Cloud-SicherheitDatenschutzKI-Sicherheit

Shadow AI in Unternehmen: Wie Sicherheitsteams die unkontrollierte KI-Nutzung bändigen

Von CyberDeutsch Redaktion
Shadow AI in Unternehmen: Wie Sicherheitsteams die unkontrollierte KI-Nutzung bändigen
Zusammenfassung

# Shadow AI im Unternehmen: Das Sicherheitsrisiko, das Sicherheitsteams übersehen In deutschen Unternehmen nutzen Mitarbeiter täglich drei bis fünf KI-Tools – die meisten davon nie von der IT-Abteilung genehmigt. Ein Mitarbeiter, der einen KI-Schreibassistenten installiert, einen Coding-Copiloten in seine IDE integriert oder Meetings mit einem neuen Browser-Tool zusammenfasst, handelt produktiv – doch schafft gleichzeitig erhebliche Sicherheitsrisiken. Nach einer Studie von Adaptive Security nutzen 80 Prozent der Arbeitnehmer unapprove Generative-AI-Anwendungen, während nur 12 Prozent der Unternehmen eine formale KI-Governance-Richtlinie besitzen. Das zentrale Problem: Diese Shadow-AI-Tools verbinden sich oft über OAuth-Token oder Browser-Sessions mit unternehmenseigenen Daten wie gemeinsamen Laufwerken, E-Mails und internen Dokumenten – ohne dass IT-Sicherheitsteams überhaupt Sichtbarkeit darüber haben. Da die meisten herkömmlichen Sicherheitstools nur Netzwerk-Traffic überwachen, umgehen Browser-basierte KI-Tools diese Kontrollen komplett. Für deutsche Unternehmen und Behörden bedeutet dies ein wachsendes Risiko für Datenschutz und IT-Sicherheit, besonders angesichts verschärfter Compliance-Anforderungen.

Das Problem liegt in der rasanten Geschwindigkeit der KI-Adoption. Traditionelle Sicherheitstools wurden für die Überwachung von E-Mail- und Netzverkehr entwickelt – doch browser-basierte KI-Anwendungen umgehen diese Kontrollen komplett, da sie nie durch das Unternehmensnetzwerk fließen. Sie authentifizieren sich einfach über ein Quick-Login-Genehmigung und bekommen so Zugriff auf sensible Daten.

Wo versteckt sich Shadow AI am häufigsten? Drei Bereiche dominieren: Erstens OAuth-Verbindungen zu Google Workspace oder Microsoft 365, die Dutzenden von Tools Lese- und Schreibzugriffe auf Unternehmensdaten gewähren. Zweitens Browser-Erweiterungen, die traditionelle Endpoint-Management-Tools nicht erfassen, da sie auf der Betriebssystemebene unsichtbar bleiben. Drittens KI-Features, die bereits in genehmigten Tools wie Microsoft Copilot oder Google Gemini integriert sind, oft ohne separate Sicherheitsbewertung.

Experten empfehlen einen fünfstufigen Ansatz: (1) Discovery – alle verwendeten KI-Tools identifizieren und inventarisieren; (2) Policy – klare Richtlinien mit genehmigten Tools und Datenschutzklassifikationen definieren; (3) Approval-Prozess – schnelle, strukturierte Bewertungskriterien für neue Tools etablieren, um Umgehungslösungen zu vermeiden; (4) Monitoring – kontinuierliche Sichtbarkeit in echter Zeit schaffen, ohne den Workflow zu behindern; (5) Schulung – Just-in-Time-Coaching am Punkt der Entscheidung kombinieren mit Trainings, die das Warum erklären.

Für deutsche Unternehmen ist besonders wichtig: Eine aktualisierte, transparente Liste genehmigter Tools reduziert Shadow-AI-Nutzung organisch. Mitarbeiter, die wissen, wo sie sichere Alternativen finden, nutzen diese lieber. Gleichzeitig sollten Unternehmen für jedes genehmigte Tool das Daten-Training-Opt-out überprüfen – viele KI-Anbieter nutzen unternehmensinterno Eingaben standardmäßig zum Modelltraining.

Zuletzt zeigt sich: Wenn Mitarbeiter schnellen Zugriff auf effektive, genehmigte Tools haben und ihr neuer Tool schnell und transparent geprüft wird, verschwindet der Anreiz, das System zu umgehen. KI-Adoption ist kein Sicherheitsproblem – unkontrollierte KI-Adoption ist es. Mit dem richtigen Framework wird Shadow AI zur Manageable Risk.

Ähnliche Artikel