein bekanntes Problem für viele Unternehmen, jetzt ist ein neues Problem aufgetaucht: Schatten-KI. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2c/f1/2cf16db247706a1f1a0cd6aadfcbc536/0121139419v2.jpeg "Bevor Firmen das volle Potenzial von KI ausschöpfen können, müssen sie zunächst ihre Hausaufgaben machen. Dazu zählen Maßnahmen zur sicheren Anwendung von KI. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/82/d2824c1a8c4885e2b8d37a51a22b8b01/0119715843v2.jpeg "Die Rolle des CISO entwickelt sich momentan extrem schnell. Die Zusammenarbeit zwischen CISO sowie weiteren C-Level-Entscheidern, sowohl intern als auch extern, ist dabei nicht nur eine Option, sondern eine Notwendigkeit. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/f9/ecf9f9160f6888ea06073cc11fd1b360/0122816118v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/f5/c5f5dc316fe9d11d9fd989ccbfd72ea7/0123465372v1.jpeg "Alexander Laubert, Director DACH bei Lakeside: „Schatten-IT kann dazu führen, dass sensible Daten außerhalb der kontrollierten und sicheren Unternehmensumgebung gespeichert und verarbeitet werden. Dies erhöht das Risiko von Verstößen gegen Datenschutzgesetze und kann zu erheblichen Strafen führen – und mit dem zunehmenden Einsatz von KI durch Mitarbeiter wird dieses Problem noch verschärft.“ (Bild: ADRIANPORTMANN)")