Schatten-KI — IT-Definition

Schatten-KI (englisch Shadow AI) bezeichnet die Nutzung von KI-Werkzeugen durch Mitarbeitende — allen voran generative KI wie ChatGPT, Claude, Gemini, Copilot, Midjourney sowie Browser-Erweiterungen, Plugins, Agents und Code-Copiloten — ohne Validierung, Aufsicht oder Leitplanken der IT-Abteilung, des CISO oder der Compliance-Funktionen. Sie ist die Erweiterung von Shadow IT in das Zeitalter der generativen KI — mit deutlich höheren Risiken.

Das Phänomen ist massiv und unterschätzt: Laut 2024 Work Trend Index von Microsoft und LinkedIn nutzen 75 % der weltweiten Wissensarbeitenden bereits generative KI bei der Arbeit, und 78 % von ihnen bringen ihre eigenen Tools mit (BYOAI) — typischerweise über private Konten, die für die IT unsichtbar sind (Microsoft & LinkedIn, Mai 2024). IBMs Cost of a Data Breach Report 2025 zeigt: 20 % der Organisationen erlitten bereits eine Datenpanne im Zusammenhang mit Schatten-KI, mit einem durchschnittlichen Mehrkostenbeitrag von 670.000 USD pro Vorfall (IBM Security & Ponemon, 2025).

Was ist Schatten-KI konkret?

Schatten-KI umfasst jede geschäftliche Interaktion mit einem KI-Modell, die nicht von der IT gesteuert wird: ein Vertriebsmitarbeiter, der ein Deal-Memo in ChatGPT einfügt; eine Entwicklerin, die proprietären Code an Claude schickt; eine HR-Fachkraft, die einen Arbeitsvertrag durch Gemini umformulieren lässt; ein Marketingteam, das vertrauliche Produktentwürfe in Midjourney verarbeitet.

Salesforce und YouGov (14.000 Beschäftigte, 14 Länder) stellten fest, dass 40 % der KI-Nutzer bereits vertrauliche Geschäftsinformationen an diese Tools weitergegeben haben — ohne Wissen ihres Arbeitgebers (Salesforce/YouGov, 2023). KPMG bestätigt das Bild für die USA: 50 % der Belegschaft nutzen KI-Tools, ohne zu wissen, ob es erlaubt ist, und 57 % verbergen ihre KI-Nutzung und geben KI-generierte Arbeit als eigene aus (KPMG, August 2024).

Entscheidend ist das Fehlen von Governance, nicht die KI-Nutzung an sich:

• •Gesteuerte KI: Enterprise-Lizenzen (ChatGPT Enterprise, Copilot for Microsoft 365, Claude for Work), Modelle unter DPA, vertragliche Garantien gegen Re-Training, aktiviertes SSO und Logging.
• •Schatten-KI: kostenlose oder privat bezahlte Konten, ungeprüfte Browser-Erweiterungen, lokal heruntergeladene Open-Source-Modelle, Drittanbieter-Plugins in Slack/Notion/Teams, Wrapper-Websites.

Shadow IT vs. Schatten-KI

Schatten-KI erbt die Mechanik von Shadow IT — Bottom-up-Adoption, Umgehung des Einkaufs, Freemium-Zugang — vervielfacht aber die Konsequenzen. Daten werden nicht mehr nur bei einem unbekannten SaaS-Anbieter gespeichert: Sie trainieren möglicherweise ein Modell, tauchen in der Antwort eines anderen Nutzers wieder auf und widerstehen dem DSGVO-Recht auf Löschung.

Warum Schatten-KI explodiert

• •Sofortiger Produktivitätsgewinn: Laut BCG AI at Work 2025 sparen regelmäßige Nutzer mindestens 5 Stunden pro Woche durch GenAI (BCG, Juni 2025).
• •Reibungsloser Freemium-Zugang: Cyberhaven verzeichnete einen Anstieg um 485 % beim Volumen an Unternehmensdaten in KI-Tools zwischen März 2023 und März 2024, mit 73,8 % der ChatGPT-Nutzung am Arbeitsplatz über Nicht-Unternehmenskonten (Cyberhaven, 2024).
• •Lücke bei Richtlinien und Schulungen: ISACA stellt fest, dass nur 15 % der Organisationen eine formelle KI-Richtlinie haben und 40 % keine KI-Schulung anbieten (ISACA, 2024). McKinsey ergänzt: Nur 18 % der Organisationen verfügen über ein Gremium mit Entscheidungsbefugnis zu verantwortungsvoller KI-Governance (McKinsey State of AI 2024).
• •Kultureller Druck: 52 % der KI-Nutzer geben ungern zu, KI für wichtige Aufgaben einzusetzen, und 53 % befürchten, ersetzbar zu wirken (Microsoft 2024).
• •Wahrgenommene IT-Trägheit: 33 % der Beschäftigten rechtfertigen Schatten-KI damit, dass die IT die benötigten Werkzeuge nicht anbietet, und 46 % verzichten selbst bei einem Verbot nicht auf ihre Tools (Software AG, Oktober 2024).

Welche Tools, welche Anwendungen?

Schatten-KI ist mehr als ChatGPT. Beobachtet werden sechs Kategorien:

• •Generalistische LLM-Chatbots: ChatGPT, Claude, Gemini, Copilot, Le Chat (Mistral), Perplexity, You.com.
• •Code-Copilots: GitHub Copilot Privat, Cursor, Codeium, Tabnine, Replit Agent, Aider.
• •Bild- und Videogeneratoren: Midjourney, DALL·E, Stable Diffusion, Runway, Sora, Pika, Kling.
• •Transkription und Notizen: Otter.ai, Fireflies, Granola, tl;dv, Read.ai, lokales Whisper.
• •Browser-Erweiterungen: Monica, Merlin, Harpa, ChatGPT Sidebar — sowie Dutzende von Wrappern.
• •KI-Agenten und Frameworks: AutoGPT, AgentGPT, Devin, Manus, Lindy, Make/n8n mit LLM.

Laut Netskope Threat Labs nutzen inzwischen 94 % der Organisationen GenAI-Apps, und 47 % der KI-Nutzer im Unternehmen verwenden private KI-Apps (Netskope, 2025). Die Zahl der unterschiedlichen GenAI-Anwendungen pro Organisation hat sich in einem Jahr verdreifacht: von 3 auf 9,6 zwischen Juni 2023 und Juni 2024.

Die acht größten Risiken der Schatten-KI

### 1. Vertrauliche Datenlecks

Das am besten dokumentierte Risiko. Cyberhaven hat festgestellt, dass 27,4 % der Daten, die ein Mitarbeitender an ein KI-Tool sendet, sensibel sind — vorher 10,7 %. Harmonic Security analysierte 22,4 Millionen Unternehmens-Prompts und beobachtete, dass 87 % der sensiblen Datenlecks über ChatGPT Free (kostenloses Privatkonto) erfolgen, mit Quellcode (~30 %), juristischen Dokumenten (22,3 %) und M&A-Daten (12,6 %) als Top-Kategorien (Harmonic Security, 2025).

### 2. Halluzinationen und haftungsrelevante Fehler

Zwei aktuelle Urteile bilden Präzedenz:

• •Mata v. Avianca (SDNY, Juni 2023): Die Anwälte Schwartz und LoDuca wurden zu 5.000 USD verurteilt, weil sie sechs von ChatGPT erfundene Gerichtsentscheidungen in einem Schriftsatz zitiert hatten (Justia).
• •Moffatt v. Air Canada (BCCRT, Februar 2024): Air Canada wurde zur Zahlung von 650,88 CAD verurteilt, weil der Chatbot eine nicht existierende Trauerflug-Tarifregel kommuniziert hatte. Das Gericht wies das Argument zurück, der Chatbot sei eine "eigene Rechtsperson" (CanLII).

### 3. DSGVO- und AI-Act-Compliance

Die italienische Datenschutzbehörde Garante verhängte im März 2023 ein vorübergehendes ChatGPT-Verbot und im Dezember 2024 eine Strafe von 15 Mio. EUR gegen OpenAI (Garante, 2024). EU-weit trat die Verordnung (EU) 2024/1689 (EU AI Act) am 1. August 2024 in Kraft. Seit 2. Februar 2025 gelten Verbote nach Artikel 5 und Pflichten zur AI Literacy — auch bei schattenhafter Nutzung.

### 4. Urheberrecht und Geschäftsgeheimnisse

The New York Times v. Microsoft & OpenAI (SDNY, 1:23-cv-11195, Dezember 2023): Die NYT zeigt, dass ChatGPT Artikel-Auszüge wörtlich reproduziert und fordert die Vernichtung der Trainingsdatensätze (CourtListener). Spiegelbildlich: Ein Geschäftsgeheimnis, das einem öffentlichen Modell zugeführt wird, verliert möglicherweise seinen Schutz nach deutschem GeschGehG und EU-Recht.

### 5. LLM-spezifische Schwachstellen (OWASP LLM Top 10)

Das OWASP-Projekt pflegt eine Referenzliste der LLM-Schwachstellen (OWASP Top 10 for LLM Applications 2025): LLM01 Prompt Injection, LLM02 Sensitive Information Disclosure, LLM03 Supply Chain, LLM05 Improper Output Handling, LLM06 Excessive Agency, LLM07 System Prompt Leakage (neu 2025), LLM10 Unbounded Consumption.

### 6. Verstärkte Cyberbedrohungen

Die EU-Cybersicherheitsbehörde ENISA berichtet im Threat Landscape 2025, dass mehr als 80 % der beobachteten Social-Engineering-Aktivität KI-generierte Inhalte einsetzen und staatliche Akteure ChatGPT, Gemini sowie WormGPT/FraudGPT nutzen (ENISA, 2025). IBM 2025: 16 % der Datenpannen involvierten KI-nutzende Angreifer.

### 7. Versteckte Kosten und Tool-Redundanz

Wie bei SaaS wachsen KI-Abos parallel: privat bezahlte ChatGPT-Plus-Lizenzen, Midjourney auf Firmenkarten, Notion AI zusätzlich zu Copilot. Ohne automatisierte Erkennung bleibt die Inventur unvollständig.

### 8. Verlust operativer Sichtbarkeit

Der 2025 Cisco Cybersecurity Readiness Index: 60 % der Organisationen können nicht zuverlässig identifizieren, ob unautorisierte KI-Tools genutzt werden, und 60 % haben keine Sicht auf die Prompts ihrer Mitarbeitenden (Cisco, 2025). Verizon DBIR 2025: 72 % der KI-Nutzer am Arbeitsplatz greifen über eine private E-Mail-Adresse zu (Verizon, 2025).

Schatten-KI im Zeitraffer

1. Nov 2022

   Öffentlicher Start von ChatGPT

   Innerhalb von Wochen massive Adoption ohne Unternehmensrahmen.

2. Jan 2023

   Amazon warnt seine Belegschaft

   Ein interner Jurist bittet, "keine vertraulichen Amazon-Informationen" in ChatGPT einzufügen.

3. Feb 2023

   JPMorgan beschränkt ChatGPT

   Globales Verbot, gefolgt von Goldman Sachs, Citi, Wells Fargo, Deutsche Bank.

4. Mär 2023

   Italienischer Garante sperrt ChatGPT

   Erste Entscheidung einer europäischen Datenschutzbehörde gegen ein LLM.

5. Apr 2023

   Drei Samsung-Lecks in 20 Tagen

   Quellcode, Test-Sequenzen, Meeting-Transkripte bei Samsung Semiconductor.

6. Mai 2023

   Samsung & Apple verbieten öffentliche KI

   2. Mai: konzernweites Verbot bei Samsung. 18. Mai: Apple beschränkt ChatGPT & Copilot.

7. Jun 2023

   Mata v. Avianca

   Erste Sanktion gegen Anwälte wegen ChatGPT-Halluzinationen.

8. Jan 2024

   ISO/IEC 42001 veröffentlicht

   Erste globale Norm für KI-Managementsysteme.

9. Feb 2024

   Air Canada haftbar

   Das BCCRT stellt fest, dass Unternehmen für Chatbot-Halluzinationen haften.

10. Aug 2024

    EU AI Act in Kraft

    Verordnung (EU) 2024/1689 stufenweise anwendbar bis 2028.

11. Dez 2024

    OpenAI in Italien 15 Mio. EUR Bußgeld

    Bestätigung des regulatorischen Risikos.

12. Feb 2025

    Erste AI-Act-Pflichten

    Verbote nach Artikel 5 und AI-Literacy-Pflicht anwendbar.

13. Aug 2025

    GPAI-Regeln anwendbar

    Pflichten für allgemeine KI-Modelle treten in Kraft.

Governance-Rahmenwerke für Schatten-KI

Vier Referenzrahmen prägen die KI-Governance in Unternehmen. Sie schließen sich nicht aus.

• •[NIST AI Risk Management Framework (AI RMF 1.0)](https://www.nist.gov/itl/ai-risk-management-framework): (Januar 2023, USA) — Freiwillig, branchenneutral, vier Funktionen.
• •[ISO/IEC 42001:2023](https://www.iso.org/standard/42001): (Dezember 2023, international) — Erste globale, zertifizierbare Norm für KI-Managementsysteme (AIMS).
• •[EU AI Act — Verordnung (EU) 2024/1689](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai): (August 2024) — Risikobasierter Ansatz (inakzeptabel / hoch / begrenzt / minimal). Bußgelder bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes für verbotene Praktiken.
• •[OECD AI Principles](https://oecd.ai/en/ai-principles): (2019, aktualisiert 2024) — Erstes zwischenstaatliches Rahmenwerk.

Das NIST AI RMF strukturiert das Programm in vier Funktionen:

In Deutschland ergänzen die Empfehlungen des BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) sowie der Datenschutzkonferenz (DSK) den DSGVO-Rahmen für KI-Systeme.

Schatten-KI erkennen

Sechs ergänzende Methoden bringen die echte KI-Inventur ans Licht:

• •SSO- und Identitätslogs: (Okta, Entra ID, Google Workspace) — Limit: Privatkonten umgehen das.
• •Automatisierte SaaS-Discovery: über eine SaaS-Management-Plattform wie Kabeen, die SSO, Netzwerk-Signale, Browser-Telemetrie und Ausgabendaten korreliert.
• •Browser-Erweiterung / Endpoint-Agent: , um KI-Domain-Anfragen direkt am Arbeitsplatz zu erfassen.
• •KI-DLP / CASB: zur Inspektion ausgehender Anfragen auf sensible Muster.
• •Ausgabenanalyse: Firmenkarten, Reisekostenabrechnungen, Stripe-Rechnungen von KI-Anbietern.
• •Anonyme Befragungen: , um die Lücke zwischen erklärter und realer Nutzung zu messen.

Eine KI-Unternehmensrichtlinie in 6 Schritten

KPIs eines Schatten-KI-Programms

• •Gesteuerte Nutzungsquote: (Anteil der KI-Nutzer über freigegebene Tools und SSO).
• •Anzahl blockierter sensibler Prompts: (KI-DLP, Wochentrend).
• •AI-Literacy-Schulungsabdeckung: (AI-Act-Pflicht).
• •Gemeldete vs. erkannte KI-Vorfälle: .
• •KI-Kosten pro aktivem Mitarbeitenden: (vergleichbar mit TCO).

Gartner schätzt, dass bis 2030 mehr als 40 % der Organisationen einen Sicherheits- oder Compliance-Vorfall durch Schatten-KI erleben werden, und dass bis 2027 75 % der Mitarbeitenden Technologie außerhalb der Sichtbarkeit der IT erwerben, modifizieren oder schaffen — gegenüber 41 % im Jahr 2022 (Gartner, November 2025).

Wie Kabeen bei Schatten-KI hilft

Kabeen erweitert seine SaaS-Management-Plattform auf Schatten-KI. Durch Kombination von SSO-Discovery, Browser-Telemetrie, Ausgabendaten und KI-Kontoinventur erhalten Sie kontinuierlich: ein Live-Inventar aller genutzten KI-Tools (offiziell und Schatten), eine Sicht nach Nutzer, Team und Risikoklasse, die Erkennung privater Konten und eine faktische Basis für Sicherheits-, Einkaufs- und AI-Act-Reviews. Ziel ist nicht, KI zu verbieten — sondern die Nutzung sichtbar zu machen und jeden Mitarbeitenden zur richtigen gesteuerten Alternative zu lenken.