Da Unternehmen begonnen haben, die Möglichkeiten der KI zu erforschen, ist auch das Schreckgespenst der Schatten-KI aufgetaucht.
In gewisser Weise sollte dies kaum überraschen. Als die Cloud-Akzeptanz zunahm, stieg auch die unbefugte Nutzung von Cloud-Anwendungen, oder „Schatten-IT“. Messaging-Apps? Persönliche Geräte? Sie alle tragen weiterhin zur Herausforderung bei, Schatten-IT in Enterprise-Netzwerken anzugehen. Shadow KI ist einfach die neueste Iteration eines alten Problems.
Eine Push-Pull-Situation
Da KI-Tools den Markt überschwemmen und täglich neue Startups entstehen, ist die Akzeptanz durch die Mitarbeiter unvermeidlich – die Einhaltung genehmigter Tools und Prozesse jedoch nicht. Eine KPMG-Umfrage berichtete, dass 44 % der US-amerikanischen Arbeitnehmer KI ohne ordnungsgemäße Genehmigung oder auf unangemessene Weise einsetzen. Eine weitere Studie von Gusto besagt, dass 45 % der Arbeitnehmer in den USA KI am Arbeitsplatz eingesetzt haben, ohne ihren Arbeitgeber oder Manager zu informieren, und 53 % waren der Meinung, dass ihre Produktivität sinken würde, wenn KI verboten würde.
Diese Realität bringt Unternehmen in eine Zwickmühle – den Anreiz, die Produktivitätsgewinne durch KI zu nutzen, im Gegensatz zu den Anforderungen des Sicherheits- und Risikomanagements. Unverwaltete KI kann alles verursachen, von verzerrten Ergebnissen über Datenlecks bis hin zu Problemen bei der Einhaltung der Compliance.
Dennoch erklärt Bryan McGowan, Global Trusted KI Leader bei KPMG, dass Mitarbeiter oft zu nicht autorisierten Tools greifen, weil diese im Vergleich zu genehmigten Alternativen eine höhere Geschwindigkeit und Benutzerfreundlichkeit bieten.
„Die Entwicklung von Governance-Frameworks, Risikokontrollen und Mitarbeiterschulungen hinkt der Einführung von KI hinterher“, bemerkt er. "Darüber hinaus haben Unternehmen Schwierigkeiten, das richtige Gleichgewicht zwischen intern entwickelten Schutzmaßnahmen und solchen zu finden, die von Technologieplattformen wie Hyperscalern angeboten werden."
Dieses Fehlen von Richtlinien und Governance verschärft die Situation. Der AI at Work 2025 -Bericht von Okta ergab, dass nur 36 % der Unternehmen ein zentrales Governance-Modell für KI hatten. Zusätzlich ergab eine weitere Untersuchung der Umfragedaten, dass auf die Frage, was die Schlüsselelemente für die erfolgreiche Einführung und Integration von KI sind, zwei der drei wichtigsten Antworten „Prozesse und Schutzmaßnahmen zur Sicherstellung der Qualität der Daten“ und „Governance und Sicherheit“ waren.
Etablierung einer effektiven KI-Governance
"Effektive Unternehmen benötigen unbedingt die Transparenz, die Richtlinien und die Governance, die von einem zentralen Top-Down-Modell ausgehen", bemerkt Ben King, Vice President, Security Trust and Culture, bei Okta. "Ein zentrales Team oder Komitee kann die Datennutzung, konsistente Richtlinien und Prozesse sowie Leitplanken definieren; internationale und regulatorische Erwartungen erfüllen; Sicherheit und Datenschutz durch Design einbeziehen; und die Ressourcen mit vollständiger Transparenz über Bedarf und Anwendungsfälle in einer Organisation optimal nutzen."
Effektives Identity-Zugriffsmanagement muss all dem zugrunde liegen und das Maß an Kontrolle und Transparenz bieten, das Unternehmen benötigen. Überprivilegierte KI-Agenten können Enterprises beispielsweise Sicherheitsrisiken und Datenlecks aussetzen. Aber zusätzlich zu einem Top-Down-Fokus auf IAM benötigen Unternehmen auch eine Kultur der Innovation, des Experimentierens und des Feedbacks von unten nach oben.
"Mitarbeiter müssen sich befähigt fühlen, zu testen, zu lernen, Fehler zu machen, zu iterieren und es erneut zu versuchen, ohne sich eingeschränkt zu fühlen", sagt King. "Das Ergebnis ist ein Hybridmodell, bei dem zentrale Transparenz und Kontrolle vorhanden sind, das jedoch so gestaltet ist, dass es die innovative Nutzung von KI ermöglicht und fördert."
Die eigentliche Frage, so führt er fort, ist, wie Unternehmen dieses Modell definieren sollten und wo die Grenze gezogen werden sollte. Die Antwort auf diese Frage ist eine Funktion der organisatorischen Reife in den Bereichen Technologie, Recht, Datenschutz, Sicherheit und Risiko in den Märkten, in denen das Unternehmen tätig ist.
"Ein reifes Unternehmen kann mehr Experimente mit weniger klar definierter Kontrolle zulassen, wenn die bestehende Mitarbeiterkultur und -bildung sicherstellt, dass die Tests auf eine verfeinerte und sichere Weise durchgeführt werden," sagt King. "Im Gegensatz dazu wird eine weniger reife Organisation robustere Leitplanken, explizite Erwartungen an das, was akzeptabel ist und was nicht, sowie Überprüfungs- und Genehmigungsgremien benötigen."
Holen Sie KI aus dem Schatten, indem Sie die Mitarbeiter befähigen
McGowan schlägt vor, dass Unternehmen eine KI-Laborfunktion einrichten, die die standardisierte und kollaborative Entwicklung von KI-Lösungen fördern soll. Seine Hauptaufgabe, erklärt er, besteht darin, Designmuster, Playbooks und eine einheitliche KI-Architektur im gesamten Unternehmen zu erstellen und zu teilen.
„Dies bietet eine sichere, risikoarme Umgebung, in der Mitarbeiter mit KI-Tools und -Technologien experimentieren können – eine Sandbox, die praktisches Lernen und das Testen realer Herausforderungen ermöglicht, bevor Lösungen breiter eingesetzt werden“, fügt er hinzu. "Es arbeitet auch mit verschiedenen Teams, Kunden und Partnern zusammen, um gemeinsam KI-Lösungen zu entwickeln und zu testen, um sicherzustellen, dass sie praktikabel und effektiv sind, während es auch hilft, neue Marktinnovationen mit der etablierten KI-Architektur des Unternehmens in Einklang zu bringen, um Konsistenz und Sicherheit zu gewährleisten."
"Das Ziel ist es, eine KI-zentrierte Kultur zu fördern, sodass der Zugang häufig einer breiten Palette von Mitarbeitern gewährt wird", sagt McGowan. „Zum Beispiel stehen bei KPMG die ‚KI & Data Labs‘ und ihre Tools allen US-Mitarbeitern zur Verfügung, und bestimmte Labs sind auf Anfrage allen Beratungsfachleuten zugänglich.“ Dies fördert eine weit verbreitete KI-Kompetenz und Innovation.
Der Aufbau einer Kultur des Vertrauens in KI erfordert einen menschenzentrierten Ansatz, der auf Kundenbindung, Bildung und Befähigung fokussiert, sagt McGowan. Um diese Umgebung zu fördern, fügt er hinzu, sollten Unternehmen die folgenden Schlüsselstrategien verfolgen:
Vertrauen aufbauen und Ängste abbauen: Gehen Sie auf gängige Ängste im Zusammenhang mit KI ein, indem Sie Mythen entlarven und transparent über deren Rolle informieren. Erstellen Sie klare „Von-bis“-Definitionen dafür, wie sich Rollen entwickeln werden, und betonen Sie, dass KI ein Werkzeug zur Erweiterung des menschlichen Potenzials ist, nicht zu dessen Ersatz.
Befähigen und schulen Sie Mitarbeiter: Bieten Sie Zugang zu sicheren KI-Tools und „Sandbox“-Umgebungen, in denen Mitarbeiter ohne Risiko experimentieren können. Bieten Sie vielfältige Training-Optionen an, wie z. B. praktische Hackathons, formale Training-Sessions und On-Demand-Lernpfade, um Vertrauen und Kompetenz zu stärken.
Einbeziehen und inspirieren: Entwickeln Sie eine klare strategische Erzählung der Unternehmensführung über die KI-Vision des Unternehmens. Erkennen und belohnen Sie Mitarbeiter dafür, dass sie mit neuen KI-gestützten Arbeitsweisen experimentieren und diese erfolgreich anwenden.
Machen Sie KI zugänglich und einfach zu bedienen: Integrieren Sie KI-Tools nahtlos in die täglichen Workflows, sodass sie zur zweiten Natur werden. Erstellen Sie ein zentrales Hub, in dem Mitarbeiter leicht KI-Tools, Ressourcen und Best Practices finden können.
„Durch die Umsetzung dieser Strategien“, sagt McGowan, „können Unternehmen ihre Belegschaft zu einem Ort der Neugier, Inspiration und des Engagements für die Nutzung von KI für Innovation und Wachstum bewegen.“
Für Empfehlungen zur Entwicklung einer effektiven KI-Governance-Strategie lesen Sie Warum Ihre KI-Strategie Sie Risiken aussetzt – und was Sie dagegen tun können.
