Mit der zunehmenden Verbreitung von künstlicher Intelligenz nimmt auch der unkontrollierte Einsatz dieser Technologie in Unternehmen zu. In seinem Kommentar erklärt Markus Ehrenmann, CTO bei Open Systems, wie diesem Problem der Schatten-KI entgegengewirkt werden kann:
Wer glaubt, dass das KI-Zeitalter nur positive Überraschungen parat hat, irrt. Denn der unkontrollierte Einsatz von KI-Tools außerhalb formeller Governance-Strukturen, die sogenannte Schatten-KI, verbreitet sich sogar noch schneller als das seinerzeit bei der Schatten-IT der Fall war. Kein Wunder, denn moderne KI ist leistungsstark, benutzerfreundlich und nahezu überall verfügbar. Ob als browserbasierter Chatbot oder nativ in alltägliche Produktivsoftware implementiert, geben KI-Funktionen Empfehlungen ab – beispielsweise für die Netzwerkkonfiguration – oder schreiben den Quelltext für IaC (Infrastructure as Code)-Systeme gleich selbst. Doch geprüft und hinterfragt werden die Ergebnisse viel zu selten. Dadurch sind die digitalen Assistenten bzw. das Wirken der KI für Cybersecurity- und Compliance-Teams in vielen Fällen komplett unsichtbar. Auch welche Daten User der Schatten-KI gewollt oder unbewusst zur Verfügung stellen, ist kaum nachvollziehbar. Ohne klares Management können über diese Tools sensible Daten nicht nur an die KI-Anbieter selbst, sondern auch an unbefugte Dritte gelangen. So unterläuft KI regulatorische Vorgaben und untergraben das Vertrauen in Unternehmenssysteme.
Bewussten Umgang mit KI fördern
Ein pauschales Verbot von KI ist sicherlich keine Option. Dafür ist sie zu hilfreich und ein zu wichtiger Faktor im Wettbewerb. Vielmehr sollten Unternehmen den bewussten und sicheren Umgang mit KI fördern. Dazu gehört, Mitarbeitende mit den richtigen Werkzeugen und dem notwendigen Wissen auszustatten und den Einsatz von künstlicher Intelligenz durchdacht zu steuern. Es bedarf daher gradueller Richtlinien, die berücksichtigen, wie von Mitarbeitenden auf KI-Funktionalität zugegriffen wird – also online und browserbasiert, in lokale Software eingebettet oder über ein eigenständig für das Unternehmen entwickelte System. Auch wo und von wem Daten verarbeitet und gespeichert werden, muss transparent sein und sich in den Richtlinien widerspiegeln. Unternehmen müssen zudem festlegen, ob und welcher Input an LLMs gesendet werden darf. Und auch die Policy muss abbilden, ob eine Prüfung im Hinblick auf Compliance und vertragliche Rahmenbedingungen erfolgt ist. Auf Basis dieser Kriterien können Unternehmen klare Nutzungsgrenzen definieren – von vertrauenswürdigen und geprüften KI-Systemen bis hin zu risikoanfälligen Tools, die Mitarbeitende nur sehr eingeschränkt nutzen dürfen.
Auch technisch absichern
Neben einer klaren Governance dürfen auch technische Schutzmaßnahmen nicht vernachlässigt werden. Unternehmen sollten eigene, freigegebene KI-Tools bereitstellen, die sicher sind und eine kontrollierte Datenverarbeitung ermöglichen. Zusätzlich sollten Sicherheitssysteme wie CASB (Cloud Access Security Broker), SWG (Secure Web Gateway) und DLP (Data Loss Prevention) eingesetzt werden, um zu erkennen und zu verhindern, dass Mitarbeitende unerlaubte oder nicht freigegebene KI-Dienste nutzen. Schließlich ist es empfehlenswert, sensible Daten bereits vor der Verarbeitung durch KI-Systeme technisch zu schützen – etwa durch Maskierung, Anonymisierung oder andere Formen der Datenvorverarbeitung, um unbeabsichtigte Datenabflüsse zu vermeiden.
Wichtig ist, dass es bei all diesen Erwägungen nicht um übermäßige Bürokratie und Restriktionen geht, sondern darum, Innovation skalierbar und sicher zu gestalten. In diesem Zusammenhang ist der Faktor Mensch unverzichtbar und kritische Prozesse müssen weiterhin in menschlicher Verantwortung bleiben – unterstützt von, aber nicht ersetzt durch KI. Dieser Human-in-the-Loop-Ansatz gewährleistet Verantwortlichkeit, reduziert Risiken und schafft langfristiges Vertrauen. KI wird die Zukunft von Unternehmen prägen. Aber ob sie dabei Systeme stärkt oder schwächt, hängt davon ab, wie bewusst und verantwortungsvoll sie heute eingesetzt wird.
