In der aktuellen Welt, die von der rasanten Entwicklung neuer Software, Tools und KI-Plattformen geprägt ist, wird deren Einsatz mehr denn je zur Norm. Doch was passiert, wenn Mitarbeiter ohne Genehmigung der IT-Abteilung mit neuen Tools experimentieren und eigene Lösungen einführen? Dies führt zur sogenannten Schatten-IT – ein Phänomen, das auch das Aufkommen von Schatten-KI mit sich bringt. In diesem Artikel werden wir uns diese Themen im Detail anschauen, die Risiken erläutern und Möglichkeiten zeigen, wie Unternehmen diese Gefahren eindämmen können, um handlungsfähig bleiben.
Was ist Schatten-KI?
Der Begriff Schatten-KI bezieht sich auf eine besondere Kategorie des Überbegriffs Schatten-IT. Dieser bezeichnet den Einsatz von IT-Systemen, Software, Cloud-Diensten oder Geräten in einem Unternehmen ohne das Wissen oder die Genehmigung der IT-Abteilung. Diese inoffiziellen Lösungen, sei es externe Cloud-Services, SaaS-Angebote oder private Hardware, laufen parallel zur offiziellen IT-Infrastruktur und unterliegen nicht den üblichen Sicherheits- und Governance-Prozessen.
Der spezielle Aspekt der Schatten-KI in dieser Problematik bezieht sich auf die nicht genehmigte Nutzung von KI-Tools durch Mitarbeiter. Dieser “Spezialfall” von Schatten-IT gewinnt allerdings mit den rasanten Entwicklungen und der zunehmend wichtigen Rolle von KI in Unternehmen immer mehr an Bedeutung. Inoffizielle KI-Tools, wie Chatbots, Tools zur Videogenerierung oder Coding Agents, sind aus verschiedenen Gründen gefährlich und können zu einem blinden Fleck für die IT führen.
Bevor wir uns die konkreten Risiken und Gefahren von Schatten-KI anschauen, müssen wir zunächst verstehen, wie diese überhaupt zustande kommen und warum Mitarbeitende meist unwissentlich Sicherheitsrisiken für die Daten ihres Unternehmens eingehen, anstatt die genehmigten Tools und Anwendungen zu nutzen.
Wann und warum kommt es zu Schatten-KI?
In den meisten Fällen kommt es zu Schatten-KI, wenn die von der IT-Abteilung angebotenen Tools und Leistungen den Anforderungen der Fachabteilungen nicht gerecht werden. Das bedeutet, es herrscht eine Diskrepanz zwischen der bereitgestellten und durch die IT-Abteilung überwachten Software und den tatsächlichen Bedürfnissen oder Anforderungen der Mitarbeitenden im Unternehmen. Besonders wenn noch keine unternehmensinterne KI-Lösung implementiert ist, können Mitarbeitende leicht ohne Absprache auf öffentlich verfügbare Plattformen zurückgreifen. Es ist dabei wichtig anzumerken, dass die Entstehung von Schatten-KI in den meisten Fällen nicht aus böser Absicht geschieht, sondern aus dem Drang heraus, die Arbeit effizienter zu erledigen oder den vorgegebenen Workload in der geforderten Zeit zu erledigen.
Für diese Kluft zwischen Bedürfnissen und bereitgestellten Lösungen sind kleine und mittelständische Unternehmen in der Regel ebenso anfällig wie große Unternehmen. Oft fehlt es diesen Unternehmen auch an Zeit und Ressourcen für eine strikte IT-Kontrolle, was mit einem großen Sicherheitsrisiko einhergeht.
Die häufigsten Gründe für die Diskrepanz zwischen bereitgestellten Lösungen und tatsächlichen Anforderungen, die die eigenmächtige, unautorisierte Nutzung bestimmter Services bestärkt, sind:
Leichter Zugang und Eigeninitiative: Technologieaffine Mitarbeiter greifen eigenständig auf Tools zu, um ihre Arbeit effizienter zu gestalten, insbesondere wenn die IT überlastet ist.
Fehlendes Risikobewusstsein: Viele Beschäftigte sind sich der Sicherheitsrisiken nicht bewusst. Sie wollen gar nicht bewusst Regeln umgehen, sondern ahnen nicht, dass ihr Verhalten sensible Daten gefährdet.
Produktivitätsdruck: Mitarbeiter stehen unter großem Druck, effizient zu arbeiten und wählen häufig Tools, die sie kurzfristig als hilfreich empfinden, um ihre Aufgaben schneller zu erledigen.
Remote Work: Die Zunahme von Homeoffice erleichtert den Zugang zu benutzerfreundlichen Cloud-Lösungen, was Schatten-IT begünstigt.
Technologischer Fortschritt: Moderne Drittanbieter-Services lassen sich heute oft mit wenigen Klicks einsetzen - selbst komplexe Technologien wie KI oder Machine Learning stehen als einfach zu nutzende Cloud-Tools bereit. Dadurch sinkt die Hürde, auch fortschrittlichere Anwendungen ohne Beteiligung der IT zu nutzen.
Fachabteilungen sind einen Schritt voraus: Gleichzeitig sind die Mitarbeitenden aus einzelnen Abteilungen der IT-Abteilung meist schon weiter, was neueste technologische Entwicklungen und Anwendungen in ihrem Fachgebiet anbelangt - und diese passen im Zweifel viel besser zu den täglichen Aufgaben und Prozessen.
Quelle: https://www.sthree.com/media/v0cfkdkk/de_stem-workforce-report.pdf; Schatten-KI-Nutzung bei Arbeitnehmern im MINT-Sektor
Aus der Erhebung wird deutlich, dass besonders der Produktivitätsdruck und der Wunsch nach mehr Effizienz in den täglichen Prozessen die Nutzung inoffizieller KI-Tools vorantreibt. Über ein Drittel der Befragten Nutzer nutzt KI-Tools, um ihre Arbeit zu beschleunigen. Ungefähr ein Viertel der Befragten spürt die Diskrepanz zwischen tatsächlichen Anforderungen und verfügbaren Lösungen - in ihrer täglichen Arbeit stoßen sie an die Grenzen der autorisierten Tools und benötigen zum Erledigen der Aufgaben andere Funktionen.
Besonders denkwürdig ist, dass 20% der befragten Mitarbeiter angaben, ohne die unautorisierten Tools ihr Pensum gar nicht erledigen könnten oder Deadlines verfehlen würden. An diesen Zahlen wird der Handlungsdruck für Unternehmen deutlich - denn Mitarbeitende befinden sich in einer Zwickmühle und sehen inoffizielle Tools als einzige Möglichkeit, ihren Workload in der vorgegebenen Zeit zu erledigen.
Welche Rolle spielen verbreitete KI-Tools in der aktuellen Entwicklung von Schatten-KI?
Die weitläufige Verbreitung und einfache Nutzung von KI-Tools verstärken die Gründe für die Entwicklung von Schatten-KI weiter. Die geringen Hürden für die Nutzung und die schnelle Verfügbarkeit von relevanten Informationen dramatisieren das Problem. Besonders große und weit verbreitete Modelle wie ChatGPT von OpenAI, Gemini von Google & Co. sind sehr fortschrittlich und erlauben eine schnelle und einfache Verknüpfung mit eigenen Daten - auch wenn damit gegen Unternehmensrichtlinien oder europäisches Recht im Sinne der DSGVO oder des EU AI Acts verstoßen wird. Da es sich bei der Nutzung von generativen KI-Tools außerdem um ein neues Feld handelt, fehlen oftmals interne Policies oder Richtlinien, wie mit entsprechenden Tools umgegangen wird - der Handlungsdruck zu effizienteren Arbeitsprozessen besteht aber bei vielen Mitarbeitenden ungeachtet dessen.
Die eigenmächtige Einführung von Tools, Anwendungen oder Software durch einzelne Mitarbeitende wirkt verlockend: sie verspricht, Aufgaben schneller und effizienter zu lösen, entsprechende Tools sind leicht verfügbar und passen viel besser zu den spezifischen Anforderungen, als die von der IT überwachten Angebote.
Welche Risiken und Gefahren sich für Unternehmen, IT-Abteilungen, sowie die individuellen Mitarbeitenden dahinter verbergen, sehen wir uns nun an.
Die größten Risiken von Schatten-KI
Obwohl einzelne KI-Tools einer Gruppe an Mitarbeitenden einen echten Mehrwert bieten können, überwiegen die damit verbundenen Risiken der entstehenden Schatten-KI für das Unternehmen deutlich.
Sicherheitslücken und Datenpannen: Ungenehmigte Software entzieht sich dem gewohnten Security-Monitoring und erhöht die Angriffsfläche für Cyberangriffe. Laut IBM liegen die durchschnittlichen Kosten für ein Datenleck bei etwa 4,4 Millionen US-Dollar.
Compliance-Verstöße: Unkontrollierte IT-Systeme können dazu führen, dass Unternehmen unwissentlich gegen Datenschutzgesetze verstoßen, was hohe Strafen nach sich ziehen kann (z.B. unter DSGVO).
Datenchaos und inkonsistente Ergebnisse in der Data Governance: Inoffizielle Tools können zu Inkonsistenzen führen, da Mitarbeiter Daten in verschiedenen Systemen speichern, was auch die Zusammenarbeit zwischen verschiedenen Abteilungen erschwert. In autorisierten Tools hingegen können Unternehmen leichter Einfluss nehmen, ob die hinterlegten Daten aktuell sind und überflüssige Daten schnell entfernen oder austauschen. Wenn sich hingegen jeder Mitarbeitende seine eigene Wissensdatenbank aufbaut, kommt es zu fehlerhaften, inkonsistenten und nicht aktualisierten Daten.
Kosten und Ressourcenverschwendung: Mehrere Abteilungen könnten redundante Software abonnieren, was unnötige Kosten verursacht und die Effizienz beeinträchtigt.
Diese Risiken gelten sowohl für Schatten-IT im Generellen, als auch für Schatten-KI im Speziellen. Durch den breiten Trend und den Hype um KI-Anwendungen wächst allerdings auch die Risikoexposition. Eine Umfrage hat gezeigt: über die Hälfte der Mitarbeitenden in MINT-Berufen nutzt wöchentlich unautorisierte KI-Tools. Dementsprechend erweitert sich die Angriffsfläche für die Veruntreuung oder den Verlust von unternehmensinternen Daten.
Welche Branchen sind besonders anfällig für Schatten-KI?
Schatten-KI sind nicht nur Herausforderungen, die jedes Unternehmen betreffen, sondern zeigen sich besonders ausgeprägt in spezifischen Branchen, wo der Druck, entweder strenge Vorschriften einzuhalten oder schnell auf sich verändernde Anforderungen zu reagieren, besonders hoch ist. Im Folgenden schauen wir uns einige dieser Branchen im Detail an.
Hoch regulierte Branchen
In stark regulierten Sektoren wie dem Gesundheitswesen, sowie der Finanz- und Versicherungsbranche sieht sich die IT oft dem Spannungsfeld zwischen strengen Compliance-Vorgaben und dem Bedürfnis der Mitarbeitenden nach Flexibilität gegenüber. Die Anforderungen an Datenschutz und Sicherheitsstandards sind hier besonders hoch, doch oft fehlt es an agilen und benutzerfreundlichen Lösungen.
Gesundheitswesen: Pflegekräfte und Ärzte nutzen häufig inoffizielle Anwendungen, um Patientendaten zu verwalten oder medizinische Informationen auszutauschen. Dadurch entsteht das Risiko, dass sensible Patientendaten, die dem Datenschutz unterliegen, in unsicheren Umgebungen gespeichert oder über nicht genehmigte Kanäle übermittelt werden.
Finanzbranche: Mitarbeiter im Finanzsektor greifen häufig auf KI-Tools zur Datenanalyse oder zur Durchführung von Risikobewertungen zurück, ohne dass eine offizielle Genehmigung vorliegt. Diese unregulierten Technologien können die Integrität und Konsistenz kritischer finanzieller Daten gefährden.
Große, verteilte Organisationen
In globalen Unternehmen mit verschiedenen Standorten in mehreren Ländern, zum Beispiel großen Fluggesellschaften oder Versorgungsunternehmen, arbeiten Teams dezentral und stehen regelmäßig vor der Herausforderung, spezifische lokale Anforderungen für ihren Standort zu erfüllen.
Am Beispiel einer internationalen Airline lässt sich die Vielseitigkeit von Schatten-IT und -KI-Systemen, sowie deren Nutzen für Mitarbeitende an einem Standort veranschaulichen. Dazu zählen laut Netscout beispielsweise die Nutzung eigener Ticketing- oder Loyalty/Rewards-Systeme, KI-Chatbots für den Kundenservice oder Kommunikationssoftware unter den Mitarbeitenden, z.B. WhatsApp oder Signal. Mitarbeitende der Airline müssen oft schnell auf Informationen zugreifen und suchen nach unbürokratischeren Lösungen für ihre täglichen Prozesse, was sie zur Nutzung eigener Apps oder Softwarelösungen veranlasst.
Technologie- und wissensintensive Branchen
An den oben genannten Zahlen aus der MINT-Branche wird bereits deutlich, dass dieser Sektor eine hohe Anfälligkeit für die Nutzung von Schatten-IT- und Schatten-KI-Systemen aufweist. Darüber hinaus ist die Verwundbarkeit gegenüber solcher Software in Bereichen wie IT, Telekommunikation und Consulting, in denen technologisch versierte Mitarbeiter tätig sind, ebenfalls besonders hoch.
Ironischerweise gehören IT-Mitarbeiter selbst oft zu den größten Nutzern von Schatten-IT. Diese technisch versierten “Power User” neigen häufig vermehrt dazu, Tools und Anwendungen eigenmächtig auszuprobieren und setzen möglicherweise ohne offizielle Genehmigung zusätzliche Developer-Tools, unbekannte Bibliotheken oder eigene Server ein. Obwohl sie diese Tools als effizienter betrachten und der Meinung sein können, deren Gefahren und Risiken zu überblicken, bringen die entsprechenden Anwendungen gleichzeitig unentdeckte Sicherheitsrisiken mit sich.
Wie können Unternehmen Schatten-KI vermeiden?
Um Schatten-KI vorzubeugen, können Unternehmen verschiedene Strategien umsetzen und so die Sicherheit in der IT-Infrastruktur erhöhen. Dabei ist es wichtig anzumerken, dass die Implementierung dieser und ähnlicher Strategien Schatten-IT oder -KI nicht vollends verhindern kann, sondern in erster Linie zur Eindämmung der Nutzung und einer Minimierung der damit verbundenen Risiken dienen kann.
Transparenz herstellen: Ein klarer Überblick über alle eingesetzten Tools im Unternehmen kann helfen, die Nutzung unautorisierter Anwendungen oder KI-Tools zu identifizieren.
Klare Richtlinien: Eine geregelte, unternehmensinterne Policy für Schatten-IT, die Genehmigungsprozesse und Konsequenzen für ungenehmigte Nutzung festlegt, ist unerlässlich. Besonders in Hinblick auf die rasanten Entwicklungen und die steigende Beliebtheit von KI-Tools ist es wichtig, dass Unternehmen in dieser Hinsicht ihre Richtlinien anpassen.
Mitarbeitende sensibilisieren: Regelmäßige Schulungen in IT-Sicherheit und Datenschutz erhöhen das Bewusstsein für die Risiken bei allen Mitarbeitenden.
Offene Unternehmenskultur: Eine No-Blame-Kultur fördert das Offenlegen von Schatten-IT-Nutzung, wodurch die IT-Abteilung externen Lösungen konstruktiv begegnen kann. Wenn offen über Diskrepanzen zwischen verfügbaren Lösungen und tatsächlichen Anforderungen kommuniziert wird, können schneller Kompromisse gefunden werden.
Bedarf aufnehmen und Alternativen bieten: Indem Bedürfnisse ermittelt und geeignete, benutzerfreundliche Lösungen bereitgestellt werden, kann der Anreiz zur Nutzung inoffizieller Tools minimiert werden.
Schatten-KI verhindern: Lösungen für sichere KI-Nutzung im Unternehmen
Statt KI-Nutzung im Unternehmen komplett zu unterbinden, könnte es für Unternehmen viel relevanter sein, über eine Integration dessen in die interne Infrastruktur nachzudenken. Denn Untersuchungen haben gezeigt: über 80% der Mitarbeitenden sind sich bewusst, dass die Nutzung unautorisierter KI-Tools mit erheblichen Risiken verbunden sein kann, ist aber gleichzeitig nicht bereit, auf diese Tools zu verzichten.
(Quelle: https://www.sthree.com/media/v0cfkdkk/de_stem-workforce-report.pdf)
Wie könnte also eine solche Lösung aussehen, die Mitarbeitenden den Komfort leicht verfügbarer KI-Tools liefert und sich gleichzeitig nahtlos und sicher in bestehende Infrastrukturen im Unternehmen einbettet?
Mit der synsugar AI Suite sämtliche KI-Modelle sicher in einer Plattform integrieren
Bei synsugar arbeiten wir daran, genau diese Komponenten zu vereinen. In unserer AI Suite können Nutzer zwischen allen gängigen GPT-Modellen wählen, die sie bereits aus der unautorisierten Nutzung kennen - mit dem Unterschied, dass sie in unserer Software sicher und datenschutzkonform auf dem eigenen Server betrieben werden. Gleichzeitig ist unsere Lösung genau auf die Nutzung im Unternehmen zugeschnitten: wir bieten zahlreiche Integrationsmöglichkeiten, um interne Daten problemlos und sicher mit der Macht einer KI-Plattform zu verknüpfen. Dazu zählen beispielsweise Microsoft SharePoint, Website Crawling oder auch die Anbindung an Projektmanagement-Tools wie Linear, Atlassian oder Asana.
Integrierte Features wie eigene Assistenten oder visuelle Datenanalyse sorgen dafür, dass bestehende Workflows schneller erledigt werden können und mehr Zeit für wichtige Aufgaben bleibt. Für eine nahtlose Zusammenarbeit können Chats, Assistenten oder Prompts problemlos im ganzen Team oder mit einzelnen Mitarbeitenden geteilt werden.
