Schatten-KI systematisch aufdecken
In meinem Artikel über Schatten-KI im Unternehmen habe ich das Problem beschrieben: KI-Tools, die Mitarbeiter ohne IT-Freigabe nutzen, sind ein unsichtbares Compliance-Risiko. Aber ein Problem zu kennen reicht nicht. Heute zeige ich, wie Sie Schatten-KI systematisch aufdecken, bewerten und in den Griff bekommen.
Warum Schatten-KI eine eigene Analyse braucht
Der IT-System-Scan findet offiziell lizenzierte Systeme. Abteilungs-Interviews erfassen bewusst genutzte Tools. Aber Schatten-KI taucht in keiner dieser Quellen zuverlässig auf. Mitarbeiter nutzen ChatGPT, DeepL oder Browser-Erweiterungen nicht aus böser Absicht, sondern weil diese Tools produktiver machen.
Der EU AI Act kennt keine Unterscheidung zwischen genehmigter und ungenehmigter KI-Nutzung. Artikel 4 verlangt KI-Kompetenz für alle Nutzer, Artikel 26.5 fordert angemessene Schulung. Beides setzt voraus, dass Sie wissen, welche Systeme tatsächlich im Einsatz sind. Dieser Schritt ist deshalb keine Zusatzaufgabe, sondern Voraussetzung für ein vollständiges KI-Inventar.
Methode 1: Interview-Signale richtig lesen
Ihre Abteilungs-Interviews enthalten bereits Hinweise auf Schatten-KI. Typische Signale sind zögerliche Antworten bei Fragen nach privaten Tools, Formulierungen wie „manchmal“ oder „ab und zu“ und indirekte Kollegen-Hinweise.
Die Fragetechnik entscheidet über den Erfolg. Fragen Sie nicht: „Nutzen Sie nicht-genehmigte KI-Tools?“ Das erzeugt Abwehrhaltung. Besser: „Nutzen Sie private KI-Tools manchmal für die Arbeit?“ oder „Haben Sie Browser-Erweiterungen, die Ihnen helfen?“ Normalisieren Sie die Situation mit Sätzen wie: „Viele Kollegen nutzen ChatGPT. Das ist nicht verboten, wir müssen es nur dokumentieren.“ Wer so fragt, bekommt ehrliche Antworten.
Methode 2: Technische Analyse über Netzwerk-Logs
Falls Ihre IT Zugang zu Firewall- oder Proxy-Logs hat, prüfen Sie Zugriffe auf bekannte KI-Dienste: openai.com, claude.ai, perplexity.ai, midjourney.com und ähnliche Domains. Diese Methode liefert objektive Daten ohne Abhängigkeit von Mitarbeiter-Aussagen.
Für kleinere Unternehmen ist das oft nicht praktikabel. In diesem Fall konzentrieren Sie sich auf die Interview-Methode und die systematische Quellenprüfung.
Methode 3: Bekannte Quellen gezielt prüfen
Unautorisierte KI-Nutzung folgt Mustern. Ich arbeite mit einer Checkliste in vier Kategorien: Web-basierte Tools wie ChatGPT, Claude und Perplexity. Browser-Erweiterungen wie Grammarly, DeepL und Monica. Mobile Apps auf privaten Smartphones. Eingebettete KI in Freemium-Tools wie Notion AI oder Canva AI.
Arbeiten Sie diese Kategorien in jedem Gespräch systematisch ab. Die meisten Funde stammen aus den ersten beiden Kategorien. Allein die gezielte Frage nach Browser-Erweiterungen bringt in fast jedem Interview neue Erkenntnisse.
Risikobewertung: Nicht jede Schatten-KI ist gleich kritisch
Bewerten Sie jedes aufgedeckte System anhand von vier Faktoren: Welche Daten werden eingegeben? Wie häufig ist die Nutzung? Wie viele Personen nutzen das Tool? Wie geschäftskritisch ist der Einsatz?
Ein Tool, in das täglich personenbezogene Daten von mehreren Teams eingegeben werden, hat ein völlig anderes Risikoprofil als eine Browser-Erweiterung für gelegentliche Übersetzungen. Diese Differenzierung verhindert, dass Sie Ressourcen auf unkritische Fälle verschwenden, und lenkt den Fokus auf die tatsächlichen Risiken.
Entscheidungsmatrix: Vier Handlungsoptionen
Aus der Kombination von Risiko und Nutzen ergeben sich vier Wege.
Legitimieren bei hohem Nutzen: Führen Sie eine offizielle Unternehmensversion ein. Das ist der häufigste und sinnvollste Weg. Mitarbeiter nutzen produktive Tools, die lediglich in den offiziellen Prozess überführt werden müssen.
Tolerieren bei niedrigem Risiko: Dulden Sie die Nutzung vorläufig, dokumentieren Sie das Tool aber im Asset-Register.
Prüfen bei mittlerem Risiko: Analysieren Sie genauer und suchen Sie nach genehmigten Alternativen.
Unterbinden bei hohem Risiko: Stoppen Sie die Nutzung sofort, kommunizieren Sie klar warum und bieten Sie Alternativen an.
Jedes aufgedeckte System fließt anschließend in Ihr KI-Asset-Register. Die Erfassung umfasst System-Name, Anbieter, nutzende Abteilungen, Datenarten und Ihre Rolle. In den allermeisten Fällen sind Sie Deployer. Diese Rolle bestimmt Ihre Pflichten in den weiteren Phasen des NADOVO Frameworks.
Ihr Quick-Start für diese Woche
Nehmen Sie die Ergebnisse Ihrer letzten Abteilungsgespräche und prüfen Sie auf die beschriebenen Signale. Erstellen Sie eine Liste der vier bis fünf wahrscheinlichsten Quellen für Schatten-KI in Ihrem Unternehmen. Fragen Sie in Ihrem nächsten Team-Meeting gezielt danach. In zwei Wochen haben Sie ein realistisches Bild der tatsächlichen KI-Nutzung, nicht was in der IT-Dokumentation steht, sondern was wirklich passiert.
Fazit
Schatten-KI ist kein Fehlverhalten, sondern die natürliche Folge von Mitarbeitern, die produktiver arbeiten wollen. Aber der EU AI Act kennt keine Ausnahmen für unbekannte Systeme. Mit den drei Methoden, der Risikobewertung und der Entscheidungsmatrix können Sie Schatten-KI systematisch aufdecken und vollständige Sichtbarkeit über Ihre KI-Landschaft herstellen.
Über den Autor
Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt KMUs im DACH-Raum dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.
