Blog

Schatten-KI im Unternehmen: Wenn KI ohne Kontrolle zum Risiko wird

Schatten-KI erkennen und kontrollieren: Risiken für Datenschutz, Compliance und Security verstehen und mit Microsoft Purview, Defender & klarer KI-Governance sicher steuern.
12. Mai 2026
Melih Özmen

Consultant

Künstliche Intelligenz ist aus dem modernen Arbeitsalltag kaum noch wegzudenken. Aktuelle Statistiken zeigen, dass sich die Nutzung von KI in einzelnen Unternehmensbereichen innerhalb weniger Jahre vervielfacht, teilweise sogar verzehnfacht hat. Ob bei der Textgenerierung, Code-Vervollständigung oder Datenanalyse: KI-Tools tragen maßgeblich zur Steigerung von Produktivität und Effizienz bei. Gleichzeitig bringt diese Entwicklung aber auch neue Risiken mit sich. Dazu zählt insbesondere die sogenannte Schatten-KI mit schwerwiegenden Auswirkungen auf Datensicherheit, Compliance und Geschäftsethik. Ein Thema, das für IT-Administrator*innen und IT‑Verantwortliche aufgrund der rasanten Verbreitung von KI im Arbeitsalltag immer wichtiger wird.

Was ist Schatten-KI?

Der Begriff „Schatten-KI“ ist in direkter Anlehnung an den etablierten Begriff „Schatten-IT“ entstanden. Mitarbeitende nutzen KI‑Tools ohne das Wissen oder die Genehmigung der IT-Abteilung.

Zu den Tools, die häufig ohne ausreichende Transparenz, Governance und Kontrollmechanismen seitens der IT‑Abteilung eingesetzt werden, zählen unter anderem:

  • Öffentliche KI-Chatbots, z. B. ChatGPT und Claude, die für Text-, Code- oder Datenanalysen genutzt werden
  • Browsererweiterungen mit KI-Funktionen, z. B. ChatGPT Browser Extensions und Grammarly, die direkt auf Web-Inhalte zugreifen
  • KI-gestützte SaaS-Dienste ohne Freigabe der IT-Abteilung, z. B. Notion AI und GitHub Copilot mit privatem Account
  • Eigene KI-Skripte und API-Zugriffe mit privaten Accounts

Warum ist Schatten-KI ein kritisches Thema?

Schatten-KI ist kein Randphänomen, sondern die direkte Folge der schnellen KI-Adoption. Die Anzahl verfügbarer KI‑Tools wächst exponentiell und stellt Unternehmen vor große Herausforderungen. Die Vielfalt an Lösungen erschwert eine einheitliche Standardisierung und begünstigt den Einsatz nicht genehmigter Tools.

Hinzu kommt, dass viele Mitarbeitende ihre privaten KI‑Accounts in den beruflichen Kontext einbringen. Ein typisches Beispiel ist ein privates ChatGPT ProAbonnement, das für berufliche Zwecke genutzt wird, um Zugriff auf erweiterte Funktionen zu erhalten. Die Grenzen zwischen privater und geschäftlicher Nutzung verschwimmen – mit erheblichen Risiken für Datenschutz und Compliance.

Ein weiterer kritischer Faktor ist, dass in vielen Unternehmen bislang keine klare KI‑Governance-Strategie vorhanden ist. Fehlende Richtlinien, Kontrollen und technische Schutzmaßnahmen ermöglichen die unkontrollierte Nutzung von KI‑Tools. Das Risiko von Data Leakage und unautorisierten Datenverarbeitungen steigt erheblich an.

Parallel dazu wächst der Druck durch regulatorische Anforderungen wie NIS2 und den EU AI Act. Sie fordern explizit mehr Transparenz, Kontrolle und Risikobewertung beim Einsatz von KI.

Studien von Microsoft zeigen zudem, dass genau diese unregulierte Nutzung Unternehmen und öffentliche Einrichtungen zunehmend verwundbar macht.

Eine von Microsoft in Auftrag gegebene Umfrage zeigt, dass der Einsatz nicht freigegebener KI‑Tools, also Schatten-KI, in Unternehmen und insbesondere in öffentlichen Einrichtungen weit verbreitet ist. Die Ergebnisse verdeutlichen, dass fehlende Governance, mangelnde Transparenz und unzureichende Schutzmaßnahmen die Angriffsfläche deutlich vergrößern. Dadurch werden Organisationen zunehmend anfälliger für Sicherheitsvorfälle, Datenabflüsse und Compliance‑Verstöße.

 

Die zentralen Risiken der Schatten-KI

1. Datenabfluss in unkontrollierte Datenräume
  • Eingaben in KI‑Tools können gespeichert oder weiterverarbeitet werden
  • Sensible Unternehmens‑ oder Personendaten verlassen kontrollierte Umgebungen
  • Verlust von geistigem Eigentum und vertraulichen Informationen
2. Sicherheitslücken
    • Integration unsicherer oder von Drittanbietern bereitgestellter APIs über KI-Tools
    • Fehlende Transparenz über Trainings- und Verarbeitungsmechanismen
    • Potenzielles Einfallstor für Malware und Datenmissbrauch
3. DSGVO- und Compliance-Risiken
  • Nutzung von KI-Tools, die nicht DSGVO-konform sind
  • Speicherung oder Verarbeitung von Daten außerhalb der EU
4. Fehlende Governance und Nachvollziehbarkeit
  • Keine zentrale Übersicht über KI-Nutzung
  • Keine Audit- oder Prüfpfade
  • Erschwerte Incident Response im Ernstfall

Lösungsansätze und Best Practices

1. Transparenz schaffen

Der erste und wichtigste Schritt im Umgang mit Schatten‑KI ist, Transparenz zu schaffen. Unternehmen müssen verstehen, welche KI‑Tools eingesetzt werden, von welchen User*innen und über welche Wege.

Hierfür eignen sich klassische, netzwerkbasierte Sicherheitslösungen wie Proxy‑Server, Secure Web Gateways oder Plattformen wie Zscaler, um KI‑bezogenen Traffic zu identifizieren und zu klassifizieren.

Innerhalb des Microsoft‑Ökosystems gibt es mehrere integrierte Optionen, um die KI‑Nutzung unternehmensweit sichtbar zu machen:

  • Microsoft Defender for Cloud Apps (MDCA) bietet mit Cloud Discovery die Möglichkeit, von Unternehmensgeräten genutzte KI-Services zu identifizieren und zu bewerten.
  • Die Microsoft Defender Suite wertet zusätzlich Endgerätesignale aus und hilft dabei, KI‑Traffic direkt auf den Managed Devices zu identifizieren.
  • Ergänzend bieten Microsoft Shadow AI Discovery sowie Microsoft Entra Internet Access erweiterte Application Insights und Analytics, die eine detaillierte Analyse der Nutzung von GenAI und Cloud‑Apps ermöglichen.

Ziel dieser Phase ist es, ein vollständiges Lagebild zu gewinnen. Es geht nicht darum, den Einsatz von KI unmittelbar zu blockieren.

2. Governance etablieren

Auf Basis der gewonnenen Transparenz gilt es nun, eine klare KI‑Governance zu etablieren. Dazu gehört die Definition einer unternehmensweiten KI‑Strategie, die sowohl Innovation als auch Sicherheit berücksichtigt.

Zentrale Elemente sind:

  • Definition genehmigter KI‑Tools
  • Einführung von Allow‑ und Block‑Listen für KI‑Anwendungen
  • Klare Richtlinien zur Nutzung von KI und zum Umgang mit Daten
  • Regelmäßige Überprüfung und Anpassung der Vorgaben

Eine funktionierende Governance verhindert Wildwuchs, ohne Mitarbeitende in ihrer Produktivität unnötig einzuschränken.

3. Daten wirksam schützen

Der Schutz sensibler Unternehmensdaten ist ein entscheidender Faktor für die sichere Nutzung von KI. Microsoft stellt hierfür mit der Microsoft Purview Suite umfangreiche Funktionen bereit, die den Datenabfluss verhindern und regulatorische Anforderungen einhalten.

Dazu gehören unter anderem:

  • Data Loss Prevention (DLP)‑Richtlinien für Microsoft Copilot, Enterprise‑KI sowie Drittanbieter‑KI, um den Abfluss sensibler Daten zu verhindern
  • Datenklassifizierung und Sensitivity Labels, um Schutzmaßnahmen an den Daten selbst zu verankern
  • Endpoint DLP, um die Verarbeitung und Weitergabe sensibler Daten in KI‑Tools zu kontrollieren

Ergänzende Funktionen wie Insider Risk Management, Communication Compliance und Data Security Posture Management (DSPM) unterstützen dabei, riskante KI‑Nutzungen frühzeitig zu erkennen und Compliance‑Anforderungen konsequent umzusetzen.

Strukturierte Schatten-KI-Strategie nach Microsoft

1. Ermittlung von KI‑Apps

Im ersten Schritt geht es darum, die KI‑Nutzung systematisch zu erkennen und zu überwachen:

  • AI Discovery und Monitoring mit Microsoft Defender for Cloud Apps
  • DSPM für KI, um KI‑Interaktionen mit sensiblen Daten zu identifizieren
  • Insider Risk Management, um potenziell riskante oder regelwidrige KI‑Nutzung frühzeitig zu erkennen

Diese Phase schafft die Grundlage für fundierte Entscheidungen.

2. Blockieren nicht autorisierter KI‑Apps

Sobald Klarheit über die genutzten Tools besteht, können nicht genehmigte KI‑Anwendungen gezielt eingeschränkt oder blockiert werden:

  • MDCA, um den Zugriff auf nicht autorisierte KI‑Dienste zu blockieren
  • Microsoft Entra Internet Access für rollen- oder gruppenbasierte Zugriffskontrollen
  • Microsoft Intune, um die Installation unerlaubter KI‑Apps auf Managed Devices zu verhindern

Auf diese Weise lässt sich Schatten-KI wirksam reduzieren.

3. Schutz sensibler Daten bei autorisierten KI‑Apps

Auch bei freigegebenen KI‑Tools muss sichergestellt sein, dass sensible Daten geschützt bleiben:

  • Einsatz von Sensitivity Labels, um vertrauliche Informationen zu klassifizieren und schützen
  • Endpoint DLP, um ungewollte Datenverarbeitung oder -weitergabe durch KI‑Anwendungen zu verhindern

Der Fokus liegt hier auf kontrollierter Nutzung statt pauschaler Einschränkung.

4. Steuerung und Nachvollziehbarkeit

Im letzten Schritt wird die Nutzung von KI langfristig gesteuert und revisionssicher dokumentiert:

  • Communication Compliance, um Fehlverhalten oder Regelverstöße im KI‑Kontext zu erkennen
  • Data Lifecycle Management, um beispielsweise ältere Prompts aufzubewahren oder zu löschen
  • eDiscovery, um KI‑Interaktionen im Rahmen von Audits oder Untersuchungen zu analysieren

Diese Maßnahmen sorgen für Transparenz, Nachvollziehbarkeit und regulatorische Sicherheit.

Wie wir Unternehmen bei der Einführung von KI-Sicherheit und Governance unterstützen

Die Einführung einer wirksamen Schatten-KI‑Strategie erfordert mehr als einzelne technische Maßnahmen. Transparenz, Governance und Datensicherheit müssen ganzheitlich gedacht und in bestehende Prozesse integriert werden. Genau dabei unterstützen wir Unternehmen mit gezielten Beratungs‑ und Enablement‑Formaten.

Ein zentraler Baustein sind die Skaylink-Workshops rund um die Microsoft Purview Suite, in denen wir gemeinsam:

  • bestehende Datenbestände und sensible Informationen identifizieren,
  • Datenklassifizierung und Sensitivity Labels sinnvoll etablieren,
  • DLP‑Szenarien für Copilot, Enterprise‑KI und Drittanbieter‑KI entwerfen,
  • Monitoring- und Auditfähigkeit herstellen sowie
  • Compliance‑ und Governance‑Anforderungen praxisnah umsetzen.

Ergänzend bieten wir Copilot AI Security Assessments an, um Risiken frühzeitig zu erkennen und eine sichere, kontrollierte Nutzung von KI zu ermöglichen. Im Fokus stehen dabei sowohl technische Aspekte als auch organisatorische Fragestellungen. Unter anderem werden Rollen, Richtlinien und Verantwortlichkeiten sowie die Strategie für den Einsatz von KI-Agenten und deren Governance thematisiert.

Im Rahmen von Data Security Engagements helfen wir:

  • Schatten‑KI sichtbar zu machen,
  • eine nachhaltige KI‑Strategie zu entwickeln,
  • Governance‑Strukturen aufzubauen und
  • regulatorische Anforderungen wie den EU AI Act, die DSGVO und NIS2 zu adressieren.

Das Ziel besteht darin, Schatten‑KI nicht nur kurzfristig einzudämmen, sondern dauerhaft kontrollierte, sichere und Compliance-konforme KI‑Szenarien zu schaffen. Nur so lässt sich KI im Unternehmen produktiv einsetzen, ohne Sicherheit und Kontrolle zu verlieren.

Das könnte Ihnen auch gefallen

  • Blog
Schatten-KI im Unternehmen: Wenn KI ohne Kontrolle zum Risiko wird
Schatten-KI erkennen und kontrollieren: Risiken für Datenschutz, Compliance und Security verstehen und mit Microsoft Purview, Defender & klarer KI-Governance sicher steuern.
Weiterlesen
  • Blog
Data Security wird zur Steuerzentrale für KI
Microsoft Purview Updates Mai 2026: DSPM, DLP und DSI mit KI-basierter Analyse, Automatisierung und Governance. So steuern Sie Data Security und Copilot-Risiken zentral.
Weiterlesen
  • Presse
Skaylink wird Anthropic Authorized Reseller für Amazon Bedrock
KI für Unternehmen: Sicher, skalierbar und aus einer Hand
Weiterlesen