17.03.2025
Das inzwischen inflationäre Angebot an KI-Portalen, die auch ganz spezifische Anfragen bravourös meistern, verleitet immer häufiger zum Gebrauch nicht autorisierter KI. Mitarbeiter:nnen verfolgen hier ihre ganz persönlichen Strategien, nicht selten zum Leidwesen der IT im Haus. Man verlässt sich auf nicht genehmigte KI-Tools, die in punkto Datensicherheit und Zuverlässigkeit Kopfzerbrechen bereiten. Das Damoklesschwert von Datenverlust, ungeprüftem Output und Verstößen gegen den Datenschutz schwebt über den Häuptern der User:innen im "lichtlosen" Raum.
Längst losgelassen ist der allwissende gute Geist aus dem sinnbildlichen KI-Universum. Wohl niemand will ihn bändigen, leistet er doch umfassende Hilfestellung bei sämtlichen intellektuellen Tätigkeiten auf diesem Erdenrund. Doch das gleißende Licht des Wissens lässt auch eine dunkle Seite entstehen. So zum Beispiel, wenn User:innen ihren Arbeitsalltag mit sogenannter „Schatten-KI“ effektiver gestalten wollen.
Nutzung ohne Genehmigung
Die Grenzen zwischen dem sorgenfreien Gebrauch von Künstlicher Intelligenz und dem Schattenreich sind manchmal fließend. Drei gängige Beispiele aus der Welt der Knowledge Worker illustrieren die offenen Fragen und Bedenken.
Mitarbeiter:innen internationaler Unternehmen entdeckten Deep-Learning-Tools zur Erstellung von Imagetexten und Übersetzungen. Die KI mag Produktivität und Geschwindigkeit der geistigen Produkte um ein Vielfaches steigern. Zurück bleiben Fragen rund um die (fehlende) Autorisierung durch die Geschäftsleitung und das Maß darin verpackter menschlicher Kreativität. Im Vordergrund steht die eigenmächtige Zuhilfenahme der KI-Wunderwaffen, um Prozesse und Resultate zu optimieren.
Das Sales Department einer international tätigen Sport- und Event-Marketing-Agentur setzt externe KI ein, um Geschäftsdaten schneller und effizienter zu analysieren. Dabei wird von den Anwender:innen die Leistungsfähigkeit der digitalen Helfer als sehr hoch eingeschätzt. Vergessen wird allerdings, dass der Datenschutz zu kurz kommt.
Selbst auf dem Gebiet der visuellen Schöpfer- und Gestaltungskraft gelangt man zeitweilig auf dünnes Eis. Video- und Bildbearbeitungs-Software, aufgepeppt mit erstaunlichen KI-Features, erleichtert das Werken und zeitigt fulminante Ergebnisse. Chefbüro und die IT blicken dabei besorgt auf die Risiken bei Datensicherheit, Copyright und firmeninterner Genehmigungsverfahren.
Per Definition setzen sich Wissensmitarbeiter:innen beim Gebrauch nicht autorisierter KI-Anwendungen über Corporate Governance hinweg, selbst wenn ihnen das Wohlergehen des Betriebes am Herzen liegt. Laut Studien bauschen bereits mehr als die Hälfte der KI-Anwender:innen ihre Suchergebnisse auf diese Weise auf. Die negativen Begleitumstände haben sie sehr wohl auf dem Radar. Sie würden allerdings weiterhin Schatten-KI einsetzen, selbst bei einem dezidierten Verbot durch das Management. Wissenschafter:innen leiten aus diesem Umstand folgerichtig ab, dass es an der Zeit ist, sich um robuste, umfassende, gesetzeskonforme und langfristige KI-Strategien in den Firmen zu kümmern.
Kontrollverlust oder Innovation?
KI-Tools verarbeiten teils sensible Daten unter mangelhaften oder fehlenden Sicherheitsvorkehrungen. Wenn beispielsweise Daten auf Servern entfernter Rechenzentren hinterlegt werden, kann es zum Verlust der so wichtigen Kontrolle kommen. Es bleibt intransparent, auf welche Weise gesammelt, gespeichert und weiterverarbeitet wird. Zu guter Letzt nutzen Cyberkriminelle die Schwächen von einschlägigen Tools. Datenverlust ist oft die Folge. Im Wissen um die Schäden, die derartige Software anrichten kann, wird der Gebrauch wohl kaum von offizieller Seite genehmigt oder toleriert werden.
Von zuletzt 100 untersuchten KI-Applikationen fielen 10 besonders unangenehm auf. Die erkannten unerwünschten Effekte reichen von Datenschutzverletzungen bis hin zu offensichtlichem Plagiat. Manche Tools verarbeiten biometrische Informationen, transkribierte Daten oder interne Unterlagen. Da zeigt sich allemal, dass KI-gestütztes Arbeiten nicht allein von der Qualität der Prompts abhängt. Bei einem Grundkurs würden Anwender:innen nämlich erfahren, dass dem Machine Learning ein dynamisches Datenkonzept hinterlegt ist, sprich, eingegebenes Material wird von den zahllosen Anbietern zu Trainingszwecken genutzt. Die Künstliche Intelligenz verbessert sich so ständig, allerdings auf Kosten der sträflichen Offenbarung von teils hochgeschütztem Betriebs-Content. Damit werden die global anwendbaren Modelle adaptiert und modifiziert – und schon mal vom Mitbewerb für Marketingzwecke angezapft! Für das Jahr 2025 werden von einschlägigen Magazinen 40 KI-Tools für Verkauf und Marktanalyse empfohlen. Wer die Wahl hat! Aber Achtung, wer nicht in die Niederungen der Schatten-KI abrutschen möchte, sollte sich vorab um eine Freigabe von allerhöchster Stelle bemühen.
Unternehmen, die nicht auf der Hut sind, werden im Rahmen von Datenschutzverletzungen kräftig zur Kasse gebeten. Schadenersatzansprüche, Vertragsstrafen durch Partner:innen und Imageverlust gesellen sich dazu. Werden über derart entstandene Data-Leaks brisante Interna zugänglich gemacht, wird Konkurrenten ein wie aus dem Nichts entstandener Wettbewerbsvorteil angeboten. Dasselbe Bild zeichnet sich ab beim Projekt-Management. Dort angewandte und verständlicherweise nicht genehmigte „KI-Helferlein“ transferieren Datensätze, die bei Anfragen durch Mitstreiter:innen im Maßstab 1:1 ausgespuckt werden. Wen wundert´s, wurde die Intelligenz doch mit den Originaldaten eines Konzerns trainiert und für künftige Assistenzaufgaben adaptiert.
Beim Bekanntwerden der folgenden, inakzeptablen KI-Features sollten die Alarmglocken läuten: KI-Transkriptionsdienste speichern und verarbeiten Informationen ohne übergeordnete Überwachung. Modelle werden mit inkorrekten Trainingsdaten und fehlerbehafteten Informationen versorgt. Zugangskontrollen zu den Diensten sind nur rudimentär bis gar nicht vorhanden. Ergebnisse nicht zugelassener KI müssen vielfach evaluiert werden, dadurch werden Standard-Prozesse eingebremst. KI-Anwendungen ohne zentrale Steuerung und Prüfung erfordern mehr Rechenleistung, IT-Ressourcen und Energie. Individuelle Abonnements steigern die Kosten.
Der Katalog bedenklicher und risikoreicher Effekte bei der Nutzung von Schatten-KI muss um den Faktor „Cybersicherheit“ erweitert werden. Firmen bieten beim Einsatz nicht erwünschter Tools eine breite Angriffsfläche. Für Malware und Phishing-Attacken werden Türen weit geöffnet, da eine großzügig angelegte Überwachung durch das IT-Department fehlt. Wird gegen Compliance-Regeln verstoßen, können rechtliche Konsequenzen und Strafgelder folgen.
In der ethischen Zwickmühle
Ein breites Feld tut sich auf, wenn man nach den ethischen Dimensionen der KI-Revolution fragt. Im Spannungsfeld zwischen „Gut oder böse“, „Soll man oder lieber doch nicht?“ und „Überwiegt ein Nutzen oder Schaden?“ steht man vor dem einen oder anderen Dilemma. Wir erinnern uns an das Beispiel aus der Schule: Egal, wie man sich entscheidet, das Umstellen der Weiche wird entweder fünf Gleisarbeiter töten oder nur einen. Was machst du? Die Ausweglosigkeit gipfelt im Zwang für den Exit A oder Exit B, beide Modi sind gleich unattraktiv. Aber: Tertium non datur!
Das KI-Universum wartet mit ähnlichen Dilemmata und eröffnet die Werte-Diskussion. Sie wird meist pragmatisch im Stile des Utilitarismus gelöst. Größtmöglicher Benefit für die größtmögliche Anzahl der Stakeholder!
- Automatisierung & Arbeitsplatzverlust – Wie gelingt die Transformation ohne soziale Benachteiligung?
- Autonomie vs. Kontrolle – Wie bleibt der Mensch trotz KI-Entscheidungen handlungsfähig?
- Fairness & Transparenz – Wie verhindern wir „cognitive biases“ in KI-Systemen und wie werden KI-Entscheidungen durchschaut?
- Haftung & Datenschutz – Wer trägt Verantwortung für fehlerhafte KI-Entscheidungen und braucht es strengere Gesetze?
Erkennen, regulieren, sensibilisieren
Das Phänomen Schatten-KI muss in den meisten Abteilungen erst einmal dingfest gemacht werden. Ein Auftrag für die klassische IT. Nicht autorisierte Tools werden durch Netzwerkanalyse enttarnt. KI wiederum erkennt anhand von Anomalien die Präsenz unerwünschter Apps. Die regelmäßige Überprüfung der betriebseigenen Hardware lässt auch Rückschlüsse auf das Vorhandensein von Schatten-KI zu.
Hand in Hand mit Überprüfungen geht das Vertrauen. Zu Beginn von Kontroll-Maßnahmen stehen Workshops für Mitarbeiter:innen und die Bewusstseinsbildung. Erst wenn das Personal die Gefahren von Schatten-KI erfasst und Richtlinien klar kommuniziert werden, sind diese Aktivitäten von Erfolg gekrönt. Mit Governance und Compliance wird anschließend sichergestellt, dass klar definierte Regelwerke von allen Beteiligten akzeptiert und gelebt werden. Als Überwachungstools kommen Zugriffsbeschränkungen, Audits, DLP- und EDR-Systeme zur Anwendung (data loss prevention & endpoint detection and response).
Last but not least haben verantwortungsbewusste Betriebe den EU AI Act im Visier, der punktgenau die KI-Begleitung im Geschäftsalltag vorgibt. Im Gesetzestext wird deutlich ausgedrückt, dass Schatten-KI keinen Platz im seriösen Business findet.
Links
>>https://ai-society.org/schatten-ki-das-vielfach-unterschaetzte-risiko/
>>https://aimojo.io/de/shadow-ai-cybersecurity-threat/
>>https://exkulpa.de/digitalisierung/schatten-ki/
>>https://www.computerweekly.com/de/meinung/Schatten-KI-Risiken-durch-unkontrollierte-KI-Anwendungen
>>www.heise.de
>>https://das-wissen.de/kuenstliche-intelligenz-und-ethische-fragestellungen-aktuelle-forschungsergebnisse/