Internet-Sicherheit 
Mitarbeitende nutzen Tools der künstlichen Intelligenz (KI) zur Steigerung ihrer Produktivität, denken dabei jedoch selten an die damit verbundenen Sicherheitsrisiken. Wenn Mitarbeitende vertrauliche Kundendaten in ein
Publiziert am Mai 13, 2026
Stellen Sie sich vor, ein Kundendienstmitarbeiter in Ihrem Unternehmen lädt vertrauliche Kundendaten in ein KI-Tool hoch, um E-Mails schneller zu verfassen. Wenn ein Mitarbeiter ein KI-Tool ohne IT-Genehmigung verwendet, wird das als Schatten-KI bezeichnet, und solche Szenarien treten immer häufiger auf. Unter den Mitarbeitern, die KI bei der Arbeit nutzen, geben 78 % an, Tools zu verwenden, die von ihrem Unternehmen nicht offiziell genehmigt wurden, so der Work Trend Index 2024 von Microsoft. Während Sicherheitsteams Strategien zur Bekämpfung der traditionellen Schatten-IT entwickelt haben, birgt die Schatten-KI neue Risiken, die einen moderneren Ansatz erfordern. Der Hauptunterschied zwischen Schatten-IT und Schatten-KI besteht darin, dass Schatten-KI sensible Daten nicht nur überträgt und speichert, sondern sie auch aktiv verarbeitet und potenziell speichert.
Lesen Sie weiter, um mehr über Schatten-IT, Schatten-KI sowie die effektive Erkennung und Verwaltung von Schatten-KI zu erfahren.
Was ist Schatten-IT?
Schatten-IT bezeichnet jede Software oder jeden Cloud-Dienst, den Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung nutzen. Dies kann die Nutzung privater E-Mail-Konten zum Teilen von Arbeitsdateien, die Installation nicht autorisierter Browsererweiterungen oder die Verbindung privater Geräte zu einem Unternehmensnetzwerk umfassen. Da diese Maßnahmen formelle Genehmigungsprozesse umgehen, werden sie von Sicherheitsteams vor der Anwendung nicht geprüft. Obwohl die Schatten-IT hauptsächlich durch Produktivität und nicht durch böswillige Absichten angetrieben wird, kann sie eine Vielzahl von Sicherheitsrisiken mit sich bringen:
- Eingeschränkte Transparenz: Wenn IT-Teams nichts von unautorisierten Anwendungen wissen, können sie die Nutzung nicht überwachen oder Unternehmensdaten schützen. Jede Sicherheitslücke in diesen Anwendungen kann zu einem versteckten Einfallstor in ein Netzwerk werden.
- Compliance-Verstöße: Nicht autorisierte Software erfüllt selten die Anforderungen an den Umgang mit Daten, die in Vorschriften wie der DSGVO oder dem HIPAA festgelegt sind. Bei unsachgemäßer Datenverarbeitung drohen Unternehmen erhebliche Strafen und Bußgelder.
- Erweiterte Angriffsoberfläche: Jede nicht genehmigte Anwendung ist ein potenzieller Angriffsvektor für Cyberkriminelle. Da Schatten-IT vor allem in Cloud-Umgebungen zunimmt, wird es immer schwieriger, die Netzwerksicherheit des Unternehmens zu gewährleisten.
Was ist Schatten-KI?
Schatten-KI bezieht sich auf die Verwendung von KI-Tools oder -Anwendungen ohne das Wissen oder die Zustimmung der IT-Abteilung. Häufige Beispiele sind Mitarbeiter, die generative KI nutzen, um interne Mitteilungen mit vertraulichen Daten zu verfassen, oder Entwickler, die Code mithilfe von KI-Tools und privaten Konten ausführen. Die besondere Herausforderung im Bereich der Schatten-KI besteht darin, dass Mitarbeiter Sicherheitsmaßnahmen nicht immer absichtlich umgehen. In vielen modernen Anwendungen sind standardmäßig KI-Funktionen eingebettet, sodass Mitarbeiter möglicherweise gar nicht erkennen, dass sie KI verwenden.
Schatten-KI birgt Risiken, die über das hinausgehen, worauf viele Unternehmen vorbereitet sind:
- Nicht zurückverfolgbare Datenlecks: Wenn Mitarbeiter KI-Tools über private Konten nutzen, haben Unternehmen in der Regel keinen Zugriff auf Interaktionsprotokolle, selbst bei Plattformen, die eine Protokollierung auf Unternehmensebene anbieten. Es gibt keinen Prüfpfad zu den eingegebenen Daten, ihrer Verarbeitung oder ihrer Aufbewahrung.
- Auswirkungen auf die Identitätssicherheit: Schatten-KI birgt neue Sicherheitsrisiken, für die traditionelle Sicherheitsmodelle nicht ausgelegt sind, insbesondere im Hinblick auf den Anstieg autonomer KI-Agenten. Wenn Mitarbeiter Konten auf externen KI-Plattformen erstellen, verlieren Unternehmen die Kontrolle darüber, wie diese Identitäten auf sensible Daten zugreifen.
Hauptunterschiede zwischen Schatten-IT und Schatten-KI
Schatten-IT und Schatten-KI haben denselben Grund: Mitarbeiter nutzen Tools, um produktiver zu arbeiten. Sie unterscheiden sich jedoch dahingehend, wie sie Risiken mit sich bringen.
Datenverarbeitung und -übertragung
Bei Schatten-IT folgen Daten in der Regel einem strukturierten Prozess, wie z. B. dem Hochladen von Dateien oder der Übertragung von Dokumenten. Diese Maßnahmen schaffen vorhersehbare Muster, die Sicherheitstools erkennen können. Die Schatten-KI hingegen arbeitet mit unstrukturierten, dialogorientierten Eingaben. Die Mitarbeiter geben vertrauliche Daten in Prompts ein, die in Echtzeit verarbeitet und über standardmäßigen HTTPS-Datenverkehr übertragen werden, was es schwierig macht, diesen Datenverkehr von normaler Aktivität zu unterscheiden.
Transparenz und Prüfbarkeit
Schatten-IT-Aktivitäten erzeugen in der Regel Audit-Protokolle durch die Nutzung von Anwendungen, Dateiübertragungen oder Netzwerküberwachung, sodass Sicherheitsteams Sicherheitsvorfälle untersuchen können. Im Gegensatz dazu fehlt bei Schatten-KI oft die zentralisierte Transparenz, da viele KI-Plattformen Unternehmen keine detaillierten Interaktionsprotokolle zur Verfügung stellen. Wenn Mitarbeiter externe KI-Tools nutzen, insbesondere über private Konten, haben Unternehmen möglicherweise nur eingeschränkten oder gar keinen Zugriff auf die Interaktionsdaten, was es schwierig macht, festzustellen, wie die Informationen verwendet oder gespeichert werden.
Risiko bei der Datenaufbewahrung
Die Schatten-IT birgt Risiken im Zusammenhang mit der unbefugten Aufbewahrung von Daten, wodurch vertrauliche Daten außerhalb der genehmigten Systeme an identifizierbaren Orten gespeichert werden. Schatten-KI birgt ein anderes Risiko. Auf KI-Plattformen für Privatanwender können Daten, die in Prompts eingegeben werden, standardmäßig zum Trainieren zukünftiger Modelle verwendet werden, obwohl die meisten Plattformen für Unternehmen dies deaktivieren. Das Risiko ist am größten, wenn Mitarbeiter private Konten bei Verbraucher-Tools nutzen und damit die Datenschutzmaßnahmen umgehen, die Unternehmenslizenzen bieten.
| Shadow IT | Shadow AI | |
|---|---|---|
| Scope | Any unauthorized software or cloud service | Unauthorized AI tools, models and applications |
| Data processing | Structured transfers and uploads | Unstructured, conversational inputs via natural language prompts |
Detection |
Detectable through DLP and network monitoring tools | Mainly invisible to traditional DLP tools since it appears as normal HTTPS traffic |
| Auditability | Typically available through network analysis and logs | Limited, if any; none if employees use personal accounts to access AI tools |
| Data retention risk | No equivalent risk | Sensitive data may be used to train third-party AI models |
| Level of autonomy | Tools require human action | AI agents can act autonomously across multiple systems on behalf of users |
| Governance | More established policies | Largely ungoverned |
So erkennen und verwalten Sie Schatten-KI
Da Schatten-KI vertrauliche Daten auf schwer erkennbare Weise offenlegt, müssen Unternehmen einen proaktiven Ansatz für die Verwaltung verfolgen. Herkömmliche Tools zur Verwaltung von Schatten-IT gehen nicht auf die gleichen Risiken ein, die damit verbunden sind, dass Mitarbeiter sensible Daten in KI-Plattformen eingeben oder KI Zugriff auf interne Systeme gewähren. Während viele Unternehmen vorschnell dazu neigen, KI-Tools gänzlich zu verbieten, hat dies oft den gegenteiligen Effekt, da es die Mitarbeiter dazu veranlasst, nicht genehmigte Tools zu nutzen, ohne dass das Unternehmen davon Kenntnis hat. Unternehmen sollten sich auf Governance konzentrieren, indem sie Folgendes tun:
- Erstellen Sie eine Richtlinie zur akzeptablen Nutzung von KI: Es sollten klare Richtlinien festgelegt werden, die definieren, welche KI-Tools zugelassen sind, welche Daten weitergegeben werden dürfen und welche Folgen ein Missbrauch hat.
- Erstellen Sie einen internen KI-App-Katalog: Geben Sie den Mitarbeitern eine Liste geprüfter KI-Tools, die sie verwenden können, damit sie nicht nach nicht genehmigten und potenziell riskanten Alternativen suchen.
- Implementieren Sie KI-Lösungen auf Unternehmensebene: KI-Lösungen für Unternehmen bieten im Vergleich zu KI-Tools für Endverbraucher eine bessere Kontrolle über Datenverarbeitung und -speicherung.
- Führen Sie regelmäßig KI-Compliance-Audits durch: Überwachen Sie, welche KI-Tools eingesetzt werden, und identifizieren Sie neu auftretende Sicherheitsrisiken.
- Schulen Sie die Mitarbeiter im Umgang mit KI: Kontinuierliche Weiterbildung fördert das Bewusstsein der Mitarbeiter für Aspekte, die sie möglicherweise nicht vollständig erfassen, wenn sie nur eine Richtlinie lesen. Unternehmen mit aktiven Schulungsprogrammen helfen ihren Mitarbeitern, den sicheren Umgang mit KI zu verstehen.
Übernehmen Sie die Kontrolle über die Schatten-KI
Schatten-KI verbreitet sich schnell, operiert über schwer zu überwachende Kanäle und birgt Risiken, für deren Erkennung herkömmliche Sicherheitstools nicht ausgelegt sind. Für eine effektive Governance ist es erforderlich, einen Überblick über jede Identität – ob Mensch oder Maschine – zu erhalten, die mit KI-Systemen interagiert und auf deren Daten zugreift. Da KI-Agenten in Unternehmensworkflows eingebettet werden, benötigen die Maschinenidentitäten, auf die sie angewiesen sind (z. B. API-Schlüssel, Dienstkonto-Tokens und Infrastrukturgeheimnisse), die gleiche Governance wie menschliche Benutzerkonten. Ein KI-Agent mit übermäßigen Berechtigungen und ohne Audit-Protokollen stellt die gefährlichste Form der Schatten-KI dar.
Mit einer Zero-Trust-Lösung für das Privileged Access Management (PAM) wie Keeper® erhalten Unternehmen zentrale Transparenz und Kontrolle über Benutzer, Systeme und Identitäten. Ganz gleich, ob Risiken von nicht autorisierten Anwendungen oder vom unerlaubten Einsatz von KI ausgehen – Keeper gewährleistet, dass jeder Zugriff genau überwacht und gesichert wird.
Starten Sie noch heute Ihre kostenlose Testversion von KeeperPAM, um sicherzustellen, dass alle Identitäten in Ihrer Umgebung ordnungsgemäß verwaltet werden.
