Direkt zum Inhalt

Kontrollverlust oder KI-Lähmung?

Kontrollverlust oder KI-Lähmung?
Kontrollverlust oder KI-Lähmung?

Warum Verbote das falsche Werkzeug gegen Shadow AI sind

In meiner Rolle als CISO erkenne ich in vielen Unternehmen dasselbe Muster: Die IT weiß
nicht, welche KI-Tools ihre Mitarbeitende tatsächlich verwenden. Vertragsentwürfe werden in
Consumer-Chatbots geladen. Kundenlisten werden zur „Analyse” in kostenlose Cloud-Modelle
geladen. Und währenddessen diskutiert das Management, ob man KI im Unternehmen
„erlauben” soll, obwohl die Belegschaft diese Frage bereits für sich beantwortet hat.
Dieses Phänomen wird Shadow AI genannt. Und es ist kein technisches, sondern ein
Führungsproblem.


Wie groß ist das Problem wirklich?
Shadow AI ist die logische Folge einer Situation, die sich in fast jedem europäischen
Unternehmen entwickelt hat: Öffentlich verfügbare KI-Werkzeuge sind sprunghaft besser
geworden. Der offizielle Freigabeprozess hingegen ist derselbe geblieben. Wenn eine
Freigabe sechs Monate dauert, ein ChatGPT-Login aber nur sechs Sekunden, dann
entscheidet der Zeitdruck und nicht die Compliance.
Das bedeutet konkret, dass in vielen Organisationen sensible Daten – Vertragsklauseln,
Kundenkommunikation, interne Strategiepapiere – längst außerhalb der eigenen Kontrolle
liegen. Nicht, weil Mitarbeitende leichtsinnig sind. Sondern weil sie ihre Arbeit erledigen wollen
und weil ihnen niemand einen sicheren Weg dafür bereitgestellt hat.

Warum reagieren so viele Unternehmen falsch?
Die typischen Reaktionen sind zwei Extreme, die aus Sicht des CISOs beide ein Problem
sind. Ein Extrem ist das Pauschalverbot: „KI-Tools sind bei uns nicht erlaubt.“ Es löst nichts,
sondern verlagert das Risiko ins Unsichtbare. Wer Shadow AI verbietet, ohne eine gangbare
Alternative anzubieten, sorgt nicht dafür, dass sie verschwindet, sondern dafür, dass er nichts
mehr davon mitbekommt. Aus Sicht der Security ist das der schlechteste aller Zustände.
Das andere Extrem ist die KI-Lähmung: Man ist sich der Risiken bewusst und fordert deshalb
erst eine perfekte Governance-Strategie, ein komplettes Rollen- und Rechtemodell sowie eine
abschließende juristische Bewertung, bevor man aktiv wird. Während intern jahrelang
Konzepte geschrieben werden, laufen die Prozesse im Schatten unverändert weiter. Das ist
keine Security, das ist Aufschub mit Aktenzeichen.
Zwischen beiden Extremen liegt ein pragmatischer Mittelweg. Er beginnt mit einer
unbequemen Einsicht: Security darf sich nicht länger als Bremse verstehen.


Security als Enabler denken
Die IT-Security hat sich in den letzten zwanzig Jahren einen Ruf erarbeitet, von dem sie sich
lösen sollte: den der Instanz, die zunächst einmal alles blockiert. Bei KI funktioniert diese
Haltung nicht mehr. Die Nutzung findet ohnehin statt – entweder mit uns oder ohne uns.
Konsequent zu Ende gedacht bedeutet das: Die Aufgabe eines CISO im KI-Zeitalter besteht
nicht darin, den Einsatz zu unterbinden, sondern einen Rahmen zu schaffen, in dem er
stattfinden darf. Ein Rahmen mit klaren Grenzen, klaren Verantwortlichkeiten und – das ist
entscheidend – klaren erlaubten Wegen. Wer eine sichere Alternative anbietet, muss die
unsichere nicht dauerhaft bekämpfen.
Für uns im deutschsprachigen Raum kommt ein weiterer Punkt hinzu: Datenschutz und
Souveränität sind keine Nebenanforderungen, sondern Kerngeschäft. Wo europäische
Kundendaten verarbeitet werden, entscheidet über die Anschlussfähigkeit der ganzen Lösung
– gegenüber dem Betriebsrat genauso wie gegenüber dem AI Act.

Wo steht Ihr Unternehmen?
Ob eine Organisation näher am Kontrollverlust oder an der sogenannten KI-Lähmung steht,
lässt sich präzise einschätzen – vorausgesetzt, man stellt die richtigen Fragen. Genau dafür
haben wir bei aqento einen kompakten KI-Reifegrad-Check entwickelt: ein pragmatisches
Instrument, das in kurzer Zeit sichtbar macht, wo ein Unternehmen im Umgang mit KI
tatsächlich steht und welcher der jeweils nächste sinnvolle Schritt wäre.
Finden Sie es am 17. November beim AI-Challenge Accepted! Summit in Linz gemeinsam
heraus. In unserem Workshop führen wir gemeinsam den Reifegrad-Check durch, arbeiten an
konkreten Situationen und übersetzen die Ergebnisse in erste umsetzbare Schritte.

Was folgt daraus?
Der erste sinnvolle Schritt gegen Shadow AI ist nicht der Kauf einer Lösung, sondern eine
Bestandsaufnahme. Erst danach lässt sich beurteilen, welche Kombination aus Policy,
Prozess und Technologie tatsächlich passt.
In vielen Fällen wird die Antwort eine Mischung sein: klare Regeln, ein schneller
Freigabeprozess für offizielle Cloud-Tools – und für sensible Daten eine eigene,
kontrollierbare KI-Infrastruktur im eigenen Rechenzentrum oder bei einem europäischen
Anbieter. Genau an diesem Punkt setzen wir bei aqento an: mit KI-Lösungen, die selbst
gehostet werden, deren Daten das Unternehmen nicht verlassen und die sich in bestehende
Security- und Governance-Strukturen einfügen.