Es passiert leise, mit guter Absicht. Jemand will schneller eine E-Mail formulieren, ein Angebot zusammenfassen, einen Vertrag verständlich machen – und kopiert den Text eben in ChatGPT. Niemand will Schaden anrichten. Trotzdem verlässt in genau diesem Moment vertrauliche Information unbemerkt das Unternehmen. Das nennt man Schatten-KI.
Studien zeichnen ein deutliches Bild: Über 80 Prozent der Beschäftigten nutzen KI-Werkzeuge, die ihr Arbeitgeber nicht freigegeben hat. ChatGPT ist dabei mit großem Abstand das beliebteste. Und jedes fünfte Unternehmen hatte bereits einen Sicherheitsvorfall, der mit ungenehmigter KI zusammenhängt.
Warum das mehr ist als ein Bauchgefühl
Wer Text in ein frei zugängliches KI-Tool gibt, gibt die Kontrolle darüber ab. Die Daten liegen auf fremden Servern, oft außerhalb Europas, manchmal als Trainingsmaterial. Was einmal dort ist, holt niemand zurück. Bekanntestes Beispiel: Ein großer Elektronikkonzern verbot ChatGPT, nachdem Ingenieure vertrauliche Chip-Designs hineinkopiert hatten.
Auch wirtschaftlich schlägt das durch. Sicherheitsvorfälle, an denen Schatten-KI beteiligt ist, kosten Unternehmen im Schnitt deutlich mehr als andere – Datenschutzverstöße, Geheimnisverrat und Aufarbeitung summieren sich.
Was Sie in ein offenes KI-Tool tippen,
gehört nicht mehr nur Ihnen.
Warum Verbote nicht funktionieren
Die erste Reaktion vieler ist ein Verbot. Es scheitert zuverlässig. Die Werkzeuge sind zu nützlich, der Druck im Alltag zu groß. Ein Verbot verlagert die Nutzung nur weiter in den Schatten, aufs private Handy, vorbei an jeder Kontrolle. Das Problem wird dadurch nicht kleiner, sondern unsichtbar.
Was stattdessen wirkt
Der bessere Weg ist nicht „nein“, sondern „so“. Drei Bausteine greifen ineinander:
- Eine sichere Alternative anbieten — etwa eine geschäftlich lizenzierte KI, bei der Eingaben nicht zum Training verwendet werden und die Daten geschützt bleiben.
- Klare, kurze Regeln — was darf hinein, was nie (Kundendaten, Verträge, Zugangsdaten, Quellcode).
- Mitarbeitende mitnehmen — kurz erklären, warum es zählt. Awareness wirkt besser als jedes technische Verbot.
Eine geschäftlich betreute KI-Umgebung – etwa innerhalb einer sauber konfigurierten Microsoft-365-Welt – gibt dem Team die Geschwindigkeit, die es sucht, ohne die Daten preiszugeben. Begleitet von Security Awareness wird aus einem Risiko ein kontrollierter Vorteil.
KI im Unternehmen ist keine Frage von ob. Sondern von wie kontrolliert.
Quellen: Branchenanalysen zu Shadow AI 2025/2026 (u. a. IBM, Palo Alto Networks, Netwrix); öffentlich berichtete Vorfälle.