Ob Führungskräfte bereit sind oder nicht, KI-Agenten verändern die Art und Weise, wie Unternehmen Geschäfte machen. Wie aktuelle Studien gezeigt haben, setzen Mitarbeiter auf KI, um Produktivitätssteigerungen zu erzielen, auch wenn das bedeutet, dass dies außerhalb der Kontrolle der IT-Abteilung liegt.
Eine Gartner-Umfrage von 2025 ergab, dass 69 % der Unternehmen vermuten oder Beweise dafür haben, dass Mitarbeiter verbotene öffentliche GenAI verwenden, und Gartner geht davon aus, dass bis 2030 mehr als 40 % der Unternehmen Sicherheits- oder Compliance-Vorfälle aufgrund unberechtigter Schatten-KI erleben werden.
Es ist gefährlich genug, blinde Flecken in der IT-Sicherheit zu haben, aber die Geschwindigkeit, Autonomie und Privilegien von KI-Agenten können ein wirksames Rezept für Risiken sein. Ein nicht verwalteter Agent mit Zugriff auf sensible Informationen kann gegen Compliance-Vorschriften verstoßen, Informationen preisgeben oder den Wirkungsradius eines Angriffs erweitern, wenn er unter die Kontrolle eines Angreifers gerät.
Wie sichern Organisationen angesichts dieses Wandels das agentische Unternehmen? Wir haben mit Führungskräften der obersten Führungsebene gesprochen, um das herauszufinden. Hier sind ihre Strategien zur Umwandlung von Schatten-KI in sichere Innovation.
1. Transparenz hat Vorrang vor Einschränkung.
Studien haben gezeigt, dass Arbeitnehmer bereit sind, offizielle Richtlinien zu umgehen, um die Werkzeuge nutzen zu können, die ihnen bei der Erledigung ihrer Arbeit helfen. Eine KPMG-Umfrage von 2025 ergab beispielsweise, dass fast die Hälfte der US-Arbeitnehmer KI-Tools bei der Arbeit auf unbefugte Weise verwendet. Bryan McGowan, Global Trusted AI Leader bei KPMG, erklärte in einem Interview, dass Mitarbeiter häufig nicht autorisierte Tools verwenden, da diese schneller und benutzerfreundlicher sind als zugelassene.
Der Versuch, diese Tools zu blockieren, könnte kontraproduktiv sein, sagt Amar Akshat, SVP Technologie und Chief Architect bei Paysafe.
„Wenn man Dinge blockiert, blockiert man nur die Sichtbarkeit“, sagt er. „Die KI-Landschaft entwickelt sich so schnell, dass die Leute KI täglich nutzen werden, und sie zu blockieren, ermutigt sie nur, nicht sichtbar zu sein, wenn sie sie benutzt.“
2. Verringern Sie die Hürden für sanktionierte KI-Tools.
Um zu verhindern, dass Mitarbeiter ihre eigenen, nicht geprüften Tools auswählen, schlägt James Simcox, Chief Operations und Product Officer von Equals Money, vor, dass Führungskräfte proaktiv handeln müssen.
„Wir haben ChatGPT schon früh proaktiv an unsere Mitarbeiter weitergegeben, weil wir befürchteten, dass sie es selbst tun würden, wenn wir nichts unternehmen“, sagt er.
Schatten-IT ist kein neues Problem – Mitarbeiter haben immer neue Tools eingeführt – aber KI-Agenten mit ihrem umfassenden Zugriff auf Daten und Systeme fügen eine neue Risikoebene hinzu, sagt Simcox.
„Wenn Sie versehentlich ein Produkt vom Typ KI-Agent mitbringen, das mit einer Reihe von Diensten verbunden ist und niemand es bemerkt, ist das ein echtes Problem“, fügt Simcox hinzu.
Natürlich können Mitarbeiter keine Richtlinien befolgen, von denen sie nichts wissen. Die Aufklärung der Mitarbeiter darüber, welche Tools erlaubt sind, wie man sie produktiv einsetzt und welche Regeln für die Nutzung von Unternehmensdaten gelten, trägt zur Risikominderung bei und stärkt die Eigenverantwortung der Mitarbeiter.
3. Zugriff verwalten und übermäßige Berechtigungen abwehren
Der Schlüssel zur Förderung einer sicheren KI-Landschaft liegt in der Verwaltung der Identitäten und Berechtigungen nichtmenschlicher Agenten mit der gleichen Strenge wie Menschen. Leider hinken die Regierungsbemühungen oft dem Einsatz von KI hinterher. Der Bericht AI at Work 2025 von Okta ergab, dass nur 36% der Organisationen ein zentralisiertes Führungsmodell für KI hatten. Darüber hinaus gaben nur 10% der Befragten an, dass ihre Organisation über eine gut entwickelte Strategie oder Roadmap für das Management nichtmenschlicher Identitäten (NHIs) verfügt.
Diese Realität stellt Unternehmen vor eine grundlegende Herausforderung: Wie gehen sie mit einer Situation um, die schnell unhandlich werden kann?
Das Risiko wird durch die Vererbung von Berechtigungen verschärft, bei der ein KI-Agent die vollen Rechte des Benutzers übernimmt, der ihn erstellt hat. „Wenn Sie ein Administrator in unserem CRM sind, haben Sie vielleicht Zugriff auf alles, und wenn Sie Schwierigkeiten haben, dieses KI-Tool zum Laufen zu bringen, könnten Sie sagen: 'Verdammt, haben Sie alle Berechtigungen, die ich habe, verwenden Sie mein Admin-Account. 'Und schauen Sie, was passiert“, sagt Simcox. Durch dieses Verhalten entsteht ein ausgedehntes Netzwerk von überprivilegierten Agenten.
Der erste Schritt zur Vereinheitlichung von Sichtbarkeit und Kontrolle besteht darin, herauszufinden, welche KI-Agenten sich in Ihrer Umgebung befinden, sagt Simcox. Die richtigen Werkzeuge zur Verfügung zu haben hilft.
„Ich kann nicht zulassen, dass die Mitarbeiter auf jeder Plattform nachschauen, ob jedes Tool die richtige Identität oder den richtigen Zugriff hat, den es für seine Rolle benötigt“, fährt Simcox fort.
An dieser Stelle kommt Identity Security Posture Management (ISPM) ins Spiel, fügt Simcox hinzu. ISPM kann eine kontinuierliche, automatische Erkennung jeder Identität — einschließlich KI-Agenten — ermöglichen und diejenigen mit übermäßigem Zugriff kennzeichnen, bevor sie ausgenutzt werden können.
„Nicht-menschliche Identitäten und KI-Agenten sind die beiden am schnellsten wachsenden Angriffsflächen für Unternehmen“, sagt Jack Hirsch, Vice President of Product Management bei Okta. „Fragmentierte Sichtbarkeit und Kontrolle erhöhen nur das Risiko von Data Breaches, Compliance-Verstößen, voreingenommenen KI-Ergebnissen und anderen Herausforderungen.“
Der Weg in die Zukunft: Identität ist die Grundlage für KI
Indem Führungskräfte jeden KI-Agenten als primäre Identität behandeln — mit eigenem Lebenszyklus, eigenen Berechtigungen und eigener Aufsicht — können Führungskräfte die Ära der Schatten-KI hinter sich lassen und in eine Ära sicherer, agentischer Innovation eintreten.
„Das Unternehmen der Zukunft wird von Automatisierung und KI angetrieben“, sagt Hirsch, „und die Grundlage dieser Zukunft muss umfassende Transparenz und Identity Governance beinhalten.“
Möchten Sie KI aus dem Schatten holen? Erfahren Sie, wie Sie Shadow-KI erkennen, versteckte Identitätsrisiken und Fehlkonfigurationen aufdecken und die Auswirkungen von Agenten mit Agent Discovery in ISPM abgleichen können. Jetzt verfügbar.
KI-Agenten wachsen schnell. Hält Ihre Sicherheit Schritt?
