Blog
KI-GovernanceComplianceDatenschutzSchatten-ITEU AI Act

Schatten-KI im Unternehmen: 98% haben das Problem — die wenigsten wissen es

98% der Organisationen haben unautorisierte KI-Nutzung. 57% der Mitarbeitenden verstecken ihren KI-Einsatz. Durchschnittlich $670.000 höhere Breach-Kosten. Was Schatten-KI ist, warum sie gefährlich ist — und wie Unternehmen mit klarer Governance gegensteuern.

AutorGiuliano FalcoFounder, EconLab AI
Datum
Lesezeit12 min
01

Schatten-KI: Größer als Schatten-IT je war

98% der Organisationen haben Mitarbeitende die unautorisierte KI-Tools nutzen — laut Vectra AI und Varonis. Nicht 98% nutzen KI. 98% haben KI-Nutzung die sie nicht kennen, nicht kontrollieren und nicht auditieren können.

Schatten-IT bedeutete: Mitarbeitende laden Dropbox herunter ohne IT-Freigabe. Schatten-KI bedeutet: Mitarbeitende füttern proprietäre Daten in Consumer-AI-Tools, generieren inkonsistente Outputs über Teams hinweg und treffen Geschäftsentscheidungen mit null Aufsicht.

Die Risikooberfläche ist breiter, die Konsequenzen schneller und die Sichtbarkeitslücke nahezu total.

Die Zahlen sind alarmierend:

  • 57% der Mitarbeitenden geben zu, ihren KI-Einsatz vor dem Arbeitgeber zu verstecken (Business Insider, 2025)
  • 63% der Unternehmen haben keinerlei KI-Nutzungsrichtlinien (2025)
  • 97% der KI-bezogenen Breaches hatten keine angemessenen KI-Zugriffskontrollen
  • $670.000 höhere Breach-Kosten bei Organisationen mit hohem Schatten-KI-Anteil — ein Aufschlag von 16%
  • 8 von 10 Büroangestellten nutzen inzwischen öffentliche KI, oft ohne Wissen der IT
02

Wie Schatten-KI sich manifestiert: Drei Muster

Muster 1: Unautorisierte Tool-Nutzung

Mitarbeitende nutzen Consumer-AI-Tools — ChatGPT, Claude, Gemini — für Arbeitsaufgaben ohne IT-Wissen oder Freigabe. Sie kopieren Kundendaten in Prompts, laden interne Dokumente zur Zusammenfassung hoch und generieren kundenseitige Inhalte ohne jede Qualitätskontrolle.

Das Risiko: Sensible Daten verlassen die Organisation über Consumer-AI-APIs. Kein Audit-Trail, keine Kontrolle über die Datenverarbeitung.

Muster 2: Data Leakage durch Consumer-KI

Wenn ein Mitarbeiter eine Quartalsfinanzübersicht in ChatGPT einfügt um "die Sprache zu verbessern", sind diese Daten ausserhalb des Sicherheitsperimeters. Wenn ein Entwickler einen kostenlosen Coding-Assistenten mit der proprietären Codebasis nutzt, wird dieser Code von einem Drittanbieter-Modell verarbeitet.

Der Fall Samsung (2023): Ein Samsung-Mitarbeiter gab proprietären Quellcode in ChatGPT ein um ein Programmierproblem zu lösen. Samsung verbot daraufhin allen Mitarbeitenden die Nutzung von ChatGPT und ähnlichen Tools. Das war ein Unternehmen das mutig genug war, es offenzulegen. Multiplizieren Sie das über jedes Unternehmen und jedes Team das ungeprüfte KI-Tools nutzt.

Muster 3: Qualitätsinkonsistenz

Jeder Mitarbeitende nutzt KI anders. Manche verwenden sophistizierte Prompting-Techniken. Andere fügen rohe Anfragen ein. Manche verifizieren Outputs rigoros. Andere vertrauen blind auf das was das Modell generiert.

Das Ergebnis: Zwei Entwickler im selben Team produzieren unterschiedliche Code-Qualität. Zwei Marketing-Manager erstellen Content der völlig unterschiedlich klingt. Zwei Analysten ziehen unterschiedliche Schlussfolgerungen aus denselben Daten — weil sie unterschiedliche KI-Tools mit unterschiedlichen Prompts und unterschiedlichen Verifikationsstandards nutzen.

03

Die Risiken im Detail: Datenschutz, Sicherheit, Compliance

Datenschutz

Unternehmen haben oft keinen Einblick, welche Daten über Schatten-KI-Tools an externe Plattformen weitergegeben werden. Die DSGVO verlangt strikte Kontrollen über die Verwendung und Speicherung personenbezogener Daten. Wenn Mitarbeitende Schatten-KI nutzen, kann es schwierig bis unmöglich sein, diese Anforderungen einzuhalten — die Daten werden möglicherweise in Regionen oder auf Servern verarbeitet, die nicht den Datenschutzvorgaben entsprechen.

Cyber-Sicherheit

Nicht autorisierte KI-Tools können Schwachstellen in der Sicherheitsarchitektur schaffen. Da diese Tools nicht in das offizielle IT-System integriert sind, fehlen Sicherheitsvorkehrungen wie Verschlüsselung, Firewalls oder Zugriffsrechte. IBM berichtet: Die durchschnittlichen Kosten eines Datenbruchs lagen 2025 bei $4,44 Millionen global — Organisationen mit hohem Schatten-KI-Anteil zahlen im Schnitt $670.000 mehr.

Compliance und EU AI Act

Mit dem EU AI Act (Enforcement ab August 2026) kommen neue Anforderungen: Transparenzpflichten, Dokumentation, Risikomanagement. Wenn Mitarbeitende unkontrolliert KI-Systeme einsetzen, kann das Unternehmen seine eigenen KI-Systeme nicht inventarisieren — eine Grundvoraussetzung für jede AI-Act-Compliance. Strafen: bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes.

04

Warum traditionelle Governance gegen Schatten-KI versagt

Die meisten Unternehmen reagieren auf Schatten-KI wie sie auf Schatten-IT reagiert haben: Verbote. "Keine unautorisierten KI-Tools." Das funktioniert nicht — aus drei Gründen:

1. KI ist nicht blockierbar wie eine App

Schatten-IT konnte man mit Firewalls und App-Whitelisting bekämpfen. Schatten-KI läuft über Browser-Tabs, persönliche E-Mail-Konten und mobile Apps. Bis 2026 werden 70% der Mitarbeiter-Interaktionen mit KI über Features in bereits genehmigten SaaS-Anwendungen stattfinden — die Grenze zwischen "erlaubt" und "nicht erlaubt" verschwimmt.

2. Verbote erzeugen Verstecken, nicht Compliance

57% der Mitarbeitenden verstecken ihren KI-Einsatz aktiv. Ein Verbot macht das Problem unsichtbar, nicht kleiner. Die produktivsten Mitarbeitenden werden KI weiter nutzen — nur ohne Aufsicht, ohne Standards, ohne Audit-Trail.

3. Die Geschwindigkeit ist zu hoch

Neue KI-Tools erscheinen wöchentlich. Genehmigungsprozesse die Monate dauern sind nicht kompatibel mit einer Technologie die sich wöchentlich ändert.

05

KI-Governance die funktioniert: 5 Schritte

Schritt 1: KI-Inventar erstellen

Bevor Sie regulieren können, müssen Sie wissen was genutzt wird. Führen Sie ein KI-Audit durch: Welche KI-Tools werden in welchen Abteilungen eingesetzt? Welche Daten fliessen hinein? Network-Monitoring-Tools können ungewöhnliche Datenströme zu KI-Anbietern identifizieren.

Schritt 2: Klare KI-Nutzungsrichtlinien etablieren

Nicht "KI verboten" — sondern: "KI erlaubt unter diesen Bedingungen." Definieren Sie welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und welche nicht, und welche Prozesse für die Einführung neuer KI-Tools gelten.

Schritt 3: Genehmigte Alternativen bereitstellen

Mitarbeitende nutzen Schatten-KI weil die offiziellen Alternativen fehlen oder zu umständlich sind. Stellen Sie Enterprise-Versionen mit Datenverarbeitungsverträgen (DPA) bereit: Azure OpenAI, Anthropic Enterprise, On-Premise-Deployments.

Schritt 4: Schulungen statt Verbote

Schärfen Sie das Bewusstsein für Risiken — aber auch für Chancen. Mitarbeitende die verstehen warum bestimmte Daten nicht in Consumer-KI gehören, handeln verantwortungsvoller als solche denen einfach "Nein" gesagt wird.

Schritt 5: Regelmäßige Audits und Monitoring

KI-Governance ist kein Projekt mit Startdatum und Enddatum. Regelmäßige Audits der Softwarenutzung, Netzwerküberwachung und anonymisierte Umfragen zur KI-Nutzung halten das Bild aktuell.

06

Der KI-Manager: Eine neue Rolle entsteht

Die Komplexität der Schatten-KI-Problematik hat eine neue Rolle geschaffen: den KI-Manager (oder Chief AI Officer). Diese Person — intern oder extern — verantwortet:

  • KI-Strategie und -Roadmap
  • Vendor-Evaluation und -Auswahl
  • Compliance-Monitoring (DSGVO, EU AI Act)
  • Schatten-KI-Erkennung und -Eindämmung
  • Schulungen und Awareness-Programme
  • Reporting an Geschäftsführung und Aufsichtsrat

Die meisten mittelständischen Unternehmen haben diese Rolle noch nicht besetzt — und werden kurzfristig keine qualifizierte Person finden. Deshalb bieten wir bei EconLab AI diese Funktion als externen Service an: KI-Manager as a Service. Dieselbe Governance-Struktur, ohne den Recruiting-Aufwand.

07

Unsere Erfahrung: Warum Audit-Hintergrund hier zählt

Schatten-KI ist im Kern ein Audit-Problem: Welche Systeme laufen? Welche Daten fliessen wohin? Wer hat Zugang? Wer hat genehmigt?

Mit sieben Jahren Wirtschaftsprüfung und IT-Audit haben wir genau diese Fragen hundertfach gestellt — in einer Welt die noch keine KI kannte. Die Methodik ist identisch: Inventarisierung, Risikobewertung, Kontrollimplementierung, laufende Überwachung.

Der Unterschied: Wir verstehen nicht nur die Governance-Seite, sondern auch die Technologie. Wir können beurteilen ob ein KI-Tool tatsächlich Daten an externe Server sendet, ob ein On-Premise-Deployment wirklich lokal bleibt, und welche technischen Maßnahmen welche Risiken tatsächlich adressieren — nicht nur auf dem Papier.

Quellen

  • Vectra AI (2025): 98% of Organizations Have Unsanctioned AI Use
  • Business Insider (2025): 57% of Employees Hide AI Usage
  • IBM (2025): Cost of a Data Breach Report — $4.44M global average
  • Programs.com (2026): Shadow AI Statistics
  • Neomanex (2026): Shadow AI: 98% of Organizations
  • Samsung Case (2023): Proprietary Source Code Leak via ChatGPT
Über den Autor

Giuliano Falco

Founder, EconLab AI

7 Jahre Wirtschaftsprüfung und IT-Audit. Jetzt baut er mit Agentic Coding die nächste Generation von Audit- und Enterprise-Software.

Bereit für den nächsten Schritt?

Wir beraten zu KI-Strategie, EU AI Act und Agentic Coding.

Gespräch vereinbaren