Mitarbeitende nutzen Künstliche Intelligenz (KI) auch ohne Freigabe der IT. Unternehmen stehen vor der Aufgabe, Produktivitätsgewinne zu sichern, ohne Datenhoheit und Governance aus der Hand zu geben.
Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle.
Künstliche Intelligenz ist längst Teil des Arbeitsalltags. Selbst wenn Unternehmen keine eigene KI-Strategie verfolgen, macht die Technologie vor ihrer Belegschaft nicht Halt. Sie nutzen KI-Tools, um Texte zu schreiben, Daten zu analysieren oder Code zu generieren – oft mit frei verfügbaren Anwendungen, die nicht von der IT-Abteilung freigegeben sind.
Damit verlieren Unternehmen schnell die Kontrolle über ihre Daten. Was einmal in ein externes System eingegeben wird, verlässt die geschützte Unternehmensumgebung und kann auf fremden Servern gespeichert oder sogar zum Training von Modellen verwendet werden. Zwar steigert Schatten-KI kurzfristig die Produktivität. Langfristig stellt sie aber eine Bedrohung des Wissenshoheit dar. Wissen, das geschützt werden sollte, fließt unkontrolliert in externe Systeme. Vertrauliche Informationen sind damit faktisch verloren.
Trotzdem greifen viele Beschäftigte zu solchen Tools. Sie handeln nicht aus Leichtsinn, sondern aus Pragmatismus. Der Druck, Prozesse zu beschleunigen und Ergebnisse zu liefern, ist hoch. KI verspricht schnelle Hilfe: Sie liefert in Sekunden, was interne Systeme oft erst nach Tagen ermöglichen. Der Antrieb ist Effizienz, nicht Regelbruch.
Das Prinzip ist nicht neu: Schon früher suchten Mitarbeiter Wege, digitale Hürden zu umgehen. Unter dem Schlagwort „Shadow IT“ nutzten sie eigene Software oder Cloud-Dienste, um schneller und flexibler zu arbeiten. Der Unterschied heute liegt in der Tiefe der Technologie.
Die Ursache liegt selten in mangelnder Disziplin, sondern in fehlenden Alternativen. Wer keine sicheren, leistungsfähigen KI-Werkzeuge bereitstellt, zwingt Mitarbeiter indirekt zum Ausweichen. Innovation findet dann außerhalb offizieller Strukturen statt.
Schatten-KI ist keine Frage einzelner Programme mehr, sondern ganzer Systeme, die selbstständig lernen und Entscheidungen treffen. Sie analysieren Daten, ziehen Schlüsse und handeln auf dieser Basis – oft, ohne dass nachvollziehbar ist, woher die Informationen stammen oder wohin sie fließen.
Damit verschiebt sich das Problem von einem technischen zu einem kulturellen. Während früher unautorisierte Tools die IT-Sicherheit gefährdeten, greift Schatten-KI direkt in Arbeitsprozesse und Entscheidungslogiken ein. Fachabteilungen agieren zunehmend eigenständig, sie verstehen sich als digitale Innovatoren und handeln damit schneller als die Governance, die sie eigentlich steuern soll.
Governance neu denken
Verbote allein lösen das Problem der Schatten-KI nicht. Solange externe Tools schneller und einfacher funktionieren als interne Systeme, werden Mitarbeitende diese weiter nutzen. Wer Schatten-KI eindämmen will, muss bessere Alternativen bieten: leistungsfähiger, sicherer und einfacher zugänglich.
Ein technischer Ansatz sind geschützte KI-Umgebungen. In diesen kontrollierten Testbereichen lassen sich neue Tools ausprobieren, ohne dass sensible Daten das Unternehmen verlassen. Solche Testumgebungen fördern Innovation unter sicheren Bedingungen und machen sichtbar, welche Anwendungen echten Mehrwert bieten. Erfolgreiche Lösungen können dann schrittweise in reguläre Prozesse überführt werden.
Doch technische Maßnahmen reichen nicht aus. Künstliche Intelligenz verändert sich mit jeder Nutzung. Klassische Kontrollsysteme mit starren Regeln kommen da nicht mehr mit. Governance muss deshalb selbst lernfähig sein: Ein System, das sich im gleichen Takt weiterentwickelt wie die Technologie.
Adaptive Governance bedeutet: Regulierung wird zum kontinuierlichen Prozess. Sie kombiniert technische Überwachung mit Feedback aus der Praxis, automatisiert Prüfmechanismen, erkennt Risiken in Echtzeit und sorgt für transparente Datenströme. Governance wird so zum integralen Bestandteil der Infrastruktur.
Damit verändert sich auch die Verantwortung im Unternehmen. Governance darf nicht allein in der IT verortet sein. Fachabteilungen, Compliance und Management müssen gemeinsam entscheiden, wie KI eingesetzt wird – nah an den Prozessen, nah an den Daten. So entsteht ein Gleichgewicht aus Kontrolle und Eigenverantwortung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch technisch lässt sich Governance verankern: Konzepte aus der Softwareentwicklung, wie Versionierung, Tests und Monitoring, lassen sich auf KI übertragen. Mit MLOps und AIOps entstehen Strukturen, die Qualitätssicherung und Nachvollziehbarkeit automatisieren.
Ebenso entscheidend ist die kulturelle Dimension: Governance funktioniert nur, wenn sie verstanden und akzeptiert wird. Schulungen, Transparenz und klare Regeln senken die Hemmschwelle, offizielle Tools zu nutzen. Wenn interne Systeme besser funktionieren als Schatten-KI, verschwindet das Problem von selbst.
Unternehmen, die Governance als lernendes System begreifen, können ein Sicherheitsrisiko in eine Innovationsquelle verwandeln. Schatten-KI wird dann nicht bekämpft, sondern genutzt – als Impulsgeber für Fortschritt und als Maßstab dafür, wie schnell Organisationen selbst lernen.
Ein klarer Rahmen ist heute dringlicher denn je. Nicht nur, um Schatten-KI zu steuern, sondern auch, weil die nächste Generation künstlicher Intelligenz längst an die Tür klopft. Agentic AI verspricht enorme Effizienz, verlangt aber zugleich neue Formen der Verantwortung und Kontrolle.
Agentic AI als nächster Entwicklungsschritt
Die neue Generation lernender Systeme geht über bisherige KI-Modelle hinaus. Agentic AI agiert selbstständig: Sie plant, entscheidet und handelt – ohne ständige menschliche Steuerung.
Damit verschiebt sich die Verantwortung: Während Schatten-KI von Menschen genutzt wird, kann Agentic AI eigenständig Prozesse verändern und Risiken auslösen. Ein fehlerhafter Agent reicht, um Daten falsch zu interpretieren oder Entscheidungen unbeabsichtigt zu beeinflussen.
Gleichzeitig liegt hier das nächste Effizienzpotenzial. Agentische Systeme können Aufgaben automatisieren, Abläufe optimieren und komplexe Entscheidungen vorbereiten. Governance muss darauf reagieren – mit Mechanismen, die nicht nur Menschen, sondern auch Maschinen kontrollieren.
Die Zukunft der KI-Governance liegt damit im Zusammenspiel von menschlicher Aufsicht und technischer Selbstregulierung. Wer dieses Gleichgewicht früh etabliert, behält die Kontrolle. Auch dann, wenn KI beginnt, selbst zu handeln.
Über den Autor: Florian Richter ist Market Leader Solutions & Services Group DACH bei Lenovo.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/45/f1/45f15040a97ad08135d7c7635f737ea7/0128764776v2.jpeg "In Veeam Backup & Replication fand der Hersteller bei internen Testings vier Sicherheitslücken, die mit der Version 13.0.1.1071 behoben wurden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/66/4b66437c281843d7f2c99a1757c8dfa4/0128929211v2.jpeg "Der Cybercrime-Dienst RedVDS bot kriminellen Nutzern Zugang zu virtuellen Wegwerfcomputern, die für 24 Dollar im Monat gemietet werden konnten. Diese Computer ermöglichten anonyme Straftaten und konnten nach der Nutzung schnell abgeschaltet werden, um die Strafverfolgung zu erschweren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/81/06/81063301a7b1384446e1956b0962da7c/0128938076v2.jpeg "Symbolischer Auftakt in Brandenburg: Die AWS European Sovereign Cloud richtet sich an öffentliche Auftraggeber und stark regulierte Branchen in der EU. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/d8/73/d87362ef0fcf479f5f38706e92fe06bb/0128612106v1.jpeg "Bei den defekten Systemdatenträgern, die bei CBL Datenrettung behandelt werden, machen SSDs inzwischen rund 70 Prozent aus. Hier muss sich das Unternehmen auf neue Controller wie die von Maxio Technology einstellen. (Bild: CBL )")
:quality(80)/p7i.vogel.de/wcms/67/d4/67d44564cddb408808b423c810adf54d/0128931179v1.jpeg "Sandboxes und KI-basierte Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/55/0855bf8e2dad6b6523d30edcbbf5adf4/0124411560v1.jpeg "Cloudflare meldet weltweit zahlreiche Internetunterbrechungen im Q3 2025 – ausgelöst durch Regierungsmaßnahmen, Kabelbrüche, Stromausfälle und technische Fehler. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ad/0f/ad0f8362c14619bd187093e55ad6b03d/0126456680v2.jpeg "Schatten-IT erleichtert zwar in Unternehmen manchmal Abläufe, bringt aber Sicherheitsrisiken und Produktivitätsverluste mit sich. (Bild: © robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d6/63d6cafb3834fabba81fd9b32c23313e/0128815536v2.jpeg "Die USA fordern die EU auf, ihnen Zugriff auf Fingerabdrücke und Gesichtsscans zu gewähren, um visafreies Reisen zu ermöglichen. EU-Staaten müssen bis Ende 2026 entscheiden, ob sie diesen Zugriff gewähren. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/2c/9b/2c9b4e1bf0da44fc165154f1301a1ff3/0128523537v1.jpeg "Agentenbasierte KI führt im SOC eigenständig Aktionen aus, daher begrenzen klare Governance mit PAM und Zero Trust, Least‑Privilege und kurzlebigen Berechtigungen sowie Freigaben durch Menschen die Risiken. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/30/a33057553871963c9c08d6de2054c114/0127518369v1.jpeg "Agentic AI kann Prozesse eigenständig steuern, aber erst durch geschulte Menschen und klare Governance entsteht echte Sicherheit. (Bild: © Antony Weerut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/9b/2c9b4e1bf0da44fc165154f1301a1ff3/0128523537v1.jpeg "Agentenbasierte KI führt im SOC eigenständig Aktionen aus, daher begrenzen klare Governance mit PAM und Zero Trust, Least‑Privilege und kurzlebigen Berechtigungen sowie Freigaben durch Menschen die Risiken. (Bild: © Gorodenkoff - stock.adobe.com)")