Schatten-KI: Produktivitätsschub mit Sicherheitsrisiko. Was CIOs und CISOs jetzt steuern müssen.

Generative KI ist in Schweizer Unternehmen längst angekommen, oft jedoch ausserhalb von Freigaben, Kontrollen und Richtlinien. Diese Schatten-KI steigert zwar die Produktivität, kann aber sensible Daten und geistiges Eigentum dauerhaft nach aussen tragen und neue Angriffsflächen öffnen. Wer jetzt auf Governance, Sichtbarkeit und technische Leitplanken setzt, macht KI sicher nutzbar, statt sie verbieten zu müssen.

Die rasante Demokratisierung generativer künstlicher Intelligenz hat einen tiefgreifenden Wandel in der Produktivität von Schweizer Unternehmen ausgelöst. Dieser technologische Sprung bringt gleichzeitig eine beispiellose Herausforderung für die Governance mit sich: Schatten-KI, also die nicht genehmigte, unüberwachte und oft unbewusste Nutzung von KI-Tools durch Mitarbeitende. Angetrieben von der Vorgabe, Arbeitsabläufe zu optimieren und die Leistung zu steigern, setzt das Personal eigenständig fortschrittliche KI-Anwendungen ein und umgeht dabei formelle IT-Beschaffungs-, Sicherheitsüberprüfungs- und Compliance-Hürden.

Im Gegensatz zu herkömmlicher Software, die Daten oft in statischen Silos verarbeitet und speichert, sind generative KI-Modelle von Grund auf dynamisch: Sie nehmen die ihnen zugeführten Informationen aktiv auf, wandeln sie um und lernen daraus. Wenn ein*e Mitarbeiter*in sensible Unternehmensstrategien, proprietären Quellcode oder personenbezogene Daten in ein nicht genehmigtes öffentliches Modell eingibt, überschreiten diese Daten eine Grenze und können zu einem unumkehrbaren Wissensbestandteil des genutzten Modells werden.

Schweizer Unternehmen müssen jetzt das veraltete Paradigma des absoluten Verbots aufgeben, das sich in der Vergangenheit sowohl technisch als auch kulturell als kontraproduktiv erwiesen hat. Stattdessen muss die Unternehmensführung eine ausgewogene, zukunftsorientierte Philosophie verfolgen: «Der Einsatz von KI und hilfreichen Tools ist in Ordnung – aber nur, wenn er bewusst und unter Kontrolle erfolgt.»

Von Shadow-IT zu Shadow-KI: Eine historische Entwicklung

Die Shadow-AI Situation ist die jüngste Ausprägung eines jahrzehntealten Musters. Jede technologische Ära hat die Risiken erheblich erhöht:

Was das Zeitalter der generativen KI von ihren Vorgängern unterscheidet, ist die Architektur: Traditionelles Shadow-SaaS war in erster Linie ein System statischer Speicherung; ein nicht autorisiertes Cloud-Laufwerk oder -Applikation speicherte den Lebenslauf von Bewerber*innen, analysierte jedoch weder die Semantik noch lernte es aus der CV-Struktur. Generative KI ist dynamisch, aufnahmefähig und algorithmisch transformativ – und damit in einzigartiger Weise resistent gegen traditionelle Methoden der IT-Governance und der Datenverlustprävention. 

«Wir haben keine GenAI im Einsatz!» - oder vielleicht doch?

Vektoren der unbewussten KI-Einführung

Eingebettete generative Funktionen

Die am weitesten verbreitete Quelle unbewusster Schatten-KI liegt in der raschen Integration generativer Fähigkeiten in bestehende, genehmigte Unternehmenssoftware. Mitarbeiter*innen, die in vertrauten, genehmigten Umgebungen arbeiten, betrachten neu eingeführte KI-Assistenten als blosse Software-Updates. Die Aktivierung dieser Funktionen kann jedoch die Datenflüsse innerhalb einer Organisation dramatisch verändern. Sind die rollenbasierten Zugriffskontrollen einer Organisation schlecht konfiguriert, können eingebettete KI-Agenten sensible interne Informationen an Mitarbeitende ohne legitime Berechtigung weitergeben und so unter dem Deckmantel der Produktivitätssteigerung zu interner Datenpreisgabe führen.

Bedrohung durch Browser-Erweiterungen

KI-gestützte Grammatikprüfprogramme, Transkriptionsdienste und Programmierassistenten werden direkt im Browser der Benutzer*innen installiert und erfordern oft weitreichende Berechtigungen, um alle Daten auf den besuchten Websites zu lesen. Wenn sich ein*e Mitarbeiter*in mit einer solchen aktiven Erweiterung in ein sensibles Unternehmensportal einloggt, können vertrauliche Daten, darunter Passwörter, Quellcode oder Kundendaten, unbemerkt abgegriffen und an KI-Server von Drittanbietern übertragen werden. Die Mitarbeitenden ahnen nicht, dass die Rechtschreibprüfung eines internen Memos zu einer systematischen Datenexfiltration geführt hat.

Direkte Interaktion mit öffentlichen Modellen

Ingenieur*innen fügen proprietäre Algorithmen in öffentliche Chatbots ein, um Code zu debuggen; Marketingleiter*innen laden Kundenkaufhistorien hoch, um Kampagnentexte zu generieren; Personalmanager*innen geben Leistungsbewertungen ein, um Beurteilungen zu entwerfen. Diese Mitarbeitenden konzentrieren sich auf den unmittelbaren Nutzen, während sie sich der Tatsache nicht bewusst sind, dass das Einfügen von Daten in eine KI-Eingabeaufforderung funktional gleichbedeutend ist mit der Veröffentlichung dieser Daten im offenen Internet.

Risikomatrix: Die multidimensionale Bedrohungslandschaft

Der Samsung-Vorfall von Anfang 2023 bleibt die paradigmatische Fallstudie: Innerhalb von zwanzig Tagen nach Freigabe des Zugangs zu einem öffentlichen Chatbot kam es zu drei separaten Datenlecks, bei denen Ingenieur*innen vertraulichen Halbleiter-Quellcode und Notizen aus Führungskräftesitzungen direkt in die Eingabeaufforderung der KI einfügten. Die Nutzungsbedingungen des KI-Anbieters erlaubten die Datenspeicherung zum Trainieren des Modells, was zu einer irreversiblen Gefährdung des geistigen Eigentums und einem vollständigen KI-Verbot im gesamten Unternehmen führte.

Aus Sicht der Cyber-Sicherheit erweitert unkontrollierte KI die Angriffsfläche eines Unternehmens durch Prompt-Injektion und indirekte Manipulation radikal. Ein Beispiel: Angreifer*innen, die versteckte, maschinenlesbare Anweisungen in eine E-Mail einbetten, können autonome KI-Agenten – die ohne IT-Aufsicht mit einem Unternehmens-Posteingang verbunden sind – dazu bringen, unbemerkt Nachrichten weiterzuleiten oder kritische Dateien zu löschen. Ohne Ratenbegrenzung, Ausführungs-sandboxing oder Ausgabevalidierung wird die injizierte Nutzlast tief im Unternehmensnetzwerk ausgeführt.

Strategische Lösungen: Bewusste und kontrollierte KI-Nutzung

Kontinuierliche Erkennung statt vergeblicher Verbote

Ein Unternehmen kann keine Ressourcen verwalten, von deren Existenz es nichts weiss. Sicherheitsteams müssen Cloud Access Security Brokers (CASBs) und Überwachungstools für Browser-Erweiterungen im Unternehmen einsetzen, die in der Lage sind, die KI-Nutzung im gesamten Unternehmensnetzwerk automatisch zu erkennen. Moderne Erkennungstools müssen auf der Anwendungsebene arbeiten, API-Aufrufe an externe Sprachmodelle protokollieren und den detaillierten Datenfluss in generative Schnittstellen verfolgen. Entscheidend ist, dass die reine Sichtbarkeit durch Kontextbewusstsein ergänzt wird: Es muss unterschieden werden zwischen Marketingmitarbeitenden, die Ideen für öffentliche Texte entwickeln, und Ingenieur*innen, die proprietären Quellcode in ein ungeprüftes Modell einfügen.

KI-spezifische Daten-Governance

Traditionelle Daten-Governance, die sich auf strukturierte Datenbanken und statische Compliance-Checklisten konzentriert, ist für das generative Zeitalter unzureichend. KI-Daten-Governance muss riesige, dynamische Mengen unstrukturierter Daten (z. B. Text, Audio-Transkripte, Telemetrie-Protokolle) intelligent verwalten. Sie muss sicherstellen, dass die Informationen, die in Unternehmensmodelle eingespeist werden, korrekt klassifiziert und ethisch einwandfrei beschafft sind.

Der Grundpfeiler der KI-Daten-Governance ist eine strenge, automatisierte Datenklassifizierung und Metadaten-Kennzeichnung. Jedes Dokument muss mit umfangreichen Metadaten-Tags versehen sein, die die Vertraulichkeit und regulatorische Einschränkungen festlegen. Meta-Tags verhindern, dass ein KI-Agent ohne verifizierte, rollenbasierte Autorisierung auf Dokumente zugreift, sie zusammenfasst oder anzeigt. Darüber hinaus müssen Unternehmen eine „berechtigungsbewusste“ Architektur implementieren: Wenn ein Unternehmen einen genehmigten KI-Assistenten einsetzt, muss dieser Assistent streng die exakten Zugriffsrechte der menschlichen Benutzer*innen erben, die ihn abfragen, was durch eine nahtlose Integration zwischen IAM-Systemen und den RAG-Pipelines des Modells durchgesetzt wird.

Fortgeschrittene technische Kontrollen

Enterprise-KI-Gateways fungieren als zentrale Proxys zwischen dem Unternehmensnetzwerk und externen KI-Anbietern. Sie fangen jede Eingabe ab und unterziehen sie einer strengen Echtzeitprüfung – dabei wird nach böswilligen Anweisungen, Versuchen der Eingabe-Injektion und sensiblen Daten gesucht. Durch dynamische Datenmaskierung und Tokenisierung werden z. B. Sozialversicherungsnummern von Kunden, firmeneigene Produktcodes oder vertrauliche Finanzkennzahlen durch sichere, zufällig generierte Token ersetzt, bevor die Eingabe die Unternehmensfirewall überhaupt passiert. Das externe Modell verarbeitet die bereinigte Eingabe, und das Gateway hebt die Tokenisierung bei der Rückgabe wieder auf – so wird eine nützliche Antwort geliefert, während gleichzeitig sichergestellt ist, dass tatsächliche Unternehmensdaten niemals der Infrastruktur von Drittanbietern ausgesetzt wurden.

Rahmenwerke und unternehmensweite KI-Richtlinien

Technische Kontrollen müssen innerhalb anerkannter Risikomanagement-Frameworks formalisiert werden. Das NIST-KI-Risikomanagement-Framework (Govern, Map, Measure, Manage) fördert eine Kultur des kontinuierlichen Risikobewusstseins. Für regulierte Umgebungen bietet ISO/IEC 42001 ein zertifizierbares Managementsystem für die KI-Risikobewertung und kontinuierliche Verbesserung. Organisationen, denen die Ressourcen für eine vollständige Zertifizierung fehlen, profitieren von einem Lightweight AI Governance (LAIG)-Ansatz – einem pragmatischen Risikoklassifizierungsmodell (niedriges/mittleres/hohes Risiko) mit einer obligatorischen «Human-in-the-Loop»-Anforderung: Keine von KI generierte Ausgabe, die als mittleres oder hohes Risiko eingestuft wird, darf ohne dokumentierte menschliche Überprüfung umgesetzt werden.

Fazit

Shadow AI stellt eine der komplexeren Herausforderungen im Bereich des technologischen Risikomanagements für moderne Unternehmen dar. Da generative KI immer tiefer in die täglichen Geschäftsabläufe eingebunden wird; unsichtbar in Browser-Erweiterungen, Sidecar-Anwendungen und eingebetteten Softwarefunktionen, können sich Unternehmen nicht mehr auf Perimeter-Abwehrmassnahmen oder Verbotsstrategien verlassen. Der nicht genehmigte Einsatz von KI setzt das Unternehmen verheerenden Datenlecks, dem dauerhaften Verlust von geistigem Eigentum, schweren regulatorischen Strafen und der schleichenden Verzerrung durch algorithmische Voreingenommenheit aus.

Um sich in diesem Umfeld zurechtzufinden, muss die Unternehmensführung verinnerlichen, dass der Einsatz von KI für das Überleben im Wettbewerb notwendig ist. Vorausgesetzt, der Einsatz erfolgt bewusst, transparent und unter strenger, systemischer Kontrolle. Um dies zu erreichen, sind fortschrittliche Erkennungsmechanismen, KI-fähige Datenklassifizierungsprotokolle und aktive technische Schutzmassnahmen, wie z. B. dynamische Datenmaskierung und intelligente Prompt-Sanierung erforderlich.

Ein grundlegender Faktor ist die Governance des eigenen Datenbestands. Bevor Unternehmen KI-Tools und autonome Agenten sicher und in grossem Massstab nutzen können, müssen sie zunächst umfassende Transparenz und Kontrolle über die Daten erlangen, die diese Systeme verarbeiten werden. Dies erfordert einen einheitlichen Ansatz für den Informationsschutz:

• Eine automatisierte Sensitivitätskennzeichnung, die konsistent über alle Ablagen angewendet wird.

• Durchgesetzte Richtlinien zum Datenlebenszyklus, die festlegen, auf welche Informationen KI-Systeme unter welchen Bedingungen zugreifen dürfen.

• Robuste Kontrollen zur Verhinderung von Datenverlusten, die gleichermassen über Endpunkte, Cloud-Dienste und Kommunikationskanäle hinweg funktionieren.

Ausgereifte Data-Governance-Plattformen bieten mittlerweile integrierte Funktionen, die Klassifizierung, Kennzeichnung, Rechteverwaltung und Compliance-Überwachung in einem einzigen operativen Rahmen vereinen. Solche Plattformen ermöglichen es Unternehmen, detaillierte Richtlinien zu definieren, die regeln, wie bestimmte Kategorien von Informationen von KI-Tools und -Agenten verarbeitet werden dürfen. Das Prinzip ist einfach: Ein KI-System sollte nur Daten auswerten können, auf die sein*e menschliche*r Bediener*in Zugriff hat. Und diese Daten sollten nur an Ziele fliessen, die durch die Unternehmensrichtlinien ausdrücklich genehmigt sind. Um dies zu erreichen, müssen Sensitivitätskennzeichnungen und Zugriffskontrollen mit den Daten mitwandern und dürfen nicht nur innerhalb des Perimeters eines Quellsystems verbleiben.

Dieses datenzentrierte Sicherheitsmodell ist die Voraussetzung für eine verantwortungsvolle Einführung von KI in Unternehmen. Wenn Sie in den Aufbau dieser Grundlage investieren, werden Sie nicht nur die Risiken von Shadow-KI eindämmen. Sie werden auch die Möglichkeit erschliessen, genehmigte KI-Tools und -Agenten mit echtem Vertrauen einzusetzen, da Sie wissen, dass Ihre sensibelsten Vermögenswerte unter nachweisbarer, überprüfbarer Kontrolle bleiben. Letztendlich ist eine robuste, rahmenbasierte KI-Governance nicht nur eine defensive Massnahme zur Einhaltung von Vorschriften. Sie ist die entscheidende strategische Grundlage, die erforderlich ist, um künstliche Intelligenz von einer versteckten Schwachstelle des Unternehmens in einen sicheren, nachhaltigen und geregelten Motor für langfristige Wettbewerbsvorteile zu verwandeln.