Zurück zum Blog
AI Security2026-03-319 min read

Shadow AI ist das größte KI-Risiko für Unternehmen – Und die meisten wissen noch nicht einmal, dass sie es haben

90 % der Unternehmen sind besorgt darüber. 80 % haben bereits negative KI-bezogene Datenvorfälle erlebt. Und die Agenten, die im Production-Betrieb laufen, wurden möglicherweise nie von der IT-Abteilung genehmigt. Hier ist, was passiert — und was Sie tun sollten, bevor es zu Ihrer Compliance-Krise wird.

Was Shadow AI wirklich ist — und warum es nicht Shadow IT ist

Die Terminologie wird ständig vermischt, und die Verwirrung ist gefährlich.

Shadow IT bezeichnet nicht genehmigte Software — die SaaS-Apps, für die sich Mitarbeiter ohne IT-Genehmigung anmelden, das persönliche Dropbox-Konto, das zum Teilen von Arbeitsdateien verwendet wird, die nicht geprüften Browser-Erweiterungen, die auf Arbeitslaptops installiert sind. Shadow IT ist ein reales Problem, aber es hat eine grundlegende Grenze: Die nicht genehmigte Software erfordert immer noch einen Menschen zu ihrer Bedienung. Daten verlassen das Unternehmen, wenn eine Person sich entscheidet, sie zu bewegen.

Shadow AI ist kategorisch anders. Shadow AI bezeichnet nicht autorisierte KI-Agenten, LLMs und KI-Workflows, die außerhalb der IT-Governance operieren — und im Gegensatz zu Shadow IT können diese Systeme autonom handeln. Sie können Ihre Daten lesen, kopieren, übertragen und Aktionen in Systemen ausführen, ohne dass ein Mensch jeden Schritt explizit anweist.

Der Unterschied ist entscheidend, weil er das Risikoprofil vollständig verändert. Ein Mitarbeiter, der ein nicht genehmigtes SaaS-Tool zum Speichern einer Datei verwendet, ist ein Datenschutzrisiko. Ein KI-Agent eines Mitarbeiters, der auf Ihren internen Dokumenten trainiert wurde, API-Zugriff auf Ihr CRM hat und Kundendaten über eine persönliche LLM-API verarbeitet — das ist ein autonomer Akteur, der auf Ihrer Infrastruktur operiert, ohne Ihr Wissen oder Ihre Zustimmung.

Die Kategorie hat sich schneller entwickelt, als die meisten Enterprise-Sicherheitsteams es registriert haben. 2024 bedeutete Shadow AI meistens, dass Mitarbeiter ChatGPT zum Verfassen von Dokumenten nutzten. 2025 und 2026 geht es zunehmend darum, dass Mitarbeiter KI-Agenten einsetzen — autonome Workflows, die planen, Tools nutzen, mehrstufige Prozesse ausführen und Aktionen über Enterprise-Systeme hinweg verketten können. Ein Mitarbeiter, der einen KI-Agenten einrichtet, um seine Beschaffungsgenehmigungen, seine Kundensupport-Routing oder seine Berichtserstellung zu bearbeiten, hat möglicherweise keine Ahnung, dass der Agent mit Zugriff auf Systeme operiert, die für diesen Zweck nie autorisiert wurden.

Die Mitarbeiter handeln nicht unbedingt böswillig. Die meisten Shadow-AI-Deployments entstehen aus echter Produktivitätsmotivation — jemand hat ein Tool gefunden, das ihm zwei Stunden pro Tag spart, und hat es eingerichtet, ohne über die Datenzugriffsimplikationen nachzudenken. Das Problem ist, dass die Implikationen real sind, das Bewusstsein gering ist, und die Agenten weiterlaufen, unabhängig davon, ob jemand das Risiko durchdacht hat.

Die Zahlen — Wie schlimm ist es wirklich

Die Daten von Enterprise-IT-Verantwortlichen sind konsistent und alarmierend.

Die Komprise IT Survey 2025 — durchgeführt unter 200 US-IT-Direktoren und Führungskräften in Unternehmen mit mehr als 1.000 Mitarbeitern — ergab, dass 90 % der Unternehmen sich aus Datenschutz- und Sicherheitsperspektive Sorgen um Shadow AI machen. Das ist keine Randmeinung ängstlicher IT-Teams. Das ist eine nahezu universelle Anerkennung des Risikos.

Die noch alarmierendere Zahl: Fast 80 % dieser Unternehmen berichteten, dass sie bereits negative KI-bezogene Datenvorfälle erlebt haben. Keine Hypothese. Kein Beinahe-Unfall. Ein echter Vorfall mit nicht autorisierten KI-Tools, die auf Enterprise-Daten operierten.

Von diesen Unternehmen erlitten 13 % finanziellen, kundenbezogenen oder reputativen Schaden — messbare Schäden durch einen KI-Vorfall, den die Geschäftsleitung möglicherweise nie genehmigt oder überhaupt zur Kenntnis genommen hat. Diese Zahl ist wahrscheinlich eine Untergrenze, da viele Unternehmen nicht über die Erkennungsfähigkeiten verfügen, um zu wissen, wann ein KI-bezogener Vorfall eingetreten ist.

Gartners Research ergänzt die zukunftsorientierte Dimension. Ihre Analysten prognostizieren, dass bis 2030 etwa 40 % der Unternehmen mit KI-Compliance-Vorfällen konfrontiert sein werden — und der primäre Treiber ist Datenleckage durch Shadow-AI-Kanäle, einschließlich dessen, was Gartner als „Shadow Humanizer" beschreibt: Tools, die Mitarbeiter verwenden, um Enterprise-Daten über persönliche LLMs zu verarbeiten, und dabei diese Daten außerhalb der Kontrolle des Unternehmens leiten.

Reale Beispiele für die Praxis: Mitarbeiter, die Enterprise-Daten über Messaging-Plattformen wie Telegram an persönliche LLM-APIs leiten. Nicht genehmigte KI-Agenten, die Beschaffungsworkflows mit Zugriff auf Lieferantenmanagementsysteme bearbeiten. Vertriebsteams, die KI-Tools zum Verfassen von Kundenkommunikation verwenden, die im System des Anbieters statt im Enterprise-System gespeichert werden. Der gemeinsame Nenner: Niemand in der IT hat diese Tools genehmigt, und niemand weiß, dass die Daten das Gebäude verlassen haben.

Die Compliance-Implikationen vervielfachen sich, wenn man regulierte Daten hinzunimmt. Gesundheitsorganisationen, die PHI durch nicht sanktionierte KI-Tools verarbeiten, verstoßen möglicherweise gegen HIPAA-Anforderungen. Finanzdienstleistungsunternehmen, die Kundendaten über persönliche KI-APIs leiten, verstoßen möglicherweise gegen Datensouveränitäts- und Handhabungsanforderungen. Die Mitarbeiter, die dies tun, versuchen selten, Compliance-Frameworks zu verletzen — sie versuchen, ihre Arbeit schneller zu erledigen. Aber die Compliance-Exposition ist unabhängig von der Absicht real.

Warum traditionelle Governance hier versagt

Die meisten Unternehmen haben irgendeine Form von KI-Governance bereits etabliert. Sie ist meist für das falsche Bedrohungsmodel gebaut.

Das typische KI-Governance-Framework nimmt ein sanktioniertes Tool an — etwas, das die IT evaluiert, genehmigt und bereitgestellt hat. Es legt fest, welche KI-Modelle die Organisation verwenden darf, auf welchen Daten sie trainiert werden dürfen und welche Audit-Trails gepflegt werden müssen. Das ist notwendige Governance. Es ist aber auch Governance ohne Durchsetzungsmechanismus für das Shadow-AI-Problem, denn Shadow AI bedeutet spezifisch, dass es um KI-Tools geht, die nie sanktioniert, nie evaluiert und nie zur Kenntnis genommen wurden.

Die Lücke zwischen der Geschwindigkeit der Mitarbeiter-KI-Adoption und der Geschwindigkeit der IT-Genehmigung ist strukturell bedingt. Mitarbeiter können einen KI-Agenten in Minuten einrichten, ihn mit ihrer Arbeits-E-Mail verbinden und ihn ihre Workflows bearbeiten lassen, bevor die IT überhaupt den Genehmigungsantrag erhalten hat. Die Tools dafür sind kostenlos, Consumer-Grade und erfordern kein technisches Wissen. Der Genehmigungsprozess für neue Enterprise-Software dauert Wochen oder Monate. Mitarbeiter, die schneller arbeiten wollen, werden nicht warten, bis die IT eine Sicherheitsprüfung abgeschlossen hat.

Das agentische KI-Amplification verschärft dieses Problem erheblich. Traditionelle KI-Governance war für Chat-Interfaces und Dokumentgenerierung konzipiert — KI, die Outputs produziert, die ein Mensch vor der Verwendung prüft. KI-Agenten sind anders: Sie planen, sie nutzen Tools, sie führen mehrstufige Workflows autonom aus. Ein Mitarbeiter, der einen KI-Agenten einrichtet, um seinen Kunden-Onboarding-Workflow zu bearbeiten, hat diesem Agenten die Fähigkeit gegeben, Kundendaten zu lesen, CRM-Einträge zu aktualisieren, E-Mails zu senden und Entscheidungen zu treffen — alles ohne menschliche Prüfung jedes Schritts. Die Geschwindigkeit und Autonomie von KI-Agenten ist grundlegend mismatched mit Governance-Prozessen, die für Human-in-the-Loop-KI-Tools designed wurden.

Der Security Stack hat hier Blind Spots. Enterprise-Sicherheitsinfrastruktur — EDR, SASE, Firewalls, Identity Management — generiert erhebliche Signale in Bezug auf KI-Tool-Nutzung. Benutzer greifen auf KI-Dienste von Corporate Networks zu. Daten bewegen sich zu KI-Service-Providern. Credentials für KI-Dienste werden auf Endpoints verwendet. Aber der Security Stack war nicht gebaut, um diese Signale zu einem kohärenten Bild der Shadow-AI-Exposition zu korrelieren, und die meisten Sicherheitsteams haben nicht das Tooling, um auf die Signale zu reagieren, die sie bereits generieren.

Die Accountability Gap ist vielleicht das am wenigsten gelöste Stück. Wenn ein Shadow-AI-Vorfall Schaden verursacht — ein Data Breach, einen Compliance-Verstoß, einen Kundendatensatz, der an die falsche Stelle gesendet wurde — wem gehört das? Dem Mitarbeiter, der den Agenten eingerichtet hat? Dem Vorgesetzten des Mitarbeiters? Der IT, weil sie keine Governance hatte, die es erkannt hätte? Dem CISO, weil er keine Erkennungsfähigkeiten hatte? Bestehende Enterprise-Governance-Frameworks haben keine klaren Antworten auf diese Fragen. Der praktische Default tendiert zu diffuser Accountability, was bedeutet, dass es niemandem spezifisch zugeordnet ist — was bedeutet, dass es nicht behoben wird.

Das Problem mit agentischem Shadow AI wird schlimmer

Die erste Welle von Shadow AI war größtenteils Mitarbeiter, die Consumer-LLM-Interfaces zum Verfassen von Dokumenten, Beantworten von Fragen und Zusammenfassen von Informationen nutzten. Schlecht, aber handhabbar, weil ein Mensch immer in der Loop war.

Die zweite Welle — diejenige, die die eigentliche Krise darstellt — dreht sich um KI-Agenten, die autonom in Enterprise-Workflows operieren. Hier verschiebt sich das Risiko von „Datenschutz" zu „operationaler Exposition", und hier wird die Governance-Lücke kritisch.

Die Infrastruktur für das Deployment persönlicher KI-Agenten ist trivial einfach geworden. Model Context Protocol-Server, die KI-Agenten die Verbindung zu externen Tools und Datenquellen ermöglichen, werden von nicht-technischen Mitarbeitern ohne IT-Beteiligung eingerichtet. API-Keys für KI-Dienste werden auf persönlichen Accounts erstellt. Mitarbeiter bauen Agenten, die auf persönlicher Infrastruktur laufen, persönliche Subscriptions zu KI-Diensten verwenden, mit Zugriff auf Corporate-Systeme, authentifiziert durch Credentials, die dem Unternehmen nicht bekannt sind.

Das Ergebnis ist eine wachsende Population von KI-Agenten, die außerhalb der Sichtbarkeit und Kontrolle des Unternehmens operieren — nicht weil das Unternehmen versäumt hat, Governance aufzubauen, sondern weil die Agenten von Menschen eingerichtet wurden, die nicht wussten, dass sie eine Governance-Genehmigung brauchten. Ein Mitarbeiter, der einen KI-Agenten gebaut hat, um das IT-Ticket-Routing seines Teams zu bearbeiten, hat unwissend ein autonomes System mit Zugriff auf interne IT-Systeme, User-Credentials und Organisationsdaten geschaffen. Der Agent läuft am Wochenende, bearbeitet Tickets und eskaliert, was er nicht bearbeiten kann. Niemand in der IT weiß, dass er existiert.

Die operationale Exposition wächst mit der Zeit. Je länger ein ungeregelter KI-Agent operiert, desto tiefer wird er in Geschäftsprozesse eingebettet. Andere Mitarbeiter beginnen, sich darauf zu verlassen. Abhängigkeiten entstehen. Wenn etwas schiefgeht — der Agent macht einen Fehler, der persönliche Service, auf dem er aufgebaut ist, ändert seine API-Terms, die Subscription des Mitarbeiters läuft ab — ist die Störung real und die Governance-Lücke wird unter Druck sichtbar.

Sicherheitsteams beginnen, diese Dynamik zu erkennen. ArmorCode und ähnliche KI-Governance-Plattformen haben begonnen, das Problem als „AI Exposure Management"-Challenge zu frameen: Die KI-Risikosignale existieren über Ihren aktuellen Security Stack verteilt, aber kein einzelnes Team owns sie oder hat das Tooling, um auf sie zu reagieren. Das Security Team sieht den Netzwerkverkehr zu KI-Diensten. Das IT Team weiß nicht, welche Agenten auf welchen Endpoints laufen. Das Data-Governance-Team weiß nicht, welche Daten von welchen KI-Systemen verarbeitet wurden. Die Accountability für KI-Risiken ist über alle von ihnen verteilt und bei keinem konzentriert.

Was wirklich funktioniert — ein Governance-Framework

Die Unternehmen, die bei der Shadow-AI-Governance echte Fortschritte machen, behandeln es nicht als Technologieproblem. Sie behandeln es als Workforce- und Policy-Problem mit Technologie als Enabler. Fünf Komponenten erscheinen konsistent in effektiven Frameworks.

1. AI-Amnestie-Programme — Entdecken Sie, was Sie bereits haben

Der unmittelbarste Handlungsschritt ist die Schaffung eines sicheren Offenlegungsmechanismus für Mitarbeiter, die bereits nicht genehmigte KI-Tools verwenden. Ein AI-Amnestie-Programm adaptiert die Logik freiwilliger Offenlegungsrahmenwerke: Mitarbeiter, die ihre Nutzung nicht autorisierter KI-Tools innerhalb eines definierten Zeitfensters offenlegen, erhalten Unterstützung bei der Transition zu sanktionierten Alternativen, ohne Bestrafung für die ursprüngliche Nicht-Offenlegung.

Die Logik ist pragmatisch. Viele Mitarbeiter, die Shadow-AI-Tools nutzen, tun dies, weil sie etwas gefunden haben, das ihnen genuin hilft, ihre Arbeit besser zu erledigen — nicht weil sie versuchen, Corporate Governance zu umgehen. Wenn die Organisation auf Offenlegung mit Bestrafung reagiert, stoppt die Offenlegung und die Tools laufen weiter. Wenn die Organisation auf Offenlegung mit sanktionierten Alternativen und Hilfe bei der Transition reagiert, ist die gewonnene Sichtbarkeit mehr wert als das Governance-Versäumnis, das ihr vorausging.

2. Inventarisieren Sie alles — Kontinuierliches AI Exposure Management

Discovery kann kein einmaliges Event sein. Die KI-Tooling-Landschaft verändert sich zu schnell, und von Mitarbeitern deployte Agenten erscheinen kontinuierlich. Effektive Shadow-AI-Governance erfordert kontinuierliche Bestandsaufnahme: jedes KI-Tool, Modell, API-Key, MCP-Server und agentische Workflows, das Zugriff auf Enterprise-Daten oder -Systeme hat.

Das ist technisch nontrivial, aber nicht unmöglich. Netzwerkverkehrsanalyse kann KI-Dienst-API-Calls identifizieren. Endpoint Detection kann KI-Agent-Prozesse auf Corporate-Hardware flaggen. Identity Governance kann API-Credentials aufdecken, die außerhalb normaler Provisionierungskanäle ausgestellt wurden. Der Schlüssel ist, diese Signale in ein KI-Asset-Inventar zu korrelieren, auf das das Security Team tatsächlich handeln kann.

3. Governen Sie die Agenten, nicht nur die Modelle

KI-Governance-Frameworks, die um „welche KI-Modelle dürfen verwendet werden" kreisen, verfehlen das eigentliche Problem, das „welche KI-Agenten dürfen auf unseren Systemen operieren und mit welchem Zugriff" lautet. Die Governance-Frage muss sich von Modell-Level-Approval zu Agent-Level-Authorization verschieben.

KI-Agenten als Teil der Belegschaft zu behandeln, ist die nützliche Analogie. Agenten brauchen definierte Rollen, Zugriffsberechtigungen, Eskalationspfade und Audit-Trails — dasselbe Governance-Framework wie für ein menschliches Workforce-Mitglied mit äquivalentem Zugriff. Ein Agent, der Kundendaten verarbeitet, braucht dieselben Zugriffskontrollen und Monitoring wie ein menschlicher Mitarbeiter, der dieselbe Arbeit erledigt.

4. Integrieren Sie mit dem bestehenden Security Stack

KI-Governance, die in einem Silo getrennt von der bestehenden Sicherheitsinfrastruktur operiert, ist Governance, die nicht durchgesetzt werden wird. Die Signale für Shadow AI sind bereits in Ihrem Security Stack vorhanden — sie werden nur nicht korreliert oder gehandelt.

EDR-Daten können KI-Agent-Prozesse auf Endpoints flaggen. SASE-Infrastruktur kann nicht sanktionierten KI-Dienst-Zugriff identifizieren. Identity Management Systeme können API-Credentials aufdecken, die außerhalb normaler Provisionierungskanäle ausgestellt wurden. Wenn diese Signale in eine KI-Governance-Plattform einfließen, die sie korrelieren und handeln kann — statt in separaten Tools zu sitzen — gewinnt die Organisation Sichtbarkeit, die sie vorher nicht hatte.

5. Etablieren Sie eine AI Acceptable Use Policy — und setzen Sie sie durch

Die meisten Unternehmen haben eine AI Acceptable Use Policy. Die meisten davon sind als Richtliniendokumente verfasst, die Mitarbeiter zur Kenntnisnahme bestätigen müssen — nicht als technische Kontrollen, die Richtlinienverstöße verhindern. Eine Richtlinie, die besagt „Schicken Sie keine Kundendaten an nicht sanktionierte KI-Dienste" ist notwendig, aber nicht ausreichend, wenn es keinen technischen Mechanismus gibt, um zu erkennen oder zu verhindern, dass diese Daten das Unternehmen verlassen.

Effektive AI-Governance für Acceptable Use erfordert beides: eine klare Richtlinie, die Erwartungen etabliert, und technische Kontrollen, die sie durchsetzen. Web-Proxies, die KI-Dienst-Domains auf verwalteten Geräten blockieren. DLP-Regeln, die sensible Daten, die sich zu KI-Dienst-Endpunkten bewegen, flaggen. API-Gateway-Kontrollen, die sanktionierten KI-Dienst-Zugriff erfordern. Die Richtlinie etabliert die Erwartung. Die technischen Kontrollen verhindern den Verstoß.

EYs Responsible AI Principles bieten ein nützliches Framework für die Richtlinienebene: KI-Systeme sollten transparent in ihrer Operationsweise sein, rechenschaftspflichtig gegenüber definierten Ownern, und denselben Risikomanagementprinzipien unterliegen wie jedes andere Enterprise-System. Diese Prinzipien gelten für Shadow-AI-Governance, unabhängig davon, ob die Tools von der IT sanktioniert oder von Mitarbeitern deployt wurden.

Forschungssynthese von Agencie. Quellen: Komprise 2025 IT Survey, Gartner (KI-Governance-Prognosen bis 2030), EY Responsible AI Principles. Alle zitierten Quellen sind Veröffentlichungen aus 2025–2026.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.