Schatten-KI

Cyber Security Gefahren, Human Risk Management

Ohne Risiko KI-Sicherheit und Produktivität in Einklang bringen

15. Juni 2026 · 5 min read

Die meisten Gespräche über KI-Sicherheit beginnen bei den Angreifern. Doch dies zeichnet nur das halbe Bild.

Im Webinar SoSafe Live | In Action – Securing The AI Workplace zeigte die Publikumsumfrage, dass Teams etwas viel Unmittelbareres beschäftigt: Enablement und Schatten-KI. Das sagt viel darüber aus, wo Sicherheitsverantwortliche den Druck spüren. Mitarbeitende nutzen bereits KI, um schneller voranzukommen. Die Frage ist, ob das Unternehmen diese Nutzung sicher gestalten kann, bevor sie in privaten Konten und nicht verwalteten Tools verschwindet.

Das Playbook zur adaptiven Verteidigung von SoSafe hat ermittelt, dass 97 % der Sicherheitsverantwortlichen KI als Haupttreiber für die jüngste Zunahme der Komplexität von Bedrohungen ansehen. Außerhalb der Organisation skalieren Angreifer ihre Vorgehensweisen. Zur gleichen Zeit führen Mitarbeitende innerhalb der Organisation KI-Tools ein, um Notizen zusammenzufassen, Dokumente zu bereinigen, Nachrichten zu entwerfen, Code zu debuggen und Routinearbeiten zu erleichtern.

In der gleichen Umfrage gaben 40 % der Sicherheitsexperten an, dass sie die Nutzung von Schatten-KI oder eine unsichere KI-Nutzung in ihren Unternehmen festgestellt haben, einschließlich nicht genehmigter Tools oder der Eingabe sensibler Daten in diese Tools.

Mit diesen zwei Seiten haben Teams zu tun: eine ist böswillig, die andere hat gute Absichten. Beide können ein Risiko darstellen.

Schatten-KI beginnt meist mit einer normalen Aufgabe

Oft entsteht Schatten-KI, wenn Mitarbeitende öffentliche Tools nutzen, um die tägliche Arbeit zu erleichtern, z. B. um interne Notizen zusammenzufassen, einen Entwurf zu verbessern oder ein langes Dokument verständlich zu machen. Das Risiko wächst, wenn diese kleinen Arbeitserleichterungen einen sensiblen Kontext und Inhalte betreffen, die in genehmigten Systemen verbleiben sollten.

Im Webinar hob Harry Jeyarajah, Head of Solution Engineering bei SoSafe, eine häufige Sichtbarkeitslücke hervor: Oft passieren viele dieser Aktivitäten über persönliche oder nicht von der Organisation gemanagte Konten. Sicherheitsteams bekommen den Prompt, die hochgeladene Datei oder die spätere Verwendung der Ausgabe möglicherweise nie zu Gesicht.

KI vollständig zu blockieren mag sich sicherer anfühlen, kann aber das Verhalten noch weiter aus dem Blickfeld drängen. Für wettbewerbsfähige Teams sind die Tools durchaus nützlich. Mitarbeitende werden weiterhin nach Möglichkeiten suchen, schneller zu arbeiten. Ein striktes „Nein“ kann ein sichtbares Einführungsproblem in ein unsichtbares Datenproblem verwandeln.

Das Risiko ist größer als nur vertrauliche Daten

Die Offenlegung sensibler Daten ist die offensichtlichste Sorge. Sie ist aber nicht die einzige.

Harry wies auch auf Risiken hin, für die traditionelle Security-Awareness-Trainings nicht ausgelegt waren: Halluzinationen, Prompt-Injection und das Trainieren öffentlicher Modelle mit firmeneigenem geistigem Eigentum.

Das verändert, was Mitarbeitende von einem Security-Awareness-Training benötigen. Sie müssen nicht nur wissen, welche Tools genehmigt sind. Sie müssen wissen, wie KI Fehler machen kann, wie die Ergebnisse überprüft werden sollten und wo niemals Unternehmensinformationen eingegeben werden dürfen.

Eine Richtlinie kann Mitarbeitenden vorschreiben, keine vertraulichen Informationen in ein nicht genehmigtes Tool einzufügen. Sie hilft ihnen aber oft nicht bei der Entscheidung, ob Besprechungsnotizen, Quellcode, interne Strategien oder Kundeninformationen in einem konkreten Moment als sensibel gelten. Hierbei handelt es sich um Workflow-Fragen, die praktische Beispiele erfordern.

Angst macht Schatten-KI schwerer erkennbar

Die KI-Governance muss auch Unsicherheiten der Mitarbeitenden berücksichtigen. Manche machen sich Sorgen, das falsche Tool zu verwenden, versehentlich Daten preiszugeben oder hinter Kolleginnen und Kollegen zurückzufallen, die KI bereits regelmäßig nutzen. Andere meiden KI möglicherweise komplett. Wiederum andere nutzen sie heimlich, weil sie ihnen hilft, schneller zu arbeiten.

Eine von Angst geprägte Kommunikation löst das Problem nicht. Wenn Mitarbeitende nur von Risiken und Einschränkungen hören, hören sie möglicherweise auf, Fragen zu stellen. Das verschafft Sicherheitsteams weniger Sichtbarkeit, nicht mehr.

Viel besser ist ein Ansatz, der der Belegschaft sichere Möglichkeiten zum Experimentieren gibt. Teilen Sie Beispiele für die genehmigte Nutzung. Zeigen Sie, wie ein guter Prompt aussieht. Erklären Sie, warum bestimmte Daten außen vor bleiben müssen. Geben Sie den Mitarbeitenden einen Ort, an dem sie nachfragen können, wenn eine Antwort nicht offensichtlich ist.

So kommt Schatten-KI allmählich ans Licht. Nicht, weil die Menschen zur Einhaltung von Vorschriften gezwungen werden, sondern weil der sicherere Weg einfacher zu beschreiten ist.

Sicheres KI-Enablement muss zur Belegschaft passen

KI-bezogene Anweisungen müssen dazu passen, wie Teams tatsächlich arbeiten. Eine lange, technische Sitzung wird einer gemischten Belegschaft nicht helfen, sicherere Gewohnheiten aufzubauen, besonders, wenn die KI-Nutzung mittlerweile bei alltäglichen Aufgaben und nicht nur in technischen Rollen zutage tritt.

Beginnen Sie mit den Verhaltensweisen, die das größte Risiko darstellen, und entwickeln Sie dann Anleitungen für die Situationen, in denen Mitarbeitende am ehesten ohne nachzudenken auf KI zurückgreifen.

Die KI-Awareness-Module von SoSafe unterstützen dies durch kurze Lektionen zur sicheren Nutzung von KI, der Faktenprüfung bei der KI-Nutzung, Prompting und Halluzinationen. Das Format ist für Mobilgeräte optimiert, eignet sich sowohl für Mitarbeitende im Büro als auch für Frontline-Mitarbeitende ohne festen Büroarbeitsplatz und ist in mehr als 30 Sprachen verfügbar.

KI-Sicherheit mit alltäglicher Produktivität in Einklang bringen

Sicherheitsverantwortliche müssen dafür sorgen, dass die sichere Nutzung einfacher ist als die versteckte Nutzung.

Das bedeutet, den Mitarbeitenden genehmigte Tools, praktische Regeln und kurze Lernmomente an die Hand zu geben, die sie tatsächlich während der Arbeit nutzen können. Es bedeutet auch, Schatten-KI als Signal zu behandeln. Wenn Menschen zu nicht genehmigten Tools greifen, zeigen sie in der Regel auf, wo das Unternehmen noch keinen praktikablen Weg bereitgestellt hat.

Die komplexe Mischung aus internen und externen Bedrohungen ist einfacher zu handhaben, wenn Sicherheit und Produktivität gemeinsam gestaltet werden. Mitarbeitende gewinnen die Souveränität, KI verantwortungsvoll zu nutzen. Sicherheitsteams haben weniger Transparenzlücken. Die Organisation muss nicht auf den Mehrwert der KI verzichten, ohne dass die Mitarbeitenden raten müssen, wo die Grenzen liegen.

Helfen Sie Mitarbeitenden, KI bei der täglichen Arbeit souverän und sicher zu nutzen.

Den KI-Arbeitsalltag sicher machen

Watch the SoSafe team demo practical workflows for the AI workplace, from recreating real attacks as simulations to turning AI policies into interactive lessons.

Webinar ansehen

Das könnte Sie auch interessieren:

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual Hero Background

Erleben Sie unsere Produkte aus erster Hand

Nutzen Sie unsere Online-Testumgebung, um herauszufinden, wie unsere Plattform Ihr Team bei der kontinuierlichen Abwehr von Cyber-Bedrohungen unterstützen und die Sicherheit Ihres Unternehmens gewährleisten kann.

The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.