Shadow AI oder auch Schatten-KI bezeichnet die Nutzung von KI-Software durch die Mitarbeitenden eines Unternehmens ohne die Genehmigung und/oder die Kenntnis der IT-Abteilung.
KI-Tools wie ChatGPT von OpenAI, Gemini von Google oder Claude von Anthropic bieten Komfort für die Mitarbeitenden eines Unternehmens. Durch die Chatfunktionen, Bildgenerierung und -bearbeitung und weiteren nützlichen KI-Angeboten ist es heute einfach sich Hilfe bei einer Herausforderung am Arbeitsplatz zu holen. Sobald hier aber unternehmensinterne Informationen eingegeben oder hochgeladen werden, kann das auch für den Arbeitgeber zum Risiko werden.
Wie entsteht Shadow AI in Unternehmen?
Die Gründe für die Entstehung von Shadow AI sind vielfältig. Mitarbeiter sind ständig auf der Suche nach Erleichterungen im Arbeitsalltag und durch die mediale Präsenz von generativer KI ist es heute besonders einfach und naheliegend, seine Herausforderungen nicht mehr alleine zu lösen.
In vielen Unternehmen wurde zudem bis heute nicht klar kommuniziert, ob KI-Software verwendet werden darf und wenn ja, unter welchen Bedingungen.
Letztlich können aber auch langsame Genehmigungsprozesse oder ein Mangel an datenschutzfreundlicheren Alternativen Gründe dafür darstellen, wieso Mitarbeiter ohne Erlaubnis beispielsweise ChatGPT verwenden.
Welche Risiken birgt Schatten-KI?
So verlockend die Effizienzgewinne auch sein mögen, Schatten-KI bringt erhebliche Risiken mit sich. An erster Stelle steht der Datenschutz. Werden vertrauliche Unternehmensdaten oder personenbezogene Informationen in externe KI-Tools eingegeben, verlässt dies unter Umständen den geschützten Unternehmensbereich. Das kann gegen die DSGVO verstoßen und zu empfindlichen Strafen führen.
Zudem besteht die Gefahr von Sicherheitslücken. Nicht genehmigte Tools werden nicht von der IT-Abteilung überwacht, wodurch Schadsoftware oder Datenlecks unbemerkt bleiben können. Auch die Qualität und Verlässlichkeit der KI-Ausgaben ist problematisch. Mitarbeiter ohne entsprechende Schulung können Fehlinformationen (sogenannte „Halluzinationen“) der KI nicht erkennen und diese in wichtige Entscheidungen einfließen lassen.
So können Unternehmen Schatten-KI begegnen
Der Schlüssel liegt nicht im strikten Verbot, sondern in einer klugen KI-Governance. Unternehmen sollten den Dialog mit ihren Mitarbeitern suchen und verstehen, welche Bedürfnisse hinter der Nutzung von Schatten-KI stehen. Oft lassen sich diese durch die Bereitstellung genehmigter, sicherer KI-Tools erfüllen.
Eine klare KI-Richtlinie ist unverzichtbar. Diese sollte festlegen, welche Tools erlaubt sind, wie mit sensiblen Daten umzugehen ist und welche Schulungen Mitarbeiter erhalten. Transparente Kommunikation schafft Vertrauen und verhindert, dass Beschäftigte heimlich eigene Wege gehen.
Monitoring-Tools können helfen, den tatsächlichen Einsatz von KI-Anwendungen im Unternehmen zu erkennen. Dabei geht es nicht um Überwachung, sondern um Risikomanagement und die Möglichkeit, rechtzeitig einzugreifen.
Schatten-KI erkennen
Verschiedene Anbieter bieten schon einen ersten Überblick über möglicherweise vorhandene Schatten-KI. Auch der Darknet-Scan von Bechtle kann aufzeigen, welche Nutzer Ihrer Unternehmens-Domain einen Account auf ausgewählten KI-Webseiten angelegt haben. Alle, vor allem auch kleinere, unbekannte KI-Webseiten sind dadurch zwar nicht abgedeckt, aber ein erster Eindruck über das mögliche Ausmaß in Ihrem Unternehmen entsteht dadurch schon.
Technische Unterbindung
Zuletzt ist es auch möglich durch Einstellungen an der Firewall oder am Web-Filter entweder den Aufruf von bekannten KI-Webseiten ganz zu unterbinden oder aber auch zumindest den Datei-Upload (ggf. auch nur von ausgewählten Dateien) technisch zu unterbinden.
KI als gemeinsame Verantwortung
Schatten-KI ist ein Symptom der digitalen Transformation. Sie zeigt, dass Mitarbeitende innovativ denken und nach Lösungen suchen, was grundsätzlich positiv ist. Die Herausforderung für Unternehmen besteht jedoch darin, diese Innovationsfreude mit Sicherheit und Compliance in Einklang zu bringen.
Die erfolgreiche Integration von KI erfordert eine Kultur des Vertrauens und der Zusammenarbeit. Wenn Unternehmen ihre Mitarbeitende in die KI-Strategie einbeziehen, Schulungen anbieten und sichere Alternativen bereitstellen, wird aus Schatten-KI eine kontrollierte, produktive Nutzung künstlicher Intelligenz.
Bildquelle: Unsplash