„Shadow AI“ bezeichnet den Einsatz von KI-Systemen, Tools oder Modellen innerhalb einer Organisation ohne offizielle Freigabe, Kontrolle oder Wissen der IT-, Sicherheits- oder Compliance-Verantwortlichen oder der Geschäftsführung. Der Begriff lehnt sich an „Shadow IT“ an und beschreibt unautorisierte oder intransparente KI-Nutzung durch Mitarbeitende oder Fachabteilungen, während „Shadow IT“ die Nutzung intransparenter IT-Services oder Komponenten innerhalb bestehender Infrastrukturen oder Produkte beschreibt.
Wie entsteht Shadow AI?
Shadow AI entsteht, wenn Mitarbeitende einer Organisation externe KI-Dienste, Chatbots oder generative KI-Tools für die Erledigung von Aufgaben verwenden, ohne dass es dafür eine offizielle Genehmigung oder Policy innerhalb der Organisation gibt. Häufig erfolgt die Nutzung von Shadow AI aus aus Effizienzgründen, jedoch ohne Einhaltung interner Sicherheits- oder Datenschutzvorgaben. Dies kann zum Abfluss sensibler Daten, Kontrollverlust über Geschäftsprozesse und ungewollten Compliance-Risiken führen. Ein klassisches Beispiel ist die Nutzung privater Accounts von ChatGPT am Arbeitsplatz.
Zentrale Risiken von Shadow AI
Neben der unkontrollierten Datenabfluss oder unklarer interner Rahmenbedingungen für die Nutzung von KI bringt Shadow AI eine weitere Reihe an zentralen Risiken mit sich:
- Datenschutz- und DSGVO-Verstöße: unbeabsichtigtes Hochladen personenbezogener oder vertraulicher Daten in Daten-verarbeitende Systeme außerhalb der Organisation
- Fehlende Transparenz: keine Nachvollziehbarkeit, welche Daten wohin übermittelt wurden
- Fehlender rechtlicher Rahmen: keine klaren rechtlichen Rahmbedingungen, wie z.B. das Vorhandensein konkret Auftragsverarbeitungsverträge (AVV-Verträge)
- Sicherheitsrisiken: Nutzung unsicherer oder manipulierbarer KI-Dienste
- Fehlende Governance: Modelle werden genutzt, ohne dass Richtlinien, Schulungen oder Kontrollprozesse existieren
Praxisrelevanz
Shadow AI betrifft nahezu alle Organisationen, die KI im Alltag einsetzen. Unternehmen und Behörden benötigen klare KI-Richtlinien, technische Kontrollen, Schulungen und Transparenzmechanismen, um eine sichere und regelkonforme Nutzung zu gewährleisten.
Beratung zu Shadow AI in Behörden und Unternehmen durch Elsen GRC
Elsen GRC hilft Unternehmen und Behörden dabei, Risiken unkontrollierter KI-Nutzung zu identifizieren, Richtlinien für sicheren KI-Einsatz einzuführen, Datenschutzanforderungen umzusetzen und Governance-Strukturen aufzubauen, die eine kontrollierte, transparente und verantwortungsvolle Verwendung von KI-Tools ermöglichen. Vereinbaren Sie ein unverbindliches Beratungsgespräch.
Bild: © David Werbrouck – Unsplash.com
Quellen: IBM – Shadow AI
