Immer mehr Beschäftigte nutzen KI-Tools im Arbeitsalltag, oft schneller als Unternehmen Governance und Schutzmaßnahmen etablieren können. Die Folge ist Schatten-KI, die Sicherheitslücken, Compliance-Verstöße und unkontrollierte Datenverarbeitung begünstigt. Unternehmen müssen deshalb klare Leitlinien, sichere KI-Alternativen und transparente Prozesse schaffen, um Risiken einzudämmen und verantwortliche Nutzung zu ermöglichen.
Schatten-KI entsteht durch unkontrollierte Nutzung externer KI-Tools und kann Sicherheits- sowie Compliance-Risiken verursachen, wenn Prozesse und Richtlinien fehlen.
Der KI-Enthusiasmus unter Verbrauchern und Beschäftigten wächst auch in Deutschland: Immer mehr Menschen nutzen KI regelmäßig im Alltag oder bei der Arbeit. Laut einer Studie des TÜV-Verbands haben inzwischen etwa 53 Prozent der Deutschen bereits Erfahrungen mit generativer KI gemacht. Eine aktuelle BCG-Studie zeigt darüber hinaus, dass rund zwei Drittel der Beschäftigten in Deutschland KI-Tools am Arbeitsplatz einsetzen. Dennoch fühlen sich nur etwa 36 Prozent ausreichend auf den KI-Einsatz vorbereitet.
Natürlich ist ChatGPT nur eine von vielen KI-Anwendungen. Auch alltägliche Tools wie Browser integrieren zunehmend KI-Funktionen, die etwa URLs und Nutzerdaten verarbeiten können. In der Praxis bedeutet das: Mitarbeitende sind in manchen Fällen schneller mit KI-Lösungen vertraut als das Unternehmen es organisatorisch oder technisch vorgesehen hat. Da Beschäftigte vor allem daran interessiert sind, ihre Aufgaben effizient zu erledigen — und sich weniger mit Datenschutz, Sicherheit oder Compliance beschäftigen — besteht die Gefahr, dass „Schatten-KI“ (also KI-Anwendungen, die ohne offizielle Genehmigung oder Kontrolle genutzt werden) zu einem echten Sicherheits- oder Compliance-Risiko wird.
Die Zunahme von Schatten-KI ist ein Symptom der schnellen Zunahme verbraucherfreundlicher KI-Tools am Arbeitsplatz. Es gibt immer mehr Plattformen mit Funktionen für Texten, Design, Coding, Recherche und Datenanalyse, und Angestellten nutzen KI immer häufiger ohne die formelle Genehmigung ihres IT-Teams. Dieser Trend wird durch die Begeisterung für das Potenzial von KI vorangetrieben. Doch wenn KI-Tools sich unter Umgehung jeder offiziellen Kontrolle verbreiten, entstehen für Unternehmen zunehmende Sicherheits-, Compliance- und Datenschutzrisiken, die nicht ignoriert werden dürfen.
Wer KI-Tools ohne vorige Genehmigung durch die IT-Abteilung nutzt, öffnet Tür und Tor für eine Reihe von Risiken. Zuallererst kann es passieren, dass Angestellte versehentlich böswillige Anwendungen herunterladen und Dritte unabsichtlich Zugriff auf sensible Materialien erhalten. Schließlich sind viele der KI-Anwendungen kostenlos nutzbar, und mittlerweile kennen hoffentlich die meisten den Spruch „Wenn es kostenlos ist, bist du das Produkt“. In den Wochen nach der Veröffentlichung des Sprachmodells DeepSeek-R1 wurde deutlich, wie berechtigt diese Sorge ist: Regierungen in den USA, Südkorea, Australien, Italien und Taiwan erließen Beschränkungen für die Nutzung des Modells und nannten Bedenken dazu, wie Benutzer- und Nutzungsdaten verwendet werden könnten.
Die Zunahme der Schatten-KI führt zu signifikanten Risiken, die über versehentliche Malware-Downloads und Datenlecks weit hinausgehen. Ein Hauptrisiko ist die Möglichkeit mangelnder Compliance mit Branchenregulierungen und Datenschutzgesetzen. Nicht kontrollierte KI-Anwendungen halten möglicherweise die nötigen Compliance-Standards nicht ein und führen zu einer unautorisierten Datenverarbeitung und ‑speicherung, was gesetzliche Vorschriften verletzt. Zusätzlich kann der Mangel an Kontrolle und Beaufsichtigung bei der Schatten-KI-Nutzung zu inkonsistenten Datenverarbeitungs- und Entscheidungsprozessen führen, die die Integrität der Geschäftsprozesse beeinträchtigen und zu unzuverlässigen Ergebnissen führen.
Der Kampf gegen die Schatten-IT beginnt mit klarer Kommunikation und gut durchdachten Richtlinien. Während sich KI-Tools immer mehr durchsetzen, sind sich viele Angestellte der Sicherheitsrisiken, die von nicht genehmigten Anwendungen ausgehen, nicht in vollem Umfang bewusst. Unternehmen sollten klare Richtlinien zur KI-Nutzung etablieren und durch Schulungen, Web-Seminare und eine fortlaufende Weiterbildung für ihre Durchsetzung sorgen. Statt nur auf die IT-Überwachung zu setzen, kann es ebenso effektiv sein, eine offene Gesprächskultur und persönliche Verantwortlichkeit rund um die KI-Nutzung zu fördern. Angestellte halten Richtlinien mit größerer Wahrscheinlichkeit ein, wenn sie die Risiken verstehen und sich im Gespräch einbezogen fühlen, statt überwacht oder eingeschränkt zu werden.
Gleichzeitig müssen Unternehmen sich dessen bewusst sein, welche Faktoren Angestellte zur Nutzung nicht genehmigter KI bringen. Knappe Deadlines, komplexe Workflows und wachsende Erwartungen führen dazu, dass Arbeitskräfte selbstverständlich ihre Produktivität und Effizienz steigern möchten. Wenn es Unternehmen nicht gelingt, genehmigte KI-Lösungen bereitzustellen, wenden sich Angestellte aus der Notwendigkeit heraus externen Tools zu, die das Unternehmen Sicherheitsrisiken aussetzen können. Eine ausgewogene Vorgehensweise ist unverzichtbar: Dazu gehört es, die Bedürfnisse der Angestellten im Blick zu behalten, KI-Lösungen zu suchen, die Sicherheits- und Compliance-Anforderungen einhalten, und diese Lösungen in den genehmigten Technologie-Stack zu integrieren. So können Unternehmen das Risiko der Schatten-KI minimieren und gleichzeitig ein wettbewerbsfähiges, innovationsfreundliches Arbeitsumfeld beibehalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI kann ein Game-Changer sein, aber nur, wenn sie sicher und verantwortungsbewusst genutzt wird. Hier kann ein AI by Design-Ansatz ins Spiel kommen. Bei diesem geht es darum, von Anfang an KI-Systeme aufzubauen, die sicher, fair, transparent und benutzerfreundlich sind, statt im Nachhinein entstehende Probleme zu lösen.
Eine solide Datenschutz- und Sicherheitsgrundlage ist dabei entscheidend. Dies bedeutet, über grundlegende Schutzmaßnahmen hinauszugehen und erweiterte Zugriffskontrollen und intelligente Anonymisierungstechniken zu implementieren, die dazu beitragen, dass Benutzerdaten bei jedem Schritt geschützt bleiben. Dazu kommen Verantwortlichkeit und Fairness: KI sollte für alle funktionieren und positive Auswirkungen haben, nicht nur für eine ausgewählte Gruppe. Menschliche Aufsicht und kontinuierliche Feedbackschleifen helfen, Systeme daran zu hindern, Voreingenommenheiten zu verstärken, und dafür zu sorgen, dass sie sich in die richtige Richtung entwickeln.
Transparenz ist ein weiteres Muss. Wenn KI zunehmend Entscheidungen trifft, die sich auf reale Menschen auswirken, helfen Prinzipien von Transparenz und Vertrauen, klare Sicherheitsmaßnahmen und Richtlinien festzulegen, sodass KI-generierter Output nicht nur korrekt ist, sondern auch praktisch und relevant. Auch Einfachheit und Zugänglichkeit dürfen nicht vergessen werden, denn egal wie leistungsstark ein KI-System ist, es ist nur so nützlich, wie es verständlich ist. Das Ziel besteht darin, komplexe Technologie in intuitive, benutzerfreundliche Tools zu verwandeln, die jeder bedienen kann.
Indem sie diese Prinzipien von Anfang an umsetzen, können Unternehmen vom Potenzial von KI profitieren, ohne Kompromisse bei Ethik, Sicherheit oder Usability einzugehen.
Aus dem Schatten treten
Gegen Unternehmensrichtlinien zu verstoßen ist inakzeptabel, aber gleichzeitig ist es natürlich verständlich, dass Arbeitskräfte sich Unterstützung von bahnbrechenden neuen Technologien wünschen. Indem sie eine gute Gesprächskultur etablieren, vor den Gefahren der Schatten-KI warnen und Prozesse implementieren, um die richtigen Tools über offizielle Kanäle verfügbar zu machen, können Unternehmen Sicherheitsbedenken angehen und von den Vorteilen einer produktiven, KI-gestützten Belegschaft profitieren.
Über den Autor: Sascha Giese ist Global Tech Evangelist, Observability bei SolarWinds.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b0/05/b005e943c3eb3e3872ffa1af74caf388/0123578819v1.jpeg "Unternehmen, die keine Kontrolle über Schatten-KI-Anwendungen haben, riskieren schwerwiegende Datenschutzverletzungen und Sicherheitsrisiken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/62/5b627a6796ceb5333a403f9f5d6f813c/0122181205v2.jpeg "ETH-Benchmark bescheinigt KI-Sprachmodellen eine noch unzureichende Compliance. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/d8/15d8af54d9e583cf22afaad3fa6576b4/0119527626v1.jpeg "Damit Deutschland bei KI nicht ins Hintertreffen gerät, braucht es vor allem mehr Klarheit und Sicherheit im Umgang mit den gesetzlichen Vorgaben. (Bild: © tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/9c/729c9590b356d43e038de46e54f98b03/0119078899v1.jpeg "Schatten-IT ist seit langem ein bekanntes Problem für viele Unternehmen, jetzt ist ein neues Problem aufgetaucht: Schatten-KI. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/f9/ecf9f9160f6888ea06073cc11fd1b360/0122816118v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/f5/c5f5dc316fe9d11d9fd989ccbfd72ea7/0123465372v1.jpeg "Alexander Laubert, Director DACH bei Lakeside: „Schatten-IT kann dazu führen, dass sensible Daten außerhalb der kontrollierten und sicheren Unternehmensumgebung gespeichert und verarbeitet werden. Dies erhöht das Risiko von Verstößen gegen Datenschutzgesetze und kann zu erheblichen Strafen führen – und mit dem zunehmenden Einsatz von KI durch Mitarbeiter wird dieses Problem noch verschärft.“ (Bild: ADRIANPORTMANN)")