Wer glaubt, dass das KI-Zeitalter nur positive Überraschungen parat hat, irrt gewaltig. Eine neue Herausforderung nimmt bereits Form an: die Schatten-KI. Gemeint ist der unkontrollierte Einsatz von KI-Tools außerhalb formeller Governance-Strukturen, also ohne Freigabe oder Überwachung durch IT, Security oder Compliance. Schatten-KI verbreitet sich sogar noch schneller, als das seinerzeit bei der Schatten-IT der Fall war. Kein Wunder, denn moderne KI ist leistungsstark, benutzerfreundlich und nahezu überall verfügbar. Ob als browserbasierter Chatbot oder nativ in alltägliche Produktivsoftware implementiert, geben KI-Funktionen Empfehlungen ab – beispielsweise für die Netzwerkkonfiguration – oder schreiben den Quelltext für IaC (Infrastructure-as-Code)-Systeme gleich selbst. Doch eines fehlt: Geprüft und hinterfragt werden die Ergebnisse viel zu selten.
Dadurch sind die digitalen Assistenten oder besser gesagt das Wirken der KI für Cybersecurity- und Compliance-Teams in vielen Fällen komplett unsichtbar. Auch welche Daten User der Schatten-KI gewollt oder unbewusst zur Verfügung stellen, ist kaum nachvollziehbar. Ohne klares Management können über diese Tools sensible Daten nicht nur an die KI-Anbieter selbst, sondern auch an unbefugte Dritte gelangen. So unterlaufen KI-Lösungen oder -Funktionen regulatorische Vorgaben und untergraben das Vertrauen in Unternehmenssysteme.
Sicherer Umgang statt Verbote
Ein pauschales Verbot von KI ist sicherlich keine Option. Dafür ist sie zu hilfreich, zu notwendig und ein zu wichtiger Faktor im Wettbewerb. Vielmehr sollten Unternehmen den bewussten und sicheren Umgang mit KI gezielt fördern. Dazu gehört, Mitarbeitende mit den richtigen Werkzeugen und dem notwendigen Wissen auszustatten und den Einsatz von Künstlicher Intelligenz durchdacht zu steuern. Wir brauchen daher graduelle Richtlinien, die berücksichtigen, wie von Mitarbeitenden auf KI-Funktionalität zugegriffen wird – also online und browserbasiert, in lokale Software eingebettet oder als eigenständige für das Unternehmen entwickelte Lösung.
Auch wo und von wem Daten verarbeitet und gespeichert werden, muss transparent sein und sich in den Richtlinien widerspiegeln. Zudem müssen Unternehmen festlegen, ob und welcher Input an LLMs gesendet werden darf. Zu guter Letzt muss die Policy auch abbilden, ob eine Prüfung im Hinblick auf Compliance und vertragliche Rahmenbedingungen erfolgt ist. Auf Basis dieser Kriterien können Unternehmen klare Nutzungsgrenzen definieren – von vertrauenswürdigen, umfassend geprüften KI-Systemen bis hin zu risikoanfälligen Tools, die Mitarbeitende nur sehr eingeschränkt nutzen dürfen.
Neben einer klaren Governance dürfen auch technische Schutzmaßnahmen nicht vernachlässigt werden. Unternehmen sollten eigene, freigegebene KI-Tools bereitstellen, die sicher sind und eine kontrollierte Datenverarbeitung ermöglichen. So entsteht ein sicherer und produktiver Rahmen für den KI-Einsatz. Zusätzlich sollten Sicherheitslösungen wie CASB (Cloud Access Security Broker), SWG (Secure Web Gateway) und DLP (Data Loss Prevention) eingesetzt werden, um zu erkennen und zu verhindern, dass Mitarbeitende unerlaubte oder nicht freigegebene KI-Dienste nutzen. Schließlich ist es empfehlenswert, sensible Daten bereits vor der Verarbeitung durch KI-Systeme technisch zu schützen – etwa durch Maskierung, Anonymisierung oder andere Formen der Datenvorverarbeitung, um unbeabsichtigte Datenabflüsse zu vermeiden.
Human-in-the-Loop-Ansatz
Wichtig ist, dass es bei all diesen Erwägungen nicht um übermäßige Bürokratie und Restriktionen geht, sondern darum, neue Technologien skalierbar und sicher zu gestalten. In diesem Zusammenhang ist der Faktor Mensch unverzichtbar und kritische Prozesse müssen weiterhin in menschlicher Verantwortung bleiben – unterstützt von, aber nicht ersetzt durch KI. Dieser Human-in-the-Loop-Ansatz gewährleistet Verantwortlichkeit, reduziert Risiken und schafft langfristiges Vertrauen. Abschließend ist zu sagen, dass KI die Zukunft von Unternehmen prägen wird. Aber ob sie unsere Systeme stärkt oder schwächt, hängt davon ab, wie bewusst und verantwortungsvoll wir sie heute einsetzen.
