Schatten-KI verhindern: sechs Tipps für sichere Künstliche-Intelligenz-Anwendungen

Künstliche Intelligenz (KI) ist ein echter Gamechanger – sie ermöglicht Unternehmen neue Services, besseres Kundenverständnis, erhöht die Effizienz, beschleunigt Prozesse und pusht so die Wettbewerbsfähigkeit. Ohne Sicherheit, Kontrolle und klare Regeln geht das allerdings nicht, denn wie jedes andere Werkzeug muss KI mit Verstand eingesetzt werden. Ziellos damit herumzufuchteln, bringt vor allem Ärger. Ein solches Ärgernis ist die sogenannte "Schatten-KI" oder "Shadow AI". Darunter versteht man die vom Unternehmen nicht genehmigte – oft dem Unternehmen nicht einmal bekannte – Nutzung von KI-Tools durch Mitarbeiter, bei der nicht selten sensible Informationen, etwa zu Produkten, Firmen-Interna oder sogar Kundendaten, arglos in KI-Lösungen eingegeben werden.

"Bei vielen KI-Tools gelangen die Daten offen an die generative KI oder deren Hersteller, etwa in den USA. Auch bei Guardrails, also den Leitplanken, die den Einsatz einer KI-Lösung innerhalb bestimmter Vorgaben regulieren, sind Unternehmen von den Herstellern abhängig und können keine Einschränkungen vornehmen", erklärt Rainer Holler, CEO des Technologieunternehmens VIER GmbH in Hannover. "Das kann zu einem deutlichen Kontrollverlust und massiven Imageschäden führen. Diese Risiken müssen Unternehmen beim Einsatz von KI ausschließen und sie stattdessen verantwortungsvoll in bestehende Prozesse integrieren."

KI-Technologien zukunftssicher etablieren – so geht’s!

Tipp 1: KI-Einsatz strategisch planen
Der KI-Einsatz muss von der Unternehmensführung bestimmt und begleitet werden. Er ist kein reines IT-Projekt. Entsprechend sollten Unternehmen eine KI-Policy erarbeiten, die auch regelt, wer KI für welche Prozesse einsetzen darf und wie diese Nutzung kontrolliert wird.

Tipp 2: Mitarbeiter praxisnah schulen
Technisch lösbar ist vieles, aber ohne die Belegschaft geht es nicht. Mitarbeiter sollten daher die Chance erhalten, KI risikolos kennenlernen zu können. Und sie benötigen Informationen und Kenntnisse über Nutzung und Risiken. Sie sollten beispielsweise wissen, welche sensiblen Daten sie nicht in öffentliche Chatbots oder andere KI-Tools eingeben dürfen. Dazu eignen sich Awareness-Trainings, die auch über die Chancen von generativer KI informieren und Best Practices vermitteln.

Tipp 3: Datensicherheit gewährleisten
Personenbezogene Daten und Unternehmensinterna dürfen nicht in generative KI-Anwendungen eingegeben werden. Man kann sie aber dennoch nutzen – wenn sichergestellt ist, dass sensible Daten (Name, Adresse, Bankverbindung etc.) automatisch erkannt und pseudonymisiert werden, ehe sie an die KI gehen. So verbleiben geschäftskritische Daten auf dem hauseigenen Server und werden nicht an das Large Language Model (LLM) gesendet. Das LLM arbeitet mit dem anonymisierten Kontext. Nach Ausgabe der Antwort durch die KI werden die Daten re-pseudonymisiert und stehen dem Unternehmen wieder klar zur Verfügung. Als wertvolles Hilfsmittel haben sich hierzu AI Gateways etabliert.

Tipp 4: Regulatorische Anforderungen zuverlässig einhalten
Unternehmen müssen definieren, wo Daten verarbeitet und gespeichert werden. Und sie müssen prüfen, ob ihr KI-Anbieter DSGVO-konform arbeitet – beispielsweise durch Server in der EU oder in Deutschland – und ob der Anbieter den Einsatz von KI nach den Vorgaben des europäischen AI Acts unterstützt. Dazu gehören auch Guardrails als zentrales Tool zum Beschreiben und Durchsetzen von Richtlinien. Auch hier sind AI Gateways hilfreich.

Tipp 5: Zugriffskontrolle gewährleisten
Durch KI-Profile, die den Zugriff auf KI-Modelle organisieren und kontrollieren, rollenbasierte Berechtigungen und klare Richtlinien lässt sich die Nutzung von KI-Modellen für ganze Abteilungen und einzelne User steuern. So nutzen Mitarbeiter nicht nur KI-Tools, die für sie praktisch, sondern auch freigegeben sind. Und Sie ordnen die entstehenden Kosten präzise zu und dokumentieren die Nutzung gemäß Compliance-Anforderungen. Der Nutzung von Shadow AI wird damit der Boden entzogen.

Tipp 6: Transparenz und Nachvollziehbarkeit sichern
Im Rahmen des AI Acts müssen Unternehmen detailliert dokumentieren, welche Prompts und Outputs in geschäftskritischen Prozessen verwendet wurden. Darüber hinaus müssen Unternehmen ihre Entscheidungen, die auf KI-Ergebnissen beruhen, begründen und klare Verantwortlichkeiten für die finale Freigabe festlegen.

Fazit

Ob für Auswertungen, Zusammenfassungen, Präsentationen, Assistenz und vieles mehr: Generative KI verändert den Unternehmensalltag und verbessert Arbeitsschritte. Doch sensible Kundendaten und Interna dürfen nicht unkontrolliert an fremde KI-Modelle übergeben werden. Dennoch wollen und sollen Mitarbeiter KI einfach nutzen und kennenlernen. Das ist möglich, wenn Unternehmen ein paar Punkte beachten und Schritt für Schritt in die KI-Nutzung einsteigen.

Erstellt von (Name) S.P. am 30.10.2025 Geändert: 30.10.2025 16:57:55 Autor:  S. P. Quelle:  VIER GmbH Bild:  Bildagentur PantherMedia / Jirsak

Drucken