

Die Shadow AI, die ihr selbst genehmigt habt
Mario Beck
2026-06-18
Fragt eine Sicherheitsverantwortliche nach Shadow AI, und ihr hört von Mitarbeitenden, die Code und Verträge in ChatGPT einfügen. Fair genug. Das ist real, und es lohnt sich, es zu managen.
Aber das ist nicht der am schnellsten wachsende Teil. Der am schnellsten wachsende Teil ist die KI, die ihr selbst genehmigt habt, ohne es zu merken.
Ein CISO bei einem großen Pharmaunternehmen hat es mir besser beschrieben, als ich es könnte. Ich paraphrasiere, um ihn anonym zu halten: Wenn KI-Funktionen über Tools ankommen, die ihr bereits nutzt, das CRM, das ERP, die Produktivitätssuite, die Dokumentenumgebung, dann trägt die Organisation, die sie einsetzt, die Entscheidung, sie zu klassifizieren, zu genehmigen, zu überwachen oder einzuschränken. Aber sie werden fast nie früh genug informiert. Es ist reines Glück, oder jemand bemerkt es zufällig und erwähnt es gegenüber dem CISO, falls es überhaupt einen gibt. Es gibt keinen Prozess dafür.
Dieser Satz ist mir im Kopf geblieben, weil er das ganze Problem benennt. Nicht "Mitarbeitende sind unvorsichtig." Etwas Leiseres: die Entscheidung liegt bei euch, und niemand leitet sie zu euch weiter.
Wie die KI ohne Meeting hereinkommt
Eure vertrauten Anbieter liefern Updates. Microsoft, Adobe, Zoom, Notion, SAP, euer CRM. Eines dieser Updates schaltet eine generative-KI-Funktion frei, oft standardmäßig, und jetzt fließen Unternehmensdaten durch die KI-Infrastruktur eines Drittanbieters. Kein Rollout-Plan ist über euren Tisch gegangen. Kein Risiko-Review hat stattgefunden. Die Funktion ist einfach aufgetaucht, so wie Funktionen das tun.
Microsoft meldete beim Q2-FY26-Ergebnis Ende Januar 2026 15 Millionen bezahlte Microsoft-365-Copilot-Lizenzen, und sie wurden danach zunehmend standardmäßig mitinstalliert. Die meisten dieser Lizenzen landeten in Umgebungen, die niemand darauf geprüft hatte, was Copilot tatsächlich erreichen kann. Multipliziert das über jeden Anbieter in eurem Stack, und ihr bekommt die wahre Form von Shadow AI in 2026. Sie ist nicht durch eine rebellische Mitarbeiterin hereingeschlichen. Sie kam durch die Vordertür, unterschrieben von einem Anbieter, dem ihr vertraut, mit einer Update-Notiz, die ihr nicht gelesen habt.
Der Teil mit den Zähnen
Hier ist, warum das nicht bloß Ordnung halten ist. Unter dem EU AI Act teilen sich die schweren Pflichten zwischen dem Anbieter, der die KI baut, und dem Betreiber, der sie einsetzt. Ihr seid der Betreiber. Artikel 26 legt euch echte Pflichten auf: einen Menschen im Loop behalten, überwachen, wie sich das System verhält, Protokolle aufbewahren, und euer Personal informieren, bevor KI an ihrem Arbeitsplatz live geht.
Haltet das jetzt neben die Realität, dass Anbieter sie standardmäßig einschalten. Ihr tragt Pflichten für Systeme, von denen ihr nicht wusstet, dass sie live gegangen sind. Ihr könnt nicht überwachen, was ihr nicht sehen könnt. Ihr könnt nicht protokollieren, von dem ihr nicht wusstet, dass es lief. Und ihr könnt euren Betriebsrat schon gar nicht über ein Tool informieren, das sich an einem Dienstag selbst aktiviert hat.
Die Fristen haben sich verschoben, und sie werden sich wahrscheinlich noch einmal verschieben. Die anspruchsvollsten Hochrisiko-Pflichten landen jetzt Ende 2027 unter dem Digital Omnibus. Lasst das kein Grund zum Warten sein. Was das Gesetz eigentlich zuerst von euch verlangt, ist das Langweiligste und Nützlichste: wisst, welche KI ihr habt. Jeder Auditor, jeder Sicherheitsfragebogen eines Unternehmenskunden, jeder aufmerksame Vorstand wird nach diesem Inventar fragen. "Wir wussten nicht, dass es aktiv war" ist keine akzeptable Antwort mehr.
Warum die naheliegende Lösung nicht funktioniert
Der Reflex ist, den Data-Loss-Prevention-Stack darauf anzusetzen. Verkehr entschlüsseln, lesen, was rausgeht, blockieren, was nicht sollte. Das funktioniert hier nicht, aus zwei Gründen, die nichts mit Aufwand zu tun haben.
Der erste ist Kosten. Inhalte in Echtzeit zu lesen bedeutet, TLS inline aufzubrechen und neu zu verschlüsseln, was euer Netzwerk drosselt und Hardware-Budgets verlangt, die den Kontakt mit einem CFO nicht überleben.
Der zweite ist das Recht. Den Datenverkehr eurer Mitarbeitenden in Echtzeit abzufangen, läuft direkt in die DSGVO und in euren Betriebsrat hinein, und dieses Gespräch dauert nicht Wochen, sondern Quartale. Ihr verbringt sechs bis zwölf Monate mit Review für eine Kontrolle, die von Anfang an die falsche Form hatte.
Und sie hat die falsche Form, weil ihr versucht, den Verkehr zu lesen, während die Frage viel einfacher ist. Ihr müsst nicht wissen, was eure Leute getippt haben. Ihr müsst wissen, welches der Tools, die ihr bereits bezahlt, still und leise KI eingeschaltet hat. Das ist eine Katalogfrage, kein Lauschangriff.
Beginnt mit einer Matrix, nicht mit einem Netzwerk-Tap
Der günstigste sinnvolle Schritt ist eine Feature-Matrix. Listet eure genehmigten Tools auf. Beantwortet für jedes fünf Dinge: hat es eine generative-KI-Funktion hinzugefügt, ist sie standardmäßig aktiv, welche Daten kann sie erreichen, wo werden diese Daten verarbeitet, und wer hat sie tatsächlich genehmigt. Diese letzte Spalte ist die unbequeme, denn bei vielen Zeilen lautet die ehrliche Antwort "niemand."
Das ist alles. Kein Agent auf irgendeinem Laptop, kein entschlüsselter Verkehr, keine personenbezogenen Daten, nichts für den Betriebsrat zu prüfen. Nur ein klares Bild davon, wo KI bereits in Software lebt, der ihr vertraut, bewertet danach, wie viel sie erreichen kann und ob die Daten eure Kontrolle verlassen.
Von dort aus werden die Entscheidungen einfach, weil sie endlich sichtbar sind. Schaltet dieses ab. Verwaltet jenes und schreibt auf, wer es verantwortet. Verlagert diese Arbeitslast, die still und leise regulierte Daten an einen Anbieter in einer anderen Rechtsordnung liefert, irgendwohin, das ihr tatsächlich kontrolliert. Und, der Teil, um den der Pharma-CISO wirklich bat, richtet einen kleinen Prozess ein, damit der nächste stille Rollout auf jemandes Schreibtisch landet, statt an allen vorbeizuschlüpfen.
Die ehrliche Version von "dem zuvorkommen"
Nichts davon braucht ein Transformationsprogramm. Es braucht ein Inventar und eine verantwortliche Person, dasselbe unglamouröse Fundament, auf dem jede funktionierende KI-Governance-Geschichte ruht. Die Organisationen, die beim AI Act und den neuen Cybersicherheitsregeln gelassen wirken, sind nicht die mit den dicksten Richtlinien. Es sind die, die auf "welche KI betreibt ihr?" antworten können, ohne zu zögern.
Ich habe die Feature-Matrix oben in einen kurzen Selbsttest verwandelt, den ihr in etwa einer Stunde über euren eigenen Stack laufen lassen könnt, Tool für Tool bewertet und endend mit einer einseitigen Zusammenfassung, die euer Vorstand tatsächlich lesen würde. Ihr könnt ihn hier über unseren Newsletter bekommen.
Und wenn ihr merkt, dass sich die Spalte mit "niemand hat das genehmigt" schneller füllt, als euch lieb ist, ist das ein Gespräch wert. Meistens ist es ein schneller Fix, sobald ihr es sehen könnt.