Gefahr Schatten KI – Danger: Shadow AI

Die Adoption generativer KI hat in Deutschland in den letzten Monaten signifikant an Fahrt aufgenommen. Aktuelle Daten des Bitkom e.V. zeigen, dass zwei Drittel (67 %) der über 16-jährigen Bundesbürger zumindest gelegentlich generative KI-Lösungen wie ChatGPT, Microsoft Copilot oder Google Gemini einsetzen. Im Sommer 2024 lag dieser Wert noch bei 40 %. Gemäß einer Umfrage der Software AG würden deutsche Wissensarbeiter KI-Tools auch dann noch nutzen, wenn ihr Unternehmen die Nutzung verbieten würde. Schatten KI ist in deutschen Büros also bereits Realität – mit oder ohne Erlaubnis der IT-Abteilung.

Besonders brisant wird diese Entwicklung vor dem Hintergrund des neuen EU AI Act. Seit Februar müssen europäische Unternehmen allgemeine Vorschriften einhalten, wenn sie KI-Systeme einsetzen. Bereits die Nutzung von ChatGPT, Copilot oder vergleichbaren KI-Systemen anderer Anbieter fällt unter diese Verordnung. Das Problem verschärft sich, wenn Mitarbeitende – oft auch unbedacht – sensible Unternehmensdaten in das KI-Tool eingeben und damit nicht nur Datenschutzverletzungen riskieren, sondern auch Cyberkriminellen neue Angriffsflächen bieten.

Eric Johnson, CIO PagerDuty. kommentiert:

„Schatten KI ist ein Symptom und nicht das Problem selbst. Die meisten Nutzer verwenden KI-Tools, weil sie einen echten Mehrwert darin sehen: Sie sparen Zeit, werden produktiver und erzielen bessere Ergebnisse. Den Einsatz von KI zu ignorieren oder zu verbieten ist wie der Versuch, ein Gewitter zu stoppen, indem man Regenschirme verbietet.

Der bessere Ansatz ist, die Nutzung von KI zu akzeptieren und Leitplanken zu setzen. Beispielsweise durch offene Gespräche, in denen diskutiert wird, warum bestimmte Anforderungen nicht erfüllt werden und wie die IT ihre Mitarbeitenden besser unterstützen kann. Auch die vom EU AI Act geforderten Schulungsmaßnahmen helfen dabei, Compliance-Anforderungen zu erfüllen und gleichzeitig sicherzustellen, dass Mitarbeiter KI-Tools effektiv und sicher einsetzen können.

Für deutsche Unternehmen ist das besonders relevant, da sie nicht nur den EU AI Act, sondern auch die strengen DSGVO-Anforderungen erfüllen müssen. Bereits die Eingabe personenbezogener Daten in KI-Tools kann DSGVO-relevant sein, und bei sensiblen Daten wie Gesundheits- oder Finanzdaten gelten noch strengere Anforderungen. Hinzu kommt, dass viele KI-Anbieter ihre Server in den USA betreiben, was zusätzliche datenschutzrechtliche Prüfungen erfordert.

Der Schlüssel liegt daher in der Etablierung klarer Sicherheitsmaßnahmen: Single Sign-On, Zwei-Faktor-Authentifizierung und die Gewährleistung, dass Anbieter nachweisen können, dass sie Unternehmensdaten ordnungsgemäß verwalten und sichern können. Ebenso wichtig ist es, Proxy-Lösungen zu implementieren, die verhindern, dass Nutzerdaten und Eingaben direkt an KI-Anbieter übertragen werden. Unternehmen sollten außerdem klar definieren, welche Datentypen in KI-Tools eingegeben werden dürfen und welche nicht.

Wenn diese grundlegenden Sicherheitsmaßnahmen implementiert sind und Compliance, Sicherheitsteams und die Rechtsabteilung grünes Licht geben, dann kann Innovation ermöglicht werden, anstatt sie zu blockieren.“

Germany has seen significant momentum in the adoption of generative AI in recent months. According to current data from Bitkom e.V., two-thirds (67%) of German citizens over the age of 16 use generative AI solutions, such as ChatGPT, Microsoft Copilot, and Google Gemini, at least occasionally. In the summer of 2024, this figure was 40%. According to a Software AG survey, even if their company prohibited their use, German knowledge workers would still use AI tools. Shadow AI is already a reality in German offices, with or without the IT department’s permission.

This development is particularly notable against the backdrop of the new EU AI Act. Since February, European companies have had to comply with general regulations when using AI systems. The use of ChatGPT, Copilot, and similar AI systems from other providers is covered by this regulation. The problem worsens when employees carelessly enter sensitive company data into the AI tool, risking not only data breaches but also offering cybercriminals new targets.

Eric Johnson, CIO of PagerDuty, comments:

“Shadow AI is a symptom, not the problem itself. Most users employ AI tools because they perceive real added value: they save time, increase productivity, and achieve better results. Ignoring or banning AI is like trying to stop a thunderstorm by banning umbrellas.

A better approach is to accept the use of AI and establish guidelines. For example, have open discussions about why certain requirements are not being met and how IT can better support its employees. The training measures required by the EU AI Act help ensure compliance while teaching employees to use AI tools effectively and safely.

This is particularly relevant for German companies because they must comply not only with the EU AI Act but also with strict GDPR requirements. Even entering personal data into AI tools can be GDPR-relevant, and stricter requirements apply to sensitive data, such as health or financial information. Additionally, many AI providers operate their servers in the US, requiring additional data protection checks.

Therefore, the key is to establish clear security measures, such as single sign-on and two-factor authentication, and ensure that providers can demonstrate their ability to properly manage and secure corporate data. It is also important to implement proxy solutions that prevent user data and input from being transmitted directly to AI providers. Companies should also clearly define which data types can and cannot be entered into AI tools.

Once these basic security measures are in place and approved by compliance, security, and legal teams, innovation can be enabled instead of blocked.”