Shadow AI im Unternehmen: Warum klassische DLP-Konzepte an Grenzen stoßen

Generative KI beschleunigt Produktivität und Datenabfluss zugleich. Für Unternehmen wird Shadow AI damit zur Governance-, Compliance- und Sicherheitsfrage – und verlangt risikobasierte Kontrollen jenseits klassischer Datei- und E-Mail-Überwachung.

Der Einsatz generativer KI hat sich in Unternehmen von der Pilotphase in den operativen Alltag verlagert. Genau daraus entsteht jedoch ein neues Sicherheitsproblem: Mitarbeitende nutzen KI-Dienste zunehmend eigenständig außerhalb freigegebener Prozesse und Kontrollen. Diese als „Shadow AI“ beschriebene Praxis vergrößert die Angriffs- und Exfiltrationsfläche, weil sensible Inhalte nicht mehr nur über Dateien, E-Mail oder klassische Cloud-Uploads abfließen, sondern auch über Prompts, Zwischenablage, Browser-Sitzungen und Entwicklerwerkzeuge. Für Security- und Compliance-Teams im Enterprise-Umfeld ist das weniger ein Randphänomen als eine Frage von Governance, Transparenz und Haftung.

Aktuelle Daten belegen, wie schnell sich KI im Unternehmenskontext verbreitet. Nach Angaben von Eurostat nutzten 2025 bereits 20 Prozent der EU-Unternehmen mit mindestens zehn Beschäftigten KI-Technologien in ihrem Geschäftsbetrieb; 2024 lag dieser Anteil noch bei 13,5 Prozent.

Besonders relevant für den Enterprise-Kontext: In großen Unternehmen ist die Nutzung deutlich weiter fortgeschritten als im Mittelstand. Parallel dazu zeigen Marktstudien, dass die tatsächliche Verwendung generativer KI in Arbeitsprozessen häufig schneller wächst als formale Richtlinien, Freigabeprozesse und Schulungen.

Für Unternehmen entsteht damit eine Governance-Lücke: Technologie wird produktiv genutzt, bevor Zuständigkeiten, Datenklassifikation, zulässige Einsatzszenarien und technische Leitplanken sauber definiert sind.

Die Ohnmacht traditioneller DLP-Systeme

Der wesentliche Risikopfad verschiebt sich damit von klar definierbaren Datenkanälen zu schwerer kontrollierbaren Interaktionen. Im Unternehmensalltag geschieht das oft unspektakulär: Ein Vertriebsmitarbeiter lässt sich eine Antwort an einen Kunden formulieren, ein Entwickler prüft Codefragmente in einem externen Modell, ein Analyst fasst interne Dokumente per Browser-Tool zusammen.

Technisch sind das häufig keine Dateiübertragungen im klassischen Sinn, sondern kleine, kontextreiche Informationsstücke, die sich mit herkömmlichen Kontrollmechanismen nur unzureichend erfassen lassen.

Klassische Data-Loss-Prevention-Systeme (DLP) stoßen in diesem Szenario an Grenzen. Viele etablierte Lösungen wurden für Datei-, Mail- und Netzwerkströme konzipiert. Bei generativer KI läuft der Datenabfluss jedoch oft kleinteilig und interaktiv: per Copy-and-Paste in Browser-Prompts, über Plug-ins, Webformulare, lokale Agenten oder Coding-Assistenten.

Genau diese Form der Datennutzung ist aus Sicht vieler Unternehmen kritisch, weil sie den Kontext eines Vorgangs verändert: Nicht der vollständige Datensatz verlässt zwangsläufig das Unternehmen, sondern oft ein Ausschnitt, der dennoch geistiges Eigentum, personenbezogene Informationen, Quellcode, Vertragsinhalte oder Produktpläne enthalten kann.

Hinzu kommt die Geschwindigkeit, mit der neue Tools eingeführt werden. Laut dem 2025 AI Adoption and Risk Report von Cyberhaven sind 71,7 Prozent der in Unternehmen genutzten KI-Tools als hoch oder kritisch riskant eingestuft; 83,8 Prozent der in KI-Tools eingegebenen Unternehmensdaten fließen demnach in solche riskanteren Umgebungen. Zudem waren 34,8 Prozent der an KI-Systeme übermittelten Unternehmensdaten als sensibel klassifiziert. Für Enterprise-IT bedeutet das: Das Problem ist nicht nur die Existenz einzelner nicht freigegebener Tools, sondern die Breite der Nutzung und die Menge geschäftskritischer Informationen, die in diese Systeme gelangen.

Drei Säulen eines modernen, risikobasierten DLP-Ansatzes

Um diesen Nutzungsmustern im Enterprise-Umfeld zu begegnen, reicht ein rein regelbasiertes DLP-Verständnis nicht mehr aus. Erforderlich ist ein kontextsensitives Betriebsmodell, das Datensicherheit mit Produktivität verbindet. Der europäische Cybersicherheitsanbieter aDvens beschreibt dafür drei Grundprinzipien, die sich auch unabhängig vom konkreten Hersteller als Leitlinien einer modernen Sicherheitsarchitektur lesen lassen:

1. Ganzheitliche Transparenz („Was passiert tatsächlich?“): Unternehmen benötigen vollständige Sichtbarkeit über sämtliche Datenbewegungen hinweg. Dies erfordert eine lückenlose Überwachung aller Endpunkte, Browser-Aktivitäten, Cloud-Dienste und E-Mail-Kanäle. Besondere Priorität hat dabei die Nachvollziehbarkeit von unstrukturierten Datenübertragungen, die über Clipboard-Vorgänge (Copy/Paste) oder direkte Uploads in nicht freigegebene, KI-basierte Dienste fließen.
2. Dynamische Risikobewertung („Wie kritisch ist das Ereignis wirklich?“): Starre, binäre Regelwerke (Erlauben/Blockieren) werden der modernen Arbeitsrealität nicht gerecht. Moderne DLP-Ansätze nutzen stattdessen risikobasierte Modelle. Durch die Korrelation einer Vielzahl von Kontext-Indikatoren können diese Systeme präzise differenzieren, ob ein Vorgang eine reale Bedrohung darstellt oder im unkritischen Bereich liegt.
3. Adaptive, abgestufte Reaktion („Was ist die richtige Reaktion?“): Die Governance muss flexibel agieren. Je nach ermitteltem Risikoniveau müssen abgestufte Gegenmaßnahmen greifen. Das Spektrum reicht von der situativen Sensibilisierung der Mitarbeitenden im Moment der Handlung über kontextbezogene Warnhinweise und temporäre Freigaben bis hin zur strikten, automatisierten Blockierung bei hochriskanten Vorfällen.

In der Praxis bedeutet dies: Führt ein Nutzer eine Aktion mit nachweislich geringem Risiko aus, nutzt das System den Moment für einen gezielten Security-Awareness-Hinweis. Versucht derselbe Nutzer hingegen, hochsensible personenbezogene Kundendaten oder geschützte Entwicklungsdaten in ein nicht vertrauenswürdiges KI-Tool einzufügen, wird die Transaktion in Echtzeit blockiert.

Regulatorischer Druck erzwingt strategisches Umdenken

Der Handlungsdruck wächst nicht nur technisch, sondern auch regulatorisch. Mit dem gestaffelten Anwendungsbeginn des EU AI Act verschärfen sich die Anforderungen an Unternehmen Schritt für Schritt. Seit dem 2. Februar 2025 gelten bereits Verbote bestimmter KI-Praktiken sowie Pflichten zur KI-Kompetenz. Seit dem 2. August 2025 greifen zudem Vorgaben für General-Purpose-AI-Modelle. Für Unternehmen ist entscheidend: KI-Nutzung lässt sich regulatorisch nicht mehr als informelle Experimentierzone behandeln. Wer KI produktiv einsetzt, muss Verantwortlichkeiten, Dokumentation, zulässige Zwecke, Risikobewertung und Kontrollmechanismen nachvollziehbar organisieren.

Hinzu kommen bestehende Pflichten aus Datenschutz, Informationssicherheit und Branchenregulierung. Der EU AI Act ersetzt diese Vorgaben nicht, sondern kommt im Unternehmensalltag zusätzlich hinzu. Gerade für international aufgestellte Unternehmen bedeutet das, Shadow AI nicht allein als Security-Problem zu betrachten, sondern als Governance-Thema an der Schnittstelle von CISO, CIO, Datenschutz, Recht, Einkauf und Fachbereichen. Ein pauschales Verbot aller KI-Anwendungen löst dieses Problem in der Regel nicht. Es verlagert Nutzung eher in inoffizielle Kanäle, statt sie in kontrollierte, auditierbare Bahnen zu lenken.

Pauschalverbote von KI-Anwendungen erweisen sich in global vernetzten Unternehmen jedoch meist als kontraproduktiv. Sie drängen die Nutzung lediglich tiefer in die Anonymität der Schatten-IT und bremsen gleichzeitig die Innovations- und Wettbewerbsfähigkeit der Organisation aus.

„Die Geschwindigkeit, mit der KI-Tools in Unternehmen eingesetzt werden, ob erlaubt oder unerlaubt, setzt Security-Teams unter Zugzwang“, erklärt Andreas Süß, CEO DACH der aDvens GmbH. „Immer öfter fließen sensible Daten ab, weil Mitarbeitende Shadow AI verwenden. Moderne DLP-Programme müssen daher über klassische Datei- und E-Mail-Kontrolle hinausgehen und sich der Arbeitsrealität von Mitarbeitenden anpassen.“

Für Sicherheitsverantwortliche in Großunternehmen folgt daraus eine strategische Verschiebung: Datensicherheit bei KI-Nutzung ist nicht mehr primär eine Frage statischer Verbote, sondern der kontrollierten Ermöglichung. Gefragt sind technische Sichtbarkeit über Endpunkte, Browser und Cloud-Dienste, eine risikobasierte Bewertung einzelner Vorgänge sowie klar definierte Einsatzregeln für freigegebene und nicht freigegebene KI-Services. Der Reifegrad eines Unternehmens zeigt sich damit zunehmend nicht daran, ob KI genutzt wird, sondern ob ihre Nutzung nachvollziehbar, begrenzt und compliance-fähig gesteuert werden kann.