Shadow AI bezeichnet die nicht autorisierte oder nicht verwaltete Nutzung von KI-Tools innerhalb eines Unternehmens. Ähnlich wie bei Shadow IT entsteht Shadow AI, wenn Mitarbeitende KI-Dienste wie ChatGPT, Claude, Midjourney oder KI-Programmierassistenten einsetzen, ohne die vorgesehenen Genehmigungs-, Sicherheitsprüfungs- oder Governance-Prozesse zu durchlaufen. Laut einer Gartner-Studie aus dem Jahr 2025 nutzen 68 % der Mitarbeitenden regelmäßig KI-Tools, von denen ihre IT-Teams nichts wissen, womit Shadow AI zu einem der am schnellsten wachsenden Sicherheitsrisiken für Unternehmen zählt.
Shadow AI birgt erhebliche Risiken, darunter Datenabfluss (sensible Informationen in KI-Prompts), Compliance-Verstöße (regulierte Daten, die von nicht genehmigten Diensten verarbeitet werden), Sicherheitslücken (ungeprüfte KI-Tools mit schwachen Sicherheitskontrollen) und den Verlust geistigen Eigentums (proprietäre Informationen, die zum Training externer KI-Modelle verwendet werden). Eine Cisco Data Privacy Benchmark Study aus dem Jahr 2024 ergab, dass 48 % der Mitarbeitenden nicht öffentliche Unternehmensinformationen in externe KI-Tools eingegeben haben.
Unternehmen begegnen Shadow AI mit Discovery-Tools, die den Netzwerkverkehr und die Browseraktivität auf die Nutzung von KI-Diensten überwachen, mit Acceptable-Use-Richtlinien, die genehmigte Tools festlegen, mit Schulungen zu sicheren KI-Praktiken und mit Governance-Rahmenwerken, die Innovation und Sicherheit in Einklang bringen. Der wirksamste Ansatz verbindet Echtzeitüberwachung mit Richtliniendurchsetzung und Coaching der Mitarbeitenden.
Die finanziellen Auswirkungen von Shadow AI sind beträchtlich. Der IBM Cost of a Data Breach Report 2024 stellte fest, dass Unternehmen mit unzureichenden KI-Governance-Richtlinien durchschnittliche Kosten von 4,88 Millionen US-Dollar pro Vorfall tragen. Aufsichtsrechtliche Strafen verschärfen dieses Risiko: DSGVO-Verstöße durch KI-Datenverarbeitung können bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes erreichen, während der EU AI Act Strafen von bis zu 35 Millionen Euro für Verstöße bei Hochrisiko-KI vorsieht.
Zu den Erkennungsmethoden für Shadow AI gehören die Analyse des Netzwerkverkehrs zur Identifizierung von KI-API-Aufrufen, die Überwachung von Browser-Erweiterungen zur Erfassung webbasierter KI-Tool-Nutzung, Tools für das SaaS Security Posture Management (SSPM), die OAuth-Berechtigungen prüfen, sowie User Behavior Analytics (UBA), die ungewöhnliche Datenmuster im Einklang mit der KI-Nutzung kennzeichnen.