30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage · Shadow AI

Shadow-AI-MitarbeiterumfrageFinden Sie heraus, welche KI Ihre Teams wirklich nutzen

Die meisten Organisationen stellen fest, dass Mitarbeitende weit mehr KI-Tools nutzen, als die IT freigegeben hat. Diese Umfragevorlage bietet 30 sorgfältig formulierte Fragen, eine versandfertige Amnestie-Nachricht und einen Analyseleitfaden mit einem einfachen Expositions-Score, damit Sie eine erste ehrliche Bestandsaufnahme der KI-Nutzung und der einfließenden Daten erstellen können.

Warum Sie Mitarbeitende zur KI-Nutzung befragen sollten

Blockieren und Überwachen zeigen nur den Datenverkehr. Eine gut durchgeführte Umfrage zeigt die Motive: welche Aufgaben die KI-Nutzung antreiben, warum Mitarbeitende freigegebene Tools umgehen und wo Ihre Richtlinie nicht angekommen ist.

Amnestie schafft Ehrlichkeit

Mitarbeitende antworten aufrichtig, wenn die Führung schriftlich zusichert, dass nichts Offengelegtes gegen sie verwendet wird. Die Vorlage verankert diesen vorwurfsfreien Ansatz in der Einführungsnachricht und im Aufbau der Umfrage selbst.

Was eine Umfrage erfasst

Persönliche Konten, Browser-Erweiterungen, Meeting-Bots und KI-Funktionen in freigegebener Software: die Nutzung, die Netzwerkprotokolle übersehen, dazu die ungedeckten Bedürfnisse und Hürden, die kein technisches Kontrollinstrument aufdecken kann.

Was eine Umfrage übersieht

Umfragen erfassen, woran sich Menschen an einem Tag erinnern und was sie zugeben. Als belanglos empfundene Nutzung, vergessene Tools und alles, was nach Umfrageschluss eingeführt wird, bleiben bis zur nächsten Runde unsichtbar.

Was die Umfrage abfragt

Dreißig Fragen in acht Abschnitten, jeweils gekennzeichnet als Einfachauswahl, Mehrfachauswahl, Likert-Skala oder Freitext. Die Fragen zur Rolle bleiben bewusst grob, damit kleine Teams nicht identifiziert werden können.

A
Genutzte KI-Tools6 Fragen · Mehrfachauswahl

Mehrfachauswahllisten gängiger Assistenten, Schreib- und Designtools, Coding-Tools und Meeting-Notiztools, jeweils mit einem Freitextfeld für alles, was nicht aufgeführt ist.

B
Häufigkeit und Aufgaben4 Fragen · Gemischt

Wie oft KI genutzt wird, für welche Aufgaben und wie viel Zeit sie spart, damit Sie die Verbreitung messen statt schätzen.

C
Welche Daten eingegeben werden4 Fragen · Mehrfachauswahl + Likert

Optionen auf Basis der Datenklassifizierung, von öffentlichen Informationen bis zu Kundendaten und Zugangsdaten, plus wie sorgfältig Inhalte vor der Eingabe geprüft werden.

D
Konten und Zugriffe4 Fragen · Einfachauswahl

Persönliche Konten versus Unternehmenskonten, nicht genehmigte Anmeldungen mit der Arbeits-E-Mail und dauerhafte Integrationen mit Unternehmenssystemen.

E
Erweiterungen und Meeting-Bots4 Fragen · Gemischt

KI-Browser-Erweiterungen auf Arbeitsbrowsern und KI-Notiztools in internen und externen Meetings, zwei der am häufigsten übersehenen Expositionspfade.

F
Rollenkontext2 Fragen · Grobe Kategorien

Nur breite Funktionsgruppen und Führungsstatus, bewusst grob gehalten, um die Anonymität zu schützen und dennoch Segmentierung zu ermöglichen.

G
Ungedeckte Bedürfnisse und Hürden3 Fragen · Gemischt

Was Mitarbeitende davon abhält, freigegebene Tools zu nutzen, und für welche Aufgabe sie sich am dringendsten ein besseres Tool wünschen: Ihre Beschaffungs-Shortlist.

H
Kenntnis der Richtlinie3 Fragen · Gemischt

Ob Mitarbeitende wissen, dass eine KI-Richtlinie existiert, wie ein Tool freigegeben wird und wie wohl sie sich dabei fühlen, offen über ihre Nutzung zu sprechen.

Antworten in Maßnahmen übersetzen

Die Vorlage enthält einen vollständigen Analyseleitfaden: wie Sie Ergebnisse segmentieren, ohne die Anonymität zu gefährden, welche Antwortkombinationen als Warnsignale gelten und wie Sie einen einfachen Shadow-AI-Expositions-Score von maximal 12 Punkten berechnen.

Warnsignal-Antwortmuster
  • Vertrauliche oder personenbezogene Daten über persönliche Konten eingegeben
  • Passwörter, API-Schlüssel oder Zugangsdaten in ein KI-Tool eingefügt
  • Häufige Uploads ganzer Dateien mit wenig oder keiner Inhaltsprüfung
  • Dauerhafte Integrationen und OAuth-Freigaben, die niemand bewertet hat
  • KI-Meeting-Bots, die externe Meetings mit Kunden oder Partnern aufzeichnen
  • Tägliche KI-Nutzende, die nicht wissen, dass eine KI-Richtlinie existiert
Stufen des Expositions-Scores

Jede Antwort wird nach Datensensibilität, Kontotyp, Nutzungsintensität, dauerhaften Zugriffen und Wissenslücken bewertet und anschließend zu einem organisationsweiten Score gemittelt.

Niedrig
0 bis 3

Leitlinien beibehalten und in 12 Monaten erneut befragen.

Moderat
4 bis 6

Die wichtigsten Risikosegmente in diesem Quartal priorisieren.

Hoch
7 bis 9

Innerhalb von 30 Tagen ein formelles Shadow-AI-Programm starten.

Kritisch
10 bis 12

Als aktiven Datenexpositionsvorfall behandeln und die Geschäftsleitung sofort informieren.

Ein durchgerechnetes Beispiel ist enthalten: eine ausgefüllte Übersichtstabelle für eine hypothetische Organisation mit 420 Beschäftigten, die zeigt, wie Befunde, Score-Komponenten und prioritäre Maßnahmen zusammenspielen.

Erste Schritte

Ersetzen Sie jährliche Umfragen durch kontinuierliche Erkennung

Eine Umfrage ist Ihre Ausgangsbasis; sie veraltet an dem Tag, an dem sie endet. Aona erkennt kontinuierlich jedes KI-Tool, das in Ihrer Organisation genutzt wird, zeigt, welche Daten in jedes einzelne fließen, und hält Ihr Shadow-AI-Bild zwischen zwei Umfragen aktuell.