Schatten-KI im Mittelstand: Wenn Mitarbeitende KI heimlich nutzen
Künstliche Intelligenz ist im Büroalltag angekommen. Mitarbeitende lassen sich E-Mails formulieren, Texte zusammenfassen oder Tabellen auswerten. Das Problem: Vieles davon geschieht ohne Wissen der Geschäftsführung oder der IT, über kostenlose Chatbots und Browser-Erweiterungen, die niemand geprüft oder freigegeben hat. Für dieses Phänomen hat sich der Begriff Schatten-KI etabliert. Was zunächst nach harmloser Produktivität aussieht, kann sich für kleine und mittlere Unternehmen schnell zu einem Datenschutz- und Sicherheitsproblem entwickeln.
Was ist Schatten-KI?
Der Begriff Schatten-KI (englisch Shadow AI) leitet sich von der Schatten-IT ab. Gemeint ist der nicht genehmigte, unkontrollierte Einsatz von KI-Systemen und -Werkzeugen im Unternehmen, also der Gebrauch von Text- und Bildgeneratoren oder Chatbots außerhalb der internen Richtlinien, ohne dass IT, Sicherheitsverantwortliche oder der Datenschutz davon wissen. So beschreibt es das Fachportal Security-Insider in seiner Begriffserklärung.
Konkret heißt das: Eine Mitarbeiterin kopiert eine Kundenliste in einen kostenlosen Online-Übersetzer mit KI, ein Vertriebsmitarbeiter lädt einen Vertragsentwurf in einen Chatbot, um ihn „verständlicher" zu machen. In beiden Fällen verlassen vertrauliche Daten unkontrolliert das Unternehmen.
Warum Schatten-KI gerade KMU trifft
In großen Konzernen gibt es Sicherheitsteams, die den Datenverkehr überwachen. Im Mittelstand fehlen oft die Ressourcen, um zu erkennen, welche Dienste die Belegschaft tatsächlich nutzt. Die Hürde ist niedrig: Viele KI-Tools sind kostenlos, ohne Installation im Browser nutzbar und liefern sofort Ergebnisse. Genau das macht sie attraktiv, aber auch schwer kontrollierbar.
Hinzu kommt die rechtliche Dimension. Werden personenbezogene Daten in einen KI-Dienst eingegeben, dessen Server außerhalb der EU stehen und dessen Eingaben womöglich zum Training verwendet werden, kann das einen Verstoß gegen die DSGVO darstellen. Auch Geschäftsgeheimnisse, Quellcode oder Kalkulationen können so unwiderruflich abfließen.
Was die Zahlen sagen
Wie groß das Risiko ist, zeigt der „Cost of a Data Breach Report 2025" von IBM, für den das Ponemon Institute weltweit 600 Organisationen untersucht hat. Demnach war Schatten-KI bei jedem fünften Unternehmen (20 Prozent) an einem Sicherheitsvorfall beteiligt. Solche Vorfälle verursachten im Schnitt rund 670.000 US-Dollar an Zusatzkosten gegenüber Datenpannen ohne Schatten-KI. Besonders deutlich: Nur 37 Prozent der Organisationen verfügten über Richtlinien, um KI-Nutzung zu steuern oder Schatten-KI überhaupt zu erkennen. Bei den Unternehmen, in denen KI-Anwendungen kompromittiert wurden, fehlten zudem in 97 Prozent der Fälle angemessene Zugriffskontrollen.
Vier Schritte, mit denen Sie die Kontrolle behalten
1. Klare Richtlinie schaffen. Legen Sie schriftlich fest, welche KI-Dienste erlaubt sind und welche Daten niemals eingegeben werden dürfen, etwa Kunden- oder Personaldaten. 2. Eine sichere Alternative anbieten. Wer ein freigegebenes, datenschutzkonformes Werkzeug bereitstellt, nimmt der Schatten-KI den Reiz. Innerhalb von Microsoft 365 lässt sich das mit den passenden Lizenzen geregelt umsetzen. 3. Mitarbeitende sensibilisieren. Viele handeln nicht aus Böswilligkeit, sondern aus Unwissenheit. Kurze Schulungen helfen mehr als Verbote. 4. Überblick verschaffen. Prüfen Sie, welche Dienste tatsächlich genutzt werden, und steuern Sie Zugriffe technisch.
Einen guten Einstieg in den sinnvollen KI-Einsatz beschreiben wir in unserem Beitrag KI im Arbeitsalltag für kleine Unternehmen. Wie Sie Microsoft 365 datenschutzkonform aufstellen, lesen Sie auf unserer Seite zu Microsoft 365.
Häufige Fragen
Ist die Nutzung von ChatGPT im Unternehmen verboten?
Nein. Verboten ist sie nicht grundsätzlich. Problematisch wird es, wenn vertrauliche oder personenbezogene Daten ohne Freigabe und ohne geprüfte Vertragsgrundlage eingegeben werden. Mit einer klaren Richtlinie und einem freigegebenen Werkzeug lässt sich KI sicher nutzen.
Woran erkenne ich Schatten-KI in meinem Betrieb?
Häufig an Browser-Erweiterungen, privaten Accounts bei KI-Diensten oder daran, dass Texte plötzlich auffällig „glatt" wirken. Einen verlässlichen Überblick liefert eine technische Auswertung der genutzten Dienste.
Reicht ein Verbot per E-Mail aus?
Selten. Verbote ohne Alternative führen meist dazu, dass die Nutzung in den Untergrund wandert. Wirksamer ist die Kombination aus klarer Regelung, sicherem Ersatzwerkzeug und Schulung.
So unterstützt Sie die High5Manufaktur GmbH
Die High5Manufaktur GmbH (H5M) hilft Ihnen, KI im Unternehmen geordnet einzuführen, statt sie zu verbieten. Wir analysieren Ihre aktuelle Nutzung, erarbeiten eine praxistaugliche Richtlinie und richten datenschutzkonforme Werkzeuge in Ihrer Microsoft-365-Umgebung ein. Begriffe rund um IT-Sicherheit erklären wir verständlich in unserem Cybersecurity-Lexikon. Wenn Sie die laufende Betreuung auslagern möchten, finden Sie Details zu unseren Managed Services. Den passenden Einstieg bietet ein unverbindliches Erstgespräch.
Quellen
Alexander Häffner
Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.
Das könnte Sie auch interessieren
Ratgeber
SVG-Phishing: Wie harmlose Bild-Anhänge Zugangsdaten im Mittelstand stehlen
Ratgeber
Gefälschter IT-Support in Microsoft Teams: Wie Angreifer per Quick Assist ins KMU-Netz kommen
Ratgeber
Infostealer: Wie Schadsoftware heimlich Zugangsdaten stiehlt - und wie KMU sich schützen
Leistung
E-Mail-Sicherheit für Unternehmen
Fehler entdeckt oder eine Anmerkung zum Thema? Schreiben Sie uns an info@h5m.de. Wir freuen uns über Ihren Hinweis.