Zum Inhalt springen
NeoGuard

Schatten-KI

Die nicht genehmigte Nutzung generativer KI-Dienste (ChatGPT, Claude, Gemini, Copilot & Co.) im Arbeitsalltag.

Schatten-KI (englisch Shadow AI) bezeichnet KI-Tools, die Mitarbeitende im Arbeitsalltag einsetzen, obwohl sie nicht offiziell durch die IT-Abteilung zugelassen sind. Der Begriff ist an Shadow IT angelehnt, womit allgemein Software bezeichnet wird, die produktiv verwendet wird, aber ohne Wissen oder Kontrolle der IT-Abteilung. Das tritt vor allem bei SaaS-Lösungen auf, da die Registrierung und Verwendung einfach ist. Häufig wird so ein Status-Quo geschaffen, der Beschaffungs- und Compliance-Vorgaben umgeht.

Warum kann Schatten-KI gefährlich werden?

Sobald du Quellcode, Kundendaten oder interne Recherchen in ein öffentliches KI-Modell kopierst, verlässt diese Information die Kontrolle deines Unternehmens. Je nach Bedingungen des KI-Modells können diese Daten geloggt, für das Training von KI-Modellen genutzt oder in andere Länder und Gerichtsbarkeiten (z.B. USA, China) übertragen werden. Für Pflichten gemäss nDSG oder DSGVO ist das eine Bekanntgabe an Dritte und damit nicht nur ein internes Datenschutzthema.

Was aktuelle Studien zeigen

Verizons Data Breach Investigations Report 2026 liefert interessante Einblicke in die Welt der Schatten-KI:

  • 45 % der Mitarbeitenden nutzen regelmässig KI auf ihren Firmengeräten, gegenüber 15 % im Vorjahresbericht.
  • 67 % dieser Zugriffe laufen über private, nicht-firmeneigene Konten.
  • Schatten-KI ist 2025 zum dritthäufigsten nicht-böswilligen Insider-Vorfall geworden, viermal so viel wie 2024.
  • Quellcode wird am häufigsten hochgeladen, gefolgt von Bildern und strukturierten Daten; in 3,2 % der DLP-Vorfälle wurden Forschungs- und technische Dokumente in unautorisierten KI-Systemen gefunden.

IBMs Cost of a Data Breach Report 2025 ergänzt das Bild von der Schadensseite: 20 % der untersuchten Datenpannen gingen auf einen Schatten-KI-Vorfall zurück. Organisationen mit hohem Schatten-KI-Einsatz hatten dabei im Schnitt 670’000 USD höhere Breach-Kosten als Unternehmen mit wenig oder keinem Schatten-KI-Einsatz, und 63 % der betroffenen Organisationen hatten entweder keine KI-Governance-Richtlinie oder befanden sich noch in deren Entwicklung.

Quellen

Verwandte Begriffe

PhishingEndpoint ProtectionnDSG