Die Risiken der Verwendung von Shadow AI durch Arbeitnehmer
Mit der zunehmenden Verbreitung von KI-Tools taucht ein neues Problem auf: Wenn Arbeitgeber keine genehmigten KI-Tools bereitstellen, nutzen viele Arbeitnehmer trotzdem die Tools, die sie bevorzugen.
In Sektoren wie dem Gesundheitswesen, der Fertigung und den Finanzdienstleistungen stieg die Verwendung von so genannten Shadow AI-Tools am Arbeitsplatz im vergangenen Jahr um mehr als 200%, wie aus den CX Trends 2025 von Zendesk hervorgeht. Unter den Unternehmensmitarbeitern, die generative KI am Arbeitsplatz nutzen, greifen fast sieben von zehn auf öffentliche GenAI-Assistenten wie ChatGPT zu. Eine Umfrage von Telus Digital ergab, dass 46% der Büroangestellten – einschließlich IT-Fachleuten, die die Risiken verstehen – KI-Tools verwenden, die ihre Arbeitgeber nicht bereitgestellt haben.
Wie Shadow AI Organisationen verwundbar macht
Parallel zu Shadow IT bezeichnet Shadow AI die Nutzung von nicht genehmigten oder nicht sanktionierten KI-Tools. Beispiele sind die Verwendung von Microsoft Copilot mit einem persönlichen Konto auf einem Arbeitsgerät oder das Eingeben von Unternehmensdaten in eine öffentliche Version von ChatGPT. Die Palette der nicht genehmigten KI-Tools reicht von Co-Piloten über Agenten bis hin zu Workflow-Automatisierungen und Chatbots.
Obwohl Shadow AI-Tools die Produktivität oder Zufriedenheit der Arbeitnehmer steigern könnten, gibt es erhebliche organisatorische Nachteile.
Das größte Risiko besteht darin, dass Shadow AI-Tools direkt die Datenprivatsphäre und Sicherheit gefährden. Das Eingeben von Daten wie Kundeninformationen oder Finanzunterlagen in öffentliche KI-Tools kann zu Verstößen gegen Vorschriften wie GDPR oder HIPAA führen oder proprietäre Daten gefährden. Die Compliance- und Reputationsrisiken der unautorisierten Nutzung von KI-Anwendungen sind besonders ausgeprägt in stark regulierten Sektoren wie Finanzen und Gesundheitswesen.
Ein weiteres Sicherheitsproblem besteht darin, dass jede nicht genehmigte Software Netzwerk- oder Systemanfälligkeiten einführen kann. Shadow AI-Nutzung kann dazu führen, dass schadhafter Code, Phishing-Versuche oder andere Sicherheitsverletzungen unentdeckt bleiben, bis es zu spät ist.
Wie man die Nutzung von Shadow AI eindämmt
Shadow AI ist nicht nur ein Zeichen für eine laxen Technikumgebung oder Lücken in der IT-Sicherheit – es ist ein Hinweis darauf, dass Arbeitnehmer ein Bedürfnis haben, das durch bestehende KI-Tools und -Richtlinien nicht gedeckt wird. Die Lösung besteht darin, Arbeitnehmer zu aktiven Partnern bei der Entwicklung von KI-Governance zu machen, indem ein offener Dialog über die Nutzung und Tools von KI gefördert wird.
Ein risikobasierter Ansatz zur KI-Einführung, der sich auf die Daten konzentriert, die in die KI eingehen, und darauf, wie das Unternehmen mit diesen Daten umgeht, wird als wesentlich erachtet. Dieser Ansatz ähnelt dem Lieferantenrisikomanagement und ermöglicht es Organisationen, bewährte Praktiken und Prozesse zu nutzen, die einfach auf KI-spezifische Fragen angepasst werden.
Die offizielle Einführung und Integration von KI-Co-Piloten ist ein Weg, die Nutzung von Shadow AI zu bekämpfen. Arbeitnehmer, die keinen genehmigten Co-Piloten verwenden können, könnten auf ein externes Tool zurückgreifen. Zendesk empfiehlt, die Integration von KI-Co-Piloten zu priorisieren, um den Mitarbeitern zu helfen, Privatsphäre und Sicherheit zu wahren, während sie die Vorteile von Co-Pilot-Tools nutzen.
