Blog
KI-GovernanceComplianceDatenschutzSchatten-ITEU AI Act

Schatten-KI im Unternehmen: 98% haben das Problem — die wenigsten wissen es

98% der Organisationen haben unautorisierte KI-Nutzung. 57% der Mitarbeitenden verstecken ihren KI-Einsatz. Durchschnittlich $670.000 hoehere Breach-Kosten. Was Schatten-KI ist, warum sie gefaehrlich ist — und wie Unternehmen mit klarer Governance gegensteuern.

AutorGiuliano FalcoFounder, EconLab AI
Datum
Lesezeit12 min
01

Schatten-KI: Groesser als Schatten-IT je war

98% der Organisationen haben Mitarbeitende die unautorisierte KI-Tools nutzen — laut Vectra AI und Varonis. Nicht 98% nutzen KI. 98% haben KI-Nutzung die sie nicht kennen, nicht kontrollieren und nicht auditieren koennen.

Schatten-IT bedeutete: Mitarbeitende laden Dropbox herunter ohne IT-Freigabe. Schatten-KI bedeutet: Mitarbeitende fuettern proprietaere Daten in Consumer-AI-Tools, generieren inkonsistente Outputs ueber Teams hinweg und treffen Geschaeftsentscheidungen mit null Aufsicht.

Die Risikooberflaeche ist breiter, die Konsequenzen schneller und die Sichtbarkeitsluecke nahezu total.

Die Zahlen sind alarmierend:

  • 57% der Mitarbeitenden geben zu, ihren KI-Einsatz vor dem Arbeitgeber zu verstecken (Business Insider, 2025)
  • 63% der Unternehmen haben keinerlei KI-Nutzungsrichtlinien (2025)
  • 97% der KI-bezogenen Breaches hatten keine angemessenen KI-Zugriffskontrollen
  • $670.000 hoehere Breach-Kosten bei Organisationen mit hohem Schatten-KI-Anteil — ein Aufschlag von 16%
  • 8 von 10 Bueroangestellten nutzen inzwischen oeffentliche KI, oft ohne Wissen der IT
02

Wie Schatten-KI sich manifestiert: Drei Muster

Muster 1: Unautorisierte Tool-Nutzung

Mitarbeitende nutzen Consumer-AI-Tools — ChatGPT, Claude, Gemini — fuer Arbeitsaufgaben ohne IT-Wissen oder Freigabe. Sie kopieren Kundendaten in Prompts, laden interne Dokumente zur Zusammenfassung hoch und generieren kundenseitige Inhalte ohne jede Qualitaetskontrolle.

Das Risiko: Sensible Daten verlassen die Organisation ueber Consumer-AI-APIs. Kein Audit-Trail, keine Kontrolle ueber die Datenverarbeitung.

Muster 2: Data Leakage durch Consumer-KI

Wenn ein Mitarbeiter eine Quartalsfinanzuebersicht in ChatGPT einfuegt um "die Sprache zu verbessern", sind diese Daten ausserhalb des Sicherheitsperimeters. Wenn ein Entwickler einen kostenlosen Coding-Assistenten mit der proprietaeren Codebasis nutzt, wird dieser Code von einem Drittanbieter-Modell verarbeitet.

Der Fall Samsung (2023): Ein Samsung-Mitarbeiter gab proprietaeren Quellcode in ChatGPT ein um ein Programmierproblem zu loesen. Samsung verbot daraufhin allen Mitarbeitenden die Nutzung von ChatGPT und aehnlichen Tools. Das war ein Unternehmen das mutig genug war, es offenzulegen. Multiplizieren Sie das ueber jedes Unternehmen und jedes Team das ungepruefte KI-Tools nutzt.

Muster 3: Qualitaetsinkonsistenz

Jeder Mitarbeitende nutzt KI anders. Manche verwenden sophistizierte Prompting-Techniken. Andere fuegen rohe Anfragen ein. Manche verifizieren Outputs rigoroes. Andere vertrauen blind auf das was das Modell generiert.

Das Ergebnis: Zwei Entwickler im selben Team produzieren unterschiedliche Code-Qualitaet. Zwei Marketing-Manager erstellen Content der voellig unterschiedlich klingt. Zwei Analysten ziehen unterschiedliche Schlussfolgerungen aus denselben Daten — weil sie unterschiedliche KI-Tools mit unterschiedlichen Prompts und unterschiedlichen Verifikationsstandards nutzen.

03

Die Risiken im Detail: Datenschutz, Sicherheit, Compliance

Datenschutz

Unternehmen haben oft keinen Einblick, welche Daten ueber Schatten-KI-Tools an externe Plattformen weitergegeben werden. Die DSGVO verlangt strikte Kontrollen ueber die Verwendung und Speicherung personenbezogener Daten. Wenn Mitarbeitende Schatten-KI nutzen, kann es schwierig bis unmoeglich sein, diese Anforderungen einzuhalten — die Daten werden moeglicherweise in Regionen oder auf Servern verarbeitet, die nicht den Datenschutzvorgaben entsprechen.

Cyber-Sicherheit

Nicht autorisierte KI-Tools koennen Schwachstellen in der Sicherheitsarchitektur schaffen. Da diese Tools nicht in das offizielle IT-System integriert sind, fehlen Sicherheitsvorkehrungen wie Verschluesselung, Firewalls oder Zugriffsrechte. IBM berichtet: Die durchschnittlichen Kosten eines Datenbruchs lagen 2025 bei $4,44 Millionen global — Organisationen mit hohem Schatten-KI-Anteil zahlen im Schnitt $670.000 mehr.

Compliance und EU AI Act

Mit dem EU AI Act (Enforcement ab August 2026) kommen neue Anforderungen: Transparenzpflichten, Dokumentation, Risikomanagement. Wenn Mitarbeitende unkontrolliert KI-Systeme einsetzen, kann das Unternehmen seine eigenen KI-Systeme nicht inventarisieren — eine Grundvoraussetzung fuer jede AI-Act-Compliance. Strafen: bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes.

04

Warum traditionelle Governance gegen Schatten-KI versagt

Die meisten Unternehmen reagieren auf Schatten-KI wie sie auf Schatten-IT reagiert haben: Verbote. "Keine unautorisierten KI-Tools." Das funktioniert nicht — aus drei Gruenden:

1. KI ist nicht blockierbar wie eine App

Schatten-IT konnte man mit Firewalls und App-Whitelisting bekaempfen. Schatten-KI laeuft ueber Browser-Tabs, persoenliche E-Mail-Konten und mobile Apps. Bis 2026 werden 70% der Mitarbeiter-Interaktionen mit KI ueber Features in bereits genehmigten SaaS-Anwendungen stattfinden — die Grenze zwischen "erlaubt" und "nicht erlaubt" verschwimmt.

2. Verbote erzeugen Verstecken, nicht Compliance

57% der Mitarbeitenden verstecken ihren KI-Einsatz aktiv. Ein Verbot macht das Problem unsichtbar, nicht kleiner. Die produktivsten Mitarbeitenden werden KI weiter nutzen — nur ohne Aufsicht, ohne Standards, ohne Audit-Trail.

3. Die Geschwindigkeit ist zu hoch

Neue KI-Tools erscheinen woechentlich. Genehmigungsprozesse die Monate dauern sind nicht kompatibel mit einer Technologie die sich woechentlich aendert.

05

KI-Governance die funktioniert: 5 Schritte

Schritt 1: KI-Inventar erstellen

Bevor Sie regulieren koennen, muessen Sie wissen was genutzt wird. Fuehren Sie ein KI-Audit durch: Welche KI-Tools werden in welchen Abteilungen eingesetzt? Welche Daten fliessen hinein? Network-Monitoring-Tools koennen ungewoehnliche Datenstroemme zu KI-Anbietern identifizieren.

Schritt 2: Klare KI-Nutzungsrichtlinien etablieren

Nicht "KI verboten" — sondern: "KI erlaubt unter diesen Bedingungen." Definieren Sie welche Tools erlaubt sind, welche Daten eingegeben werden duerfen und welche nicht, und welche Prozesse fuer die Einfuehrung neuer KI-Tools gelten.

Schritt 3: Genehmigte Alternativen bereitstellen

Mitarbeitende nutzen Schatten-KI weil die offiziellen Alternativen fehlen oder zu umstaendlich sind. Stellen Sie Enterprise-Versionen mit Datenverarbeitungsvertraegen (DPA) bereit: Azure OpenAI, Anthropic Enterprise, On-Premise-Deployments.

Schritt 4: Schulungen statt Verbote

Schaerfen Sie das Bewusstsein fuer Risiken — aber auch fuer Chancen. Mitarbeitende die verstehen warum bestimmte Daten nicht in Consumer-KI gehoeren, handeln verantwortungsvoller als solche denen einfach "Nein" gesagt wird.

Schritt 5: Regelmaessige Audits und Monitoring

KI-Governance ist kein Projekt mit Startdatum und Enddatum. Regelmaessige Audits der Softwarenutzung, Netzwerkueberwachung und anonymisierte Umfragen zur KI-Nutzung halten das Bild aktuell.

06

Der KI-Manager: Eine neue Rolle entsteht

Die Komplexitaet der Schatten-KI-Problematik hat eine neue Rolle geschaffen: den KI-Manager (oder Chief AI Officer). Diese Person — intern oder extern — verantwortet:

  • KI-Strategie und -Roadmap
  • Vendor-Evaluation und -Auswahl
  • Compliance-Monitoring (DSGVO, EU AI Act)
  • Schatten-KI-Erkennung und -Eindaemmung
  • Schulungen und Awareness-Programme
  • Reporting an Geschaeftsfuehrung und Aufsichtsrat

Die meisten mittelstaendischen Unternehmen haben diese Rolle noch nicht besetzt — und werden kurzfristig keine qualifizierte Person finden. Deshalb bieten wir bei EconLab AI diese Funktion als externen Service an: KI-Manager as a Service. Dieselbe Governance-Struktur, ohne den Recruiting-Aufwand.

07

Unsere Erfahrung: Warum Audit-Hintergrund hier zaehlt

Schatten-KI ist im Kern ein Audit-Problem: Welche Systeme laufen? Welche Daten fliessen wohin? Wer hat Zugang? Wer hat genehmigt?

Mit sieben Jahren Wirtschaftspruefung und IT-Audit haben wir genau diese Fragen hundertfach gestellt — in einer Welt die noch keine KI kannte. Die Methodik ist identisch: Inventarisierung, Risikobewertung, Kontrollimplementierung, laufende Ueberwachung.

Der Unterschied: Wir verstehen nicht nur die Governance-Seite, sondern auch die Technologie. Wir koennen beurteilen ob ein KI-Tool tatsaechlich Daten an externe Server sendet, ob ein On-Premise-Deployment wirklich lokal bleibt, und welche technischen Massnahmen welche Risiken tatsaechlich adressieren — nicht nur auf dem Papier.

Quellen

  • Vectra AI (2025): 98% of Organizations Have Unsanctioned AI Use
  • Business Insider (2025): 57% of Employees Hide AI Usage
  • IBM (2025): Cost of a Data Breach Report — $4.44M global average
  • Programs.com (2026): Shadow AI Statistics
  • Neomanex (2026): Shadow AI: 98% of Organizations
  • Samsung Case (2023): Proprietary Source Code Leak via ChatGPT
Über den Autor

Giuliano Falco

Founder, EconLab AI

7 Jahre Wirtschaftsprüfung und IT-Audit. Jetzt baut er mit Agentic Coding die nächste Generation von Audit- und Enterprise-Software.

Bereit für den nächsten Schritt?

Wir beraten zu KI-Strategie, EU AI Act und Agentic Coding.

Gespräch vereinbaren