th3chris
Alle Artikel
9 Min. Lesezeit

Shadow AI: Was du nicht siehst, kannst du nicht absichern

KISecurityGovernanceComplianceShadow AIDSGVO

Die Frage ist nicht, ob deine Mitarbeiter KI nutzen. Sie tun es — heute, in diesem Moment, zu großen Teilen über private Accounts, die du nicht siehst und nicht kontrollierst. Netskope misst, dass selbst Anfang 2026 noch rund die Hälfte der KI-Nutzung im Unternehmen über persönliche Accounts läuft statt über freigegebene (Netskope Cloud and Threat Report 2026). Die gute Nachricht: Der Wert ist rückläufig — vor einem Jahr lag er noch bei rund drei Vierteln. Die schlechte: „rund die Hälfte" ist immer noch dein größtes blindes Feld.

Und das Tückische an Shadow AI ist nicht das eine spektakuläre Leck. Es ist banaler: Was du nicht siehst, kannst du nicht steuern, nicht absichern und nicht nachweisen. Kein Datenschutz, keine Compliance, kein Audit — für etwas, von dem du nicht mal weißt, dass es passiert.

Kurz gesagt — Shadow AI ist kein Verhaltensproblem deiner Leute, sondern ein Sichtbarkeitsproblem deiner Organisation. Verbote treiben es tiefer in den Untergrund. Was wirkt, ist die Reihenfolge: erst sichtbar machen, dann einen guten offiziellen Weg anbieten, dann technisch absichern.

Warum es passiert (und kein Sabotageakt ist)

Niemand öffnet morgens ChatGPT, um die DSGVO zu brechen. Es passiert, weil der offizielle Weg fehlt oder umständlich ist und der private einen Klick entfernt liegt. Produktivitätsdruck trifft auf Ein-Klick-Anmeldung — und der Rest erledigt sich aus Bequemlichkeit und dem naiven Vertrauen, dass schon nichts passiert.

Es ist derselbe Reflex, mit dem Entwickler einen API-Key direkt in den Prompt pasten, den ich in Wie KI-Agents Zugangsdaten leaken beschrieben habe — nur eine Ebene höher: nicht ein Token, sondern Kundendaten, Quellcode, Vertragsentwürfe, die still das Haus verlassen.

Was wirklich auf dem Spiel steht

Drei konkrete Risiken, keine abstrakte Angst.

Die Daten verlassen deine Infrastruktur — und liegen dann woanders. Sobald ein Prompt personenbezogene Daten enthält und an einen externen Anbieter geht, musst du dessen Rolle klären: Verarbeitet er die Daten weisungsgebunden für dich, ist er Auftragsverarbeiter, und du brauchst einen Auftragsverarbeitungsvertrag (DSGVO Art. 28). Bei Shadow AI klärt das niemand — die Verarbeitung läuft ungeregelt, ohne Vertrag und ohne Weisung.

Die Consumer-vs-Enterprise-Falle. Genau hier wird es teuer. Viele Gratis- und Privattarife trainieren per Default auf dem, was du eingibst:

  • OpenAI nutzt Inhalte aus dem Consumer-ChatGPT per Default zur Modellverbesserung (Opt-out möglich); Enterprise, Business, Team und die API tun das nicht (OpenAI Enterprise Privacy).
  • Anthropic darf seit der Änderung der Verbraucherbedingungen im August 2025 Daten aus Free, Pro und Max zum Training nutzen, sofern man nicht widerspricht; die kommerziellen Pläne (Claude for Work/Enterprise, API) sind ausgenommen (Anthropic).
  • GitHub Copilot Business und Enterprise trainieren nicht auf deinem Code; die individuellen Tarife (Free/Pro/Pro+) tun es seit April 2026 per Default, mit Opt-out (GitHub).

Und Shadow AI heißt: deine Leute landen zu oft auf der Trainings-Seite dieser Linie. Genau die Daten, die nie das Haus verlassen sollten, fließen dann in fremde Modelle.

Secrets fließen mit. Wo KI-Coding-Assistenten im Spiel sind, wandern auch Zugangsdaten. GitGuardian zählte für 2025 28,6 Millionen neue Secrets in öffentlichen GitHub-Commits — ein Plus von 34 % zum Vorjahr und der größte Sprung in der Geschichte des Reports (State of Secrets Sprawl 2026). Bemerkenswert: Commits, die mit KI-Unterstützung entstanden, leakten Secrets mit rund 3,2 % — gut doppelt so oft wie die menschliche Basisrate von 1,5 % (GitGuardian). Das ist kein Tool-Defekt, sondern ein Tempo-Effekt: dieselben menschlichen Fehler, nur schneller und häufiger produziert. KI bremst den Fehler nicht aus — sie skaliert ihn.

Warum Verbote es schlimmer machen

Der naheliegende Reflex — KI-Tools pauschal sperren — ist selten der richtige. Gezieltes Blocken einzelner Hochrisiko-Ziele kann sinnvoll sein; ein Pauschalverbot dagegen beseitigt nicht die Nutzung, nur die Sichtbarkeit. Die Leute weichen auf private Geräte und Accounts aus, und du verlierst auch noch das bisschen Einblick, das du hattest. Das ist dieselbe Logik wie bei KI-Agenten selbst: Eine Regel, an die sich keiner halten muss, ist keine Grenze, sondern bloß eine Bitte — mehr dazu in Darf nicht vs. kann nicht. Du gewinnst nicht durch Verbieten, sondern durch einen besseren offiziellen Weg.

Der Fünf-Schritte-Fahrplan

Nüchtern, in dieser Reihenfolge:

  1. Sichtbarkeit zuerst. Bevor du irgendetwas regelst, finde heraus, was real läuft. Im Büro liefern das deine Egress-Logs (DNS, Proxy, Firewall) und CASB-Discovery — Netskope verfolgt inzwischen über 1.550 unterschiedliche GenAI-Apps in Unternehmensumgebungen, Anfang 2025 waren es 317 (Netskope Shadow AI & Agentic AI 2025). Im Homeoffice greift das nicht mehr: Dort wandert die Sichtbarkeit vom Netz auf zwei Dinge, die du standortunabhängig kontrollierst — das Endgerät (ein SASE-/Endpoint-Agent reist mit dem Laptop und inspiziert den Egress von überall) und die Identität (OAuth-Consents und SSO-Logins treffen immer deinen IdP, egal wo jemand sitzt). Was bleibt, ist der harte Deckel: das Privatgerät mit Privataccount entdeckst du nicht — das verengst du strukturell (Zugriff auf sensible Daten nur von verwalteten Geräten) und machst es mit Schritt 2 überflüssig.
  2. Einen guten offiziellen Weg anbieten. Freigegebene Tools auf Enterprise-/Business-Tarifen — kein Training, Admin-Kontrolle, Audit-Logs. Wenn der erlaubte Weg genauso bequem ist wie der private, schrumpft Shadow AI deutlich.
  3. Daten klassifizieren. Der offizielle Weg aus Schritt 2 ist die sichere Grundeinstellung; die Klassifizierung sagt dir, wo strengere Regeln nötig sind. Lege fest, was in welches Tool darf — öffentlich, intern, vertraulich, reguliert. Ohne diese Einteilung greift keine Policy, weil niemand weiß, worauf sie sich bezieht.
  4. Technisch absichern, nicht nur regeln. Secrets aus dem Kontext der KI halten, Netzwerk-Egress auf eine Allowlist — strukturelle Grenzen statt Verhaltensappelle (wie hier beschrieben). Das ist die Schicht, die hält, wenn sich jemand nicht an die Policy hält.
  5. Leichte Policy plus Schulung. Eine kurze, klare Acceptable-Use-Regel und echte Befähigung der Leute — kein 20-seitiges Dokument, das niemand liest. AI-Literacy ist seit Februar 2025 ohnehin Pflicht: Der EU AI Act verlangt sie ausdrücklich auch von Anwender-Unternehmen, nicht nur von Anbietern — durchgesetzt durch die nationalen Behörden ab August 2026 (EU AI Act Art. 4).

Governance ist nicht die Kür

Zusammengenommen ist Shadow AI ein präzises Compliance-Problem, kein diffuses Unbehagen: unkontrollierte Auftragsverarbeiter, Daten in fremden Trainingsläufen, eine verpasste gesetzliche Literacy-Pflicht. Wer das strukturieren will, findet im ISO/IEC 42001:2023 — der ersten zertifizierbaren Norm für ein KI-Management-System — den passenden Rahmen (ISO). Aber der Rahmen kommt nach der Sichtbarkeit, nicht davor: Du kannst kein Managementsystem über etwas legen, das du nicht siehst.

Die Entscheidung „Erlauben wir KI?" ist längst gefallen — getroffen von deinen Leuten, letzten Monat, ohne Meeting. Offen ist nur noch die eine Frage: Siehst und gestaltest du es — oder läuft es weiter an dir vorbei?

Diese Sichtbarkeit herzustellen und die technischen Grenzen zu ziehen, die sie absichern — ohne deine Leute auszubremsen — ist Teil meiner Arbeit. Lass uns reden.

Bereit?

Lass uns dein Projekt besprechen.

2–3 Minuten gezielte Fragen, eine klare Einschätzung — und ich melde mich persönlich. Lieber direkt schreiben? Auch das geht.

Briefing startenAnrufenE-Mail schreiben

Ohne Konto · Antwort innerhalb 24 h