Log in
Sign up
Shadow AI governance discovery: a magnifying glass over a stack of papers

Sections

Schatten-KI: Warum unentdeckte KI ein Governance-Problem ist

Auf einen Blick

  • Schatten-KI bezeichnet den Einsatz beliebiger KI-Werkzeuge, KI-Funktionen oder KI-Agenten innerhalb einer Organisation ohne Governance-Aufsicht. Mittlerweile ist sie an etwa jedem fünften Datenleck in Unternehmen beteiligt.
  • Die meisten Beiträge zum Thema rahmen Schatten-KI als Cybersecurity-Story. Sie ist mindestens ebenso eine Governance-Entdeckungsfrage: Was nicht sichtbar ist, kann nicht registriert, bewertet oder geprüft werden.
  • Schatten-KI, KI-Wildwuchs (AI Sprawl) und KI-Stückliste (AI Bill of Materials) sind drei unterschiedliche Konzepte, die in der Branche gerne in einen Topf geworfen werden. Wer sie trennt, bekommt ein skalierbares Programm.
  • Die KI-Verordnung der EU, ISO/IEC 42001 und das NIST AI Risk Management Framework teilen eine stillschweigende Annahme: Die Organisation verfügt über ein vollständiges Inventar aller in Frage kommenden KI-Systeme. Schatten-KI macht diese Annahme leise ungültig.
  • Die Antwort ist kein Verbot (Verbote treiben den Verkehr in den Untergrund), sondern ein belastbares Entdeckungsprogramm, das in ein einziges KI-Register mündet, das gleichzeitig die Anhang VIII-Registrierung und das ISO-42001-Risikoregister speist.

Was Schatten-KI tatsächlich umfasst

Schatten-KI bezeichnet die Nutzung beliebiger KI-Werkzeuge, KI-Funktionen oder KI-Agenten innerhalb einer Organisation ohne formales Wissen, ohne Genehmigung und ohne Aufsicht der Personen, die für die Governance von KI verantwortlich sind: CISO, Datenschutzbeauftragte, KI-Governance-Verantwortliche, Compliance, oder wer immer dieses Mandat im Organisationsmodell innehat.

Das Bild, das einem zuerst einfällt, greift zu kurz: ein Beschäftigter, der ein vertrauliches Dokument in einen kostenlosen ChatGPT-Tab kopiert. Das ist eine Ausprägung, nicht die Kategorie als Ganzes. Schatten-KI tritt in mindestens drei Spielarten auf, und wer sie als ein einziges Problem behandelt, baut unvollständige Kontrollen.

Eigenständige Consumer-GenAI-Werkzeuge. Kostenlose oder günstige Chatbots, Bildgeneratoren, Code-Assistenten und Meeting-Transkribierer, abgerufen über einen Browser oder ein privates Konto. Die klassische Schatten-KI-Oberfläche und die am leichtesten über Netzwerktelemetrie zu entdeckende.

KI-Funktionen, die in genehmigten SaaS-Lösungen eingebettet sind. Die Organisation hat das SaaS genehmigt, der Anbieter hat eine neue KI-Funktion während der Vertragslaufzeit aktiviert. Plötzlich fasst das CRM Kundennotizen mit einem Foundation-Modell zusammen, die Kollaborationssuite entwirft E-Mails automatisch, das Projektwerkzeug schlägt Risiken vor. Im Beschaffungsprotokoll steht: keine KI genehmigt. Die Realität widerspricht. IBM beziffert den Anstieg der GenAI-Adoption unter Beschäftigten von 74 auf 96 Prozent zwischen 2023 und 2024, und ein Großteil dieser Bewegung läuft über diesen eingebetteten Pfad (IBM Think).

Interne Modelle, Skripte und Agenten. Eine Analystin verfeinert ein Open-Source-Modell auf dem Laptop. Ein Plattform-Engineer verbindet einen Agenten mit einem Model Context Protocol-Server und weitreichenden Berechtigungen. Ein Marketing-Team trainiert einen eigenen GPT auf einem sensiblen Korpus. Keines dieser Beispiele läuft über einen öffentlichen Drittanbieter-Chatbot, also entgeht es der klassischen Schatten-IT-Erkennung, erzeugt aber dieselbe Governance-Lücke.

Die hilfreiche Abgrenzung zu Schatten-IT ist eine Frage des Umfangs. Schatten-IT umfasst jedes nicht genehmigte Technologie-Asset. Schatten-KI ist die KI-förmige Teilmenge, und sie bringt Risiken mit, die klassische Schatten-IT nicht hat: probabilistische Ausgaben, Halluzination, undurchsichtige Trainingsdaten, Modell-Drift, Wertschöpfungsketten-Kontamination und ein eigenes Regulierungsregime, die KI-Verordnung, das die Verantwortung für diese Eigenschaften ausdrücklich zuweist.

Genau dieser letzte Punkt verschiebt Schatten-KI von einem Sicherheits- in ein Governance-Thema. Sicherheitsabteilungen haben zwei Jahrzehnte Erfahrung im Aufspüren nicht genehmigter SaaS-Tools. Die neue Disziplin der nächsten zwei Jahrzehnte heißt: KI regieren, von deren Existenz man nicht wusste.

Schatten-KI, KI-Wildwuchs und KI-Stückliste sind nicht dasselbe

In Blogs und Analystenberichten werden drei benachbarte Begriffe austauschbar verwendet. Sie meinen nicht dasselbe, und ihre Vermischung ergibt ein unscharfes Governance-Programm.

Schatten-KI ist eine Frage der Autorisierung. Ein System liegt im Schatten, sobald niemand mit Verantwortung dessen Existenz dokumentiert hat. Ein perfekt genehmigtes Werkzeug, das von einem nicht autorisierten Team genutzt wird, bleibt Schatten-KI, weil die Audit-Spur fehlt.

KI-Wildwuchs ist eine Frage der Vervielfachung, unabhängig davon, ob die Systeme genehmigt sind. Eine Organisation mit 80 genehmigten KI-Tools, verteilt auf 40 Teams ohne zentralen Katalog, hat Wildwuchs, nicht Schatten-KI im engeren Sinn. Wildwuchs entsteht, wenn die Entdeckung gelingt, die Konsolidierung jedoch nicht.

KI-Stückliste (AI Bill of Materials, AI BOM) ist das Dokumentationsartefakt, locker an die Software-Stückliste angelehnt. Für ein gegebenes KI-System listet die Stückliste die Komponenten auf: Foundation-Modell und Version, Trainings- und Feinabstimmungs-Datenquellen, Retrieval-Datenbanken, Drittanbieter-APIs, die zur Inferenzzeit aufgerufen werden, und Human-in-the-Loop-Kontrollpunkte. Die KI-Stückliste ist kein Problem, sondern ein Lieferprodukt, und sie macht die Schatten-KI-Behebung prüfbar.

Ein reifes Programm adressiert alle drei: Schatten-KI durch Entdeckung sichtbar machen, Wildwuchs durch Konsolidierung reduzieren und je System eine KI-Stückliste produzieren, damit das Register Substanz hat und nicht nur Namen und Verantwortliche.

Warum das Phänomen jetzt explodiert

Der Soziologe Marko Silic und Kollegen rahmen Schatten-KI in einem 2026er Preprint als sozio-technisches Governance-Versagen und nicht als Sicherheitsvorfall, mit dem Argument, der generative, opake und autonome Charakter von KI erzeuge neuartige Herausforderungen, die bestehende IT-Governance nicht absorbieren kann (Silic et al., Preprints.org). Ihre Rahmung deckt sich mit dem, was Unternehmen vor Ort erleben. Vier Kräfte verstärken sich gegenseitig.

Die Consumerisierung von GenAI. Ein kostenloses OpenAI-Konto oder ein Fünfzehn-Euro-Abo liefert eine Fähigkeit, für die vor zwei Jahren ein Beschaffungszyklus und eine Cloud-Rechnung nötig waren. Die Reibung, die nicht genehmigte Tools früher bremste, ist verschwunden.

Eingebettete KI in genehmigten SaaS. Wenn ein Anbieter unter Vertrag eine KI-Funktion standardmäßig aktiviert, ändert sich der Vertrag nicht, aber der Datenfluss schon. Wenige CISOs verfügen über die vertragliche Instrumentierung, um zu wissen, wann ihr fünftgrößter SaaS-Anbieter im Stillen eine retrieval-augmentierte Generierung auf Tenant-Daten freigeschaltet hat.

Agenten und die MCP-Schicht. Model Context Protocol-Server und autonome Agenten stellen eine neue Schatten-Oberfläche dar, für die klassische Secure Web Gateways nicht ausgelegt waren. Ein Agent, der einen MCP-Server aufruft, erbt dessen Berechtigungen, die über die des aufrufenden Nutzers hinausgehen können. Ohne dedizierte Sichtbarkeit ist der Wirkungsradius einer Agentenbereitstellung unbekannt.

Die Geschwindigkeitslücke zwischen IT und Fachbereichen. Beschäftigte greifen aus demselben Grund zu Schatten-KI wie früher zu Schatten-SaaS: weil es schneller geht als der offizielle Weg. Wie ein Splunk-Erklärartikel anmerkt: Wer Consumer-KI-Tools verbietet, ohne eine interne Alternative anzubieten, drängt die Nutzung nur tiefer in den Untergrund (Splunk).

Die Zahlen sind eindeutig. Gartner prognostiziert, dass bis 2030 mehr als 40 Prozent der Unternehmen mindestens einen Sicherheits- oder Compliance-Vorfall im Zusammenhang mit Schatten-KI erleben werden (Gartner-Mitteilung, November 2025). Der IBM Cost-of-a-Data-Breach-Report 2025 beziffert die Kostenprämie Schatten-KI-bezogener Datenlecks auf rund 4,63 Millionen US-Dollar gegenüber 3,96 Millionen für Standard-Lecks und stellt fest, dass nur 37 Prozent der Organisationen eine Richtlinie zur Steuerung oder Erkennung von Schatten-KI haben (IBM Cost of a Data Breach 2025). Etwa eines von fünf Datenlecks weist Schatten-KI als beitragenden Faktor aus.

Die Richtung ist eindeutig. Die strategische Frage lautet: Wird die Lücke als Sicherheitsproblem gepatcht, oder als Governance-Disziplin aufgebaut?

Das Governance-Risiko: was Schatten-KI tatsächlich bricht

Die Sicherheitserzählung ist intuitiv: sensible Daten verlassen den Perimeter, Aufsichtsbehörden verhängen Bußgelder, Kunden wechseln. Sie ist real, und andere Artikel erzählen sie gut. Die Governance-Erzählung ist weniger erzählt und folgenreicher. Drei Regulierungs- und Normungsregime laufen ineinander, und alle drei beruhen auf einer einzigen Annahme, die Schatten-KI ungültig macht.

Registrierungspflicht nach der KI-Verordnung

Artikel 49 der KI-Verordnung verlangt, dass Anbieter von Hochrisiko-KI-Systemen, die in Anhang III aufgeführt sind, sich und das System in der EU-Datenbank registrieren, bevor das System in Verkehr gebracht oder in Betrieb genommen wird. Behörden als Betreiber müssen ihren Einsatz dieser Systeme ebenfalls registrieren. Der geforderte Inhalt ist in Anhang VIII festgelegt und umfasst Anbieteridentität, Bezeichnung und Zweckbestimmung des KI-Systems, Gebrauchsanweisung, Konformitätsbescheinigung, Status (in Verkehr, zurückgerufen, vom Markt genommen) und Zusammenfassungen von Folgenabschätzungen (Artikel 49, Anhang VIII).

Die Vollzugsimplikation für Schatten-KI ist direkt. Wenn ein Werkzeug, das in der Organisation eingesetzt wird, ob genehmigt oder nicht, in die Hochrisiko-Kategorien des Anhang III fällt (Beschäftigtenauswahl, Kreditscoring, biometrische Identifizierung, kritische Infrastruktur, Bildung, Strafverfolgung, Migration, Justizverwaltung), ist die Registrierung eine gesetzliche Pflicht, keine Best Practice. Ein Schatten-System, das sich als Hochrisiko-System entpuppt, ist eine versäumte Registrierung, und damit genau der Typ tatsächlicher Nichtkonformität, den die nationalen Marktüberwachungsbehörden verfolgen werden.

Die Betreiberpflichten der Artikel 26 und 27 verstärken das Risiko. Betreiber müssen die Gebrauchsanweisung des Anbieters befolgen, Protokolle führen, menschliche Aufsicht sicherstellen und, bei öffentlichen oder sektorspezifisch verpflichteten Betreibern, eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Schatten-Bereitstellung verstößt im Stillen gegen alle vier, weil das System nie auf dem Inventar war, das sie ausgelöst hätte.

Dieser Abschnitt ist rein deskriptiv zum Gesetzestext. Die Pointe ist nicht, was Leser daraus ableiten sollten. Die Pointe ist, dass Schatten-KI eine Dokumentationspflicht in einen Dokumentationsfehler umwandelt, ohne dass es jemand bemerkt, bis ein Audit kommt.

ISO/IEC 42001 und die Anwendbarkeitserklärung

Klausel 6 von ISO/IEC 42001 verlangt, dass die Organisation KI-bezogene Risiken und Chancen identifiziert, behandelt und die Behandlung in einem KI-Risikoregister dokumentiert. Anhang A bietet einen Katalog empfohlener Kontrollen, und die Anwendbarkeitserklärung (Statement of Applicability) erklärt, welche Kontrollen in- oder ausgeschlossen sind, mit Begründung.

Schatten-KI bricht diese Struktur doppelt. Erstens ist das Risikoregister konstruktionsbedingt unvollständig: Ein System, von dem niemand weiß, kann keine dokumentierte Risikobehandlung haben. Zweitens behauptet die Anwendbarkeitserklärung, dass bestimmte Kontrollen auf bestimmte Systeme angewendet werden. Sobald ein Schatten-System in den Geltungsbereich eintritt, werden diese Behauptungen ungenau, und zertifizierte Organisationen riskieren eine Nichtkonformität bei der Re-Zertifizierung.

Die praktische Folge: Eine 42001-Zertifizierung ist nur so glaubwürdig wie das Entdeckungsprogramm dahinter. Organisationen, die sich auf die Zertifizierung vorbereiten, stellen oft schmerzhaft fest, dass die Lücke zwischen der genehmigten KI-Liste und der tatsächlichen KI-Landschaft breiter ist, als der Audit-Zeitplan absorbieren kann.

Die MAP-Funktion des NIST AI RMF

Das NIST AI Risk Management Framework 1.0 ordnet vertrauenswürdige KI-Aktivitäten vier Funktionen zu: GOVERN, MAP, MEASURE, MANAGE. GOVERN setzt Politik und Verantwortlichkeit. MAP, die zweite Funktion, verlangt, was NIST kontextuelle Analyse nennt: für jedes KI-System Zweck, Eigentümer, Trainingsdaten, Bereitstellungsstatus, Integrationspunkte zu kennen (NIST AI RMF).

Schatten-KI schlägt MAP an der Wurzel aus. Den Kontext eines nicht identifizierten Systems kann man nicht charakterisieren. Das NIST AI 600-1-Profil zur generativen KI verschärft das, indem es zwölf GenAI-spezifische Risikokategorien benennt (Datenschutz, Informationssicherheit, Wertschöpfungskette, Mensch-KI-Konfiguration, Konfabulation, schädlicher Bias, u. a.), die alle Sichtbarkeit auf Systemebene voraussetzen (NIST AI 600-1).

Die OWASP AI Exchange, seit März 2025 OWASP-Flaggschiff, formuliert denselben Punkt aus der Sicht des Kontrollkatalogs: Jede KI-Bedrohung und jede Kontrolle setzt ein bekanntes Asset voraus. Wo das Asset im Schatten liegt, schweigt das Bedrohungsmodell (OWASP AI Exchange). Die in Arbeit befindlichen harmonisierten Normen des CEN-CENELEC (prEN 18228, prEN 18282) folgen derselben Logik auf europäischer Ebene.

Drei Referenzrahmen, eine unausgesprochene Abhängigkeit: Man muss wissen, welche KI man hat.

Schatten-KI tatsächlich entdecken: fünf Ebenen

Entdeckung muss vielschichtig erfolgen, weil kein einzelnes Signal jede Schatten-KI-Spielart erfasst. Die folgenden fünf Ebenen ergeben in Kombination eine vertretbare Abdeckung.

Ebene 1: Netzwerk- und SaaS-Telemetrie. DNS-Logs, Secure-Web-Gateway-Daten, CASB-Telemetrie und Browser-Erweiterungen zeigen Datenverkehr zu bekannten Consumer-KI-Endpunkten. Erfasst den klassischen ChatGPT-im-Browser-Fall. Verfehlt alles, was innerhalb eines genehmigten SaaS oder hinter einer Unternehmens-IP läuft.

Ebene 2: Identitätsaudit. OAuth-Berechtigungsverlauf, SSO-Logs und Zustimmungsbildschirme zeigen, welche KI-Drittdienste Zugriff auf die Unternehmensidentität erhalten haben. Erfasst Dienste, die sich auf die Identität von Google Workspace oder Microsoft 365 stützen. Verfehlt vollständig isolierte Nutzungen.

Ebene 3: Audit eingebetteter KI-Funktionen in genehmigten SaaS. Direkter Dialog mit jedem der zwanzig größten SaaS-Anbieter: Welche KI-Funktionen sind standardmäßig aktiv, welche sind Opt-in, wohin fließen die Daten. Unglamouröse Einkaufsarbeit, aber genau sie bringt die eingebettete Spielart ans Licht, die Telemetrie nicht sieht.

Ebene 4: Amnestie- und Befragungsprogramme. Ein klar kommuniziertes Amnestiefenster, in dem Beschäftigte ihre KI-Nutzung ohne Sanktion offenlegen. Kombiniert mit einer kurzen, ehrlichen Befragung erzeugt das eine qualitative Entdeckung, die keine Telemetrie erreicht. Erfolgsbedingung ist psychologische Sicherheit, nicht Werkzeug.

Ebene 5: KI-bewusstes Data Loss Prevention. Prompt-Ebenen-Inspektion in genehmigten Kanälen mit Mustererkennung für Datenexfiltration. Das ist der aktuelle Investitionsschwerpunkt der Cybersicherheitsbranche und die Ebene, die die meisten Anbieter-Blogs hervorheben. Notwendig, isoliert aber nicht hinreichend.

Keine Organisation erreicht hundert Prozent Abdeckung. Das realistische Ziel ist ein ausreichend dichter Sweep, sodass das verbleibende Unbekannte klein, dokumentiert und sinkend ist. Der Fehler besteht darin, eine einzige Ebene überzuinvestieren und das Entdeckung zu nennen.

Von der Entdeckung zum KI-Register

Entdeckung ohne Ziel ist ein einmaliges Tabellenblatt, das in einem Quartal veraltet. Das Ziel ist ein zentrales KI-Register, das jedes der Organisation bekannte System aufnimmt, in einer Struktur, die gleichzeitig Aufsichtsbehörden, Normungsorganen und der internen Risikofunktion gerecht wird.

Pro System muss das Register erfassen:

  • Identität: Name, Eigentümer, fachlicher Sponsor, technischer Sponsor
  • Zweck: Zweckbestimmung, verbotene Verwendungen, in-scope Nutzerpopulationen
  • Daten: Klassifizierung von Ein- und Ausgaben, Trainings- und Feinabstimmungsdatenquellen, Retrieval-Datenbanken
  • Lieferkette: Foundation-Modell und Version, Feinabstimmungs-Anbieter, Hosting-Umgebung, Drittanbieter-APIs zur Inferenzzeit
  • Lebenszyklusstatus: Pilot, Produktion, abgeschaltet; Datum der Inbetriebnahme
  • Regulatorische Einstufung: Risiko-Klassifizierung KI-Verordnung, Anwendbarkeit ISO 42001 Anhang A, NIST-AI-RMF-Profilzuordnung
  • Restrisiko: nach Kontrollen, mit benanntem Akzeptanzverantwortlichen
  • Nachweise: Verweise auf FRIA, Konformitätsbescheinigungen, Model Cards, Datasheets

Der KI-Stücklisten-Abschnitt jedes Eintrags ist das, was ein System prüfbar macht. Modellabstammung, Trainingsdatenzusammensetzung, Retrieval-Indizes und nachgelagerte API-Abhängigkeiten bilden ein Graph, das ein externer Prüfer gegen den tatsächlichen Einsatz verifizieren kann.

Richtig gemacht ist das Register die einzige Quelle, die drei nachgelagerte Artefakte speist: das Anhang VIII-Einreichungspaket, wenn ein System der KI-Verordnung unterliegt, das ISO-42001-Risikoregister samt Anhängen der Anwendbarkeitserklärung und die MAP-Ausgaben des NIST AI RMF. In drei separaten Tabellenblättern gebaut, driften sie binnen Wochen auseinander. Einmal, mit dem richtigen Schema, gebaut, ergeben sie einen Governance-Hebel.

Schatten-KI ins Licht holen: ein 60-Tage-Plan

Die Reihenfolge zählt, denn Entdeckung ohne Befähigung erzeugt Widerstand und treibt Schatten-KI weiter in den Untergrund.

Wochen 1 bis 2. Ankündigung des Amnestiefensters. Kommunikation mit dem Ziel: KI ermöglichen, nicht verbieten. Aufbau des Register-Skeletts mit minimalem Schema. Erfassung der Basistelemetrie über alle fünf Ebenen.

Wochen 3 bis 4. Entdeckungs-Sweep. Kombination aus Telemetrie, Identitätsaudit, SaaS-Anbietergespräch und Amnestiebefragung. Überraschungen sind in der eingebetteten Kategorie erwartbar.

Wochen 5 bis 6. Triage. Regulatorische Exposition zuerst, geschäftliche Kritikalität danach. Systeme identifizieren, die dem Anhang III der KI-Verordnung entsprechen, denn sie tragen Registrierungspflichten unabhängig vom restlichen Reifegrad des Programms.

Wochen 7 bis 8. Migration des Triage-Ergebnisses in das Register. Für jedes Tier-1-System die KI-Stückliste, die FRIA (wo zutreffend), die Model Card und die Datenklassifizierung anhängen. Für niedrigere Tiers Identität und Zweck erfassen und die Tiefendokumentation in den nächsten Sprint verschieben.

Nach Tag 60 wird das Programm operativ: Neuaufnahmen ersetzen die Entdeckung, das Register speist die Regulierungs- und Audit-Pipelines, und der nächste Sprint widmet sich der Wildwuchs-Frage (Konsolidierung, Stilllegung, Außerdienststellung).

Der zu vermeidende Fehlermodus ist Überengineering. Ein perfektes Register, das niemand pflegt, ist weniger wert als ein grobes Register, das achtzig Prozent der Systeme erfasst und vierteljährlich aktualisiert wird. Leicht starten, Eingaben fließen lassen und die Präzision von der regulatorischen Realität formen lassen.

Häufige Fragen

Was ist Schatten-KI in einfachen Worten? Schatten-KI ist die Nutzung beliebiger KI-Werkzeuge, KI-Funktionen oder KI-Agenten in der Organisation, von der die für KI-Governance verantwortlichen Personen nichts wissen. Das kann ein Mitarbeiter sein, der einen kostenlosen Chatbot nutzt, eine KI-Funktion, die in einem genehmigten SaaS aktiviert wurde, oder ein intern gebautes Modell auf einem Laptop. Gemeinsam ist allen, dass das System auf keinem Inventar steht und damit nicht gesteuert wird.

Ist Schatten-KI dasselbe wie Schatten-IT? Nein. Schatten-IT ist die umfassendere Kategorie aller nicht genehmigten Technologie-Assets. Schatten-KI ist die KI-förmige Teilmenge und bringt eigene Risiken mit: probabilistische Ausgaben, Halluzination, undurchsichtige Trainingsdaten, Modell-Drift und ein eigenes Regulierungsregime in der EU. Schatten-IT-Kontrollen erfassen Teile der Schatten-KI, verfehlen aber die eingebetteten und internen Spielarten vollständig.

Wie groß ist das Problem 2026? Gartner prognostiziert, dass bis 2030 mehr als 40 Prozent der Unternehmen mindestens einen Vorfall im Zusammenhang mit Schatten-KI haben werden. Der IBM Cost-of-a-Data-Breach-Report 2025 zeigt, dass etwa eines von fünf Datenlecks Schatten-KI als Faktor enthält und diese Lecks im Schnitt 0,67 Millionen US-Dollar teurer sind als Standard-Lecks. Nur 37 Prozent der Organisationen verfügen über eine Richtlinie zur Steuerung oder Erkennung.

Verlangt die KI-Verordnung ein Inventar der Schatten-KI? Die KI-Verordnung verwendet das Wort „Inventar“ nicht, die Wirkung ist aber dieselbe. Artikel 49 verlangt die Registrierung der Hochrisiko-Systeme des Anhangs III vor Markteinführung. Artikel 26 und 27 legen Betreiberpflichten fest (Protokollierung, Aufsicht, Gebrauchsanweisung, FRIA für in-scope-Betreiber), die ohne Kenntnis der in-scope-Systeme nicht erfüllbar sind. Ein Schatten-System, das sich als Hochrisiko erweist, ist faktisch eine Compliance-Lücke auf Vollzug wartend.

Wie behandelt ISO 42001 Schatten-KI? Klausel 6 von ISO/IEC 42001 verlangt ein KI-Risikoregister. Anhang A liefert einen Kontrollkatalog, und die Anwendbarkeitserklärung benennt, welche Kontrollen für welche Systeme gelten. Schatten-KI bricht beides: Das Risikoregister ist konstruktionsbedingt unvollständig, und die Anwendbarkeitserklärung wird ungenau, sobald ein Schatten-System in den Geltungsbereich kommt. Deshalb beginnen Zertifizierungsaudits oft mit einer Entdeckungsübung statt mit einer Kontrollprüfung.

Was ist der Unterschied zwischen Schatten-KI und KI-Wildwuchs? Schatten-KI dreht sich um Autorisierung: Ein System liegt im Schatten, wenn Governance nichts davon weiß. KI-Wildwuchs dreht sich um Vermehrung: viele KI-Systeme, genehmigt oder nicht, die sich ohne zentralen Katalog ausbreiten. Man kann Wildwuchs ohne Schatten haben (alles ist erfasst, es sind nur achtzig) und Schatten ohne Wildwuchs (zwei nicht genehmigte Werkzeuge, in breiter Nutzung). Ein reifes Programm adressiert beides, und die KI-Stückliste pro System ist das Bindeglied.

Was muss ein KI-Register mindestens enthalten? Mindestens: Systemidentität und Eigentümer, Zweck und in-scope-Nutzer, Datenklassifizierungen, Foundation-Modell und Version, Drittanbieter-APIs zur Inferenzzeit, Lebenszyklusstatus, regulatorische Einstufung, Restrisiko nach Kontrollen und Verweise auf Belege (Model Card, Datasheet, Konformitätsbescheinigung, FRIA). Jeder Eintrag dient gleichzeitig als Quelle für die Anhang VIII-Einreichung der KI-Verordnung, das ISO-42001-Risikoregister und die MAP-Ausgabe des NIST AI RMF.

Fazit

Schatten-KI weicht weder Verboten noch reiner Cybersecurity-Werkzeugkette. Sie ist ein als Sicherheitsproblem verkleidetes Governance-Entdeckungsproblem, und die Organisationen, die sie als solches behandeln, werden die nächsten zwei Jahre damit verbringen, Register, KI-Stücklisten und Risikobehandlungen aufzubauen, die ein Audit überleben. Diejenigen, die sie als Perimeter-Problem behandeln, werden dieselben zwei Jahre mit Incident-Response verbringen. Das Lieferprodukt ist in beiden Fällen identisch: ein einziges, aktuelles, glaubwürdiges Inventar jedes KI-Systems, das die Organisation betreibt. Die Frage ist nur, ob man es im eigenen Tempo baut oder unter dem Druck der Aufsichtsbehörde.

Dr. Anna Hoffmann

Das größte Risiko generativer KI: Warum Halluzinationen jede andere Schwachstelle überlagern

Das dominante Risiko generativer KI ist weder Bias noch Urheberrecht, sondern die Halluzination. Hier ist der Beleg, und das ergibt sich daraus für Betreiber.

Schatten-KI: Warum unentdeckte KI ein Governance-Problem ist

Schatten-KI bricht die Inventarpflichten der KI-Verordnung, ISO 42001 und des NIST RMF. So entdecken und registrieren Sie sie.

EU-KI-Verordnung, der operative Leitfaden für die Compliance 2026

Verordnung 2024/1689 für Praktiker erklärt. Risikoklassen, GPAI, Konformitätsbewertung, Bußgelder und Compliance-Start mit Zeitplan 2026.

KI-Regulierung 2026: Das Handbuch für Betreiber

KI-Pflichten nach Typ kartieren. Transparenz, Risiko, Marktbeobachtung in EU-KI-Verordnung, NIST, ISO 42001, Europarat-KI-Konvention.

KI-Governance-Tools 2026: Die Compliance-Plattform und das Tool-Umfeld

KI-Governance-Tools bilden zwei Ebenen: eine compliance-native Plattform und ergänzende Werkzeuge. Zuordnung nach Ihrer Rolle unter EU AI Act, ISO 42001 und NIST AI RMF.

Die europäische KI-Verordnung: ein operatives Handbuch für Anbieter und Betreiber

Die europäische KI-Verordnung, nach Rolle entschlüsselt. Anbieter, Betreiber, GPAI: wer muss was bis wann mit welchem Governance-Artefakt liefern.