Der Aufstieg von Tools wie ChatGPT hat unsere Arbeitsweise grundlegend verändert. Zwar verspricht die Nutzung solcher KI-Systeme mehr Effizienz und Zeitersparnis, doch sie bringt auch neue Risiken mit sich. Ein besonders besorgniserregender Trend ist dabei die sogenannte Shadow AI – also der heimliche, nicht genehmigte Einsatz von KI-Tools durch Mitarbeitende.
Warum diese Praxis viele Unternehmen beunruhigt – und wie man ihr wirkungsvoll begegnet –, erfährst Du hier.
Im April 2023 hat Samsung den Einsatz von ChatGPT in bestimmten Abteilungen zunächst testweise erlaubt. Ziel war es, die Produktivität zu steigern – etwa durch automatisierte Übersetzungen, Korrekturlesen von Quellcode oder die Unterstützung bei alltäglichen Aufgaben.
Doch nur kurze Zeit später zog das Unternehmen die Reißleine: Samsung verbot die Nutzung generativer KI-Tools wieder – und führte strikte Schutzmaßnahmen ein.
Was war passiert? Innerhalb weniger Wochen kam es zu mehreren Vorfällen, bei denen Mitarbeiter vertrauliche Informationen in ChatGPT eingegeben hatten:
Ein Mitarbeiter ließ interne Notizen zu einem Projekt zusammenfassen – inklusive strategischer Inhalte und Managemententscheidungen.
Ein Entwickler kopierte Quellcode in den Chatbot, um einen Bug zu beheben – der Code enthielt proprietäre Algorithmen und sensible Technikdetails.
Ein weiterer Angestellter übermittelte Leistungstests von Halbleitern, um Optimierungsvorschläge zu erhalten.
Diese Eingaben landetenauf Servern außerhalb der Kontrolle von Samsung – und genau darin lag das Risiko. Das Unternehmen reagierte mit klaren Maßnahmen:
Verbot der unkontrollierten Nutzung externer KI-Dienste,
interne Sensibilisierungskampagnen zu den Risiken von Shadow AI,
und die Entwicklung eigener KI-Lösungen, um auf sichere Alternativen setzen zu können.
Die Phantom-KI: Wenn Shadow AI unsichtbar mitarbeitet
Das von Samsung durchgeführte KI-Experiment hatte einen Vorteil: Es war offiziell und kontrolliert. Das eigentliche Problem beginnt jedoch dort, wo Mitarbeitende KI-Tools wie ChatGPT, Claude oder Perplexity eigenständig und ohne Wissen der IT-Abteilung einsetzen. Genau das bezeichnet man als Shadow AI – oder auch „Phantom-KI“.
Der Begriff ist an die bereits bekannte Praxis der Shadow IT angelehnt: also die Nutzung von Software oder Systemen außerhalb der Kontrolle der IT-Abteilung. Bei Shadow AI geht es konkret um generative KI-Anwendungen, die ohne Freigabe oder Kontrolle im Unternehmen genutzt werden – oft mit den besten Absichten, aber auch mit hohen Risiken.
Und: Shadow AI ist kein Randphänomen.
Beispielsweise nutzen in Frankreich laut einer von Salesforce 2023 durchgeführten Studie 18 % der Mitarbeitenden generative KI im Arbeitskontext.
In 49 % der Fälle geschieht dies trotz ausdrücklicher Verbote. Neuere Erhebungen legen sogar nahe, dass rund 68 % der Beschäftigten Shadow-AI-Praktiken anwenden – etwa zur Korrektur interner Texte oder zur Analyse von Leistungsdaten.
So hilfreich das für den Einzelnen erscheinen mag – aus Unternehmenssicht birgt es erhebliche Risiken: von Datenschutzverletzungen bis hin zu Compliance-Verstößen.
Die Beweggründe hinter Shadow AI
Der einfache und meist kostenlose Zugang zu Tools wie ChatGPT, Claude oder Perplexity erklärt, warum sich Shadow AI so rasant verbreitet hat. Viele Mitarbeitende suchen nach Wegen, ihre Effizienz zu steigern oder komplexe Aufgaben schneller zu bewältigen – oft aus Eigeninitiative und ohne böse Absicht.
So könnte etwa ein Marketingverantwortlicher versucht sein, eine generative KI für die Entwicklung einer Kampagne zu nutzen – selbst wenn das Produkt, um das es geht, noch vertraulich ist.
Das Problem dabei: Vielen Mitarbeitenden ist nicht bewusst, welche Sicherheits- und Compliance-Risiken die unüberwachte Nutzung solcher Tools mit sich bringt – etwa im Hinblick auf Datenschutz, Geheimhaltung oder Lizenzfragen.
Hinzu kommt ein organisatorischer Aspekt: Manche Beschäftigte empfinden die Reaktionszeit der internen IT-Abteilung als zu langsam.
Wenn offizielle Lösungen auf sich warten lassen, greifen sie lieber zu Tools, die schnell verfügbar und einfach zu bedienen sind – gerade weil sie unmittelbar Ergebnisse liefern und häufig kostenlos nutzbar sind.
Doch genau diese vermeintliche Bequemlichkeit kann für Unternehmen zum echten Sicherheitsrisiko werden.
Was sind die Risiken?
Trotz aller Vorteile auf individueller Ebene setzt Shadow AI Unternehmen einer Vielzahl ernsthafter Risiken aus – insbesondere, wenn der Einsatz generativer KI-Tools nicht überwacht oder koordiniert erfolgt.
1. Datenlecks
Ohne Kontrolle darüber, welche Informationen in externe KI-Systeme eingegeben werden, können sensible oder vertrauliche Daten unbeabsichtigt offengelegt werden.
Eine aktuelle Untersuchung im Vereinigten Königreich zeigte, dass jedes fünfte Unternehmen dort bereits mit einem datenbezogenen Vorfall durch KI-Nutzung konfrontiert war – verursacht durch Mitarbeitende, die generativer KI-Tools eigenmächtig eingesetzt hatten.
2. Unstimmigkeiten in Prozessen
Wenn verschiedene Abteilungen unterschiedliche KI-Anwendungen nutzen, kann das zu inkonsistenten Ergebnissen und widersprüchlichen Analysen führen.
Die Folge: Entscheidungen werden erschwert, interne Standards unterlaufen – und die Gesamtwirksamkeit der Organisation leidet.
3. Verstöße gegen Datenschutz- und Compliance-Vorgaben
Unternehmen müssen gesetzliche Vorgaben wie die DSGVO einhalten. Doch sobald Mitarbeitende KI-Systeme außerhalb genehmigter Strukturen einsetzen, drohen Verstöße, die teuer werden können:
Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes sind bei Nichtkonformität möglich.
4. Reputationsschäden
Ein weiteres Risiko betrifft die Qualität und Glaubwürdigkeit der KI-generierten Inhalte.
Wenn fehlerhafte, unvollständige oder unangemessene Texte unter dem Namen des Unternehmens veröffentlicht werden, kann dies das Vertrauen von Kundschaft und Öffentlichkeit dauerhaft schädigen.
Ein prominentes Beispiel: Sports Illustrated geriet massiv in die Kritik, nachdem bekannt wurde, dass das Magazin KI-generierte Artikel ohne Kennzeichnung publiziert hatte.
Was lässt sich gegen Shadow AI tun?
Um Shadow AI wirksam zu begegnen, gibt es grundsätzlich drei Handlungsansätze:
Die Nutzung generativer KI strikt verbieten
Den Einsatz gezielt begleiten und kontrollieren
Die Mitarbeitenden gezielt sensibilisieren
1. Komplettes Verbot? Oft kontraproduktiv
Ein kategorisches Verbot klingt zwar konsequent, ist in der Praxis jedoch selten wirksam.
„Es führt häufig nur dazu, dass Mitarbeitende KI-Tools noch heimlicher verwenden“, berichtet ein Manager aus der Praxis. Der Wunsch nach Effizienz bleibt – und verlagert sich lediglich in den informellen Bereich.
2. Begleitung statt Blockade
Ein deutlich konstruktiverer Ansatz ist es, den Einsatz generativer KI aktiv zu begleiten.
Das bedeutet:
Herauszufinden, wofür Mitarbeitende KI konkret einsetzen wollen,
geeignete Tools zu evaluieren,
und eine kontrollierte, von der IT überwachbare Lösung bereitzustellen.
So lässt sich der Wunsch nach Effizienz mit den Anforderungen an Sicherheit und Compliance in Einklang bringen.
3. Aufklärung und klare Regeln
Der wichtigste Hebel liegt in der Sensibilisierung der Mitarbeitenden.
Nur wer die Risiken kennt, kann verantwortungsvoll handeln. Unternehmen sollten daher:
interne Schulungen anbieten,
eine klar formulierte KI-Richtlinie einführen
und gemeinsame Regeln für die Nutzung generativer Tools etablieren.
Fazit:
Statt auf Verbote zu setzen, ist es effektiver, transparente Rahmenbedingungen zu schaffen, freigegebene Tools bereitzustellen und Teams zu ermutigen, offen mit neuen Technologien umzugehen – unter Einhaltung definierter Sicherheitsstandards.
