„Shadow AI“ (die Nutzung nicht offiziell genehmigter KI-Tools) hat sich zu einem Modewort entwickelt, wobei sich die Diskussion oft auf das Verhalten der Mitarbeiter konzentriert: Nutzen sie nicht autorisierte KI-Tools? Welche Daten laden sie hoch? Wie können Unternehmen dies unterbinden?
Die Faktenlage deutet jedoch darauf hin, dass es längst nicht mehr um die Frage geht, ob Mitarbeiter solche Tools nutzen. Vielmehr stellt sich die Frage, ob Unternehmen überhaupt erfassen, in welchem Ausmaß diese Technologien bereits in den Arbeitsalltag integriert sind.
Das Ausmaß dieses Wandels ist kaum zu übersehen. Eine Analyse für den Bericht „State of Digital Workspace 2026“von Omnissa ergab, dass KI-Assistenten im vergangenen Jahr die am schnellsten wachsende Anwendungskategorie am Arbeitsplatz waren – mit einem Zuwachs von fast 1.000 %. Ein solches Wachstum spricht eine deutliche Sprache: Die Einführung von KI erfolgt nicht mehr über sorgfältig gesteuerte Pilotprojekte oder offizielle Beschaffungsprogramme. Sie geschieht organisch, angetrieben von Mitarbeitern, die für ihre tägliche Arbeit praktische Einsatzmöglichkeiten für diese Tools entdecken.
Aktuelle Untersuchungen von Thomson Reuters untermauern diese Einschätzung. Fast die Hälfte der Berufstätigen, die KI am Arbeitsplatz nutzen, gab an, dies auch dann fortzusetzen, wenn der Arbeitgeber es ausdrücklich untersagen würde. Zusammen mit der Erkenntnis von Adaptive Security, dass bereits 80 % der Mitarbeiter nicht genehmigte generative KI-Anwendungen bei der Arbeit nutzen, ergibt sich das Bild einer Belegschaft, die das Stadium der Genehmigungseinholung längst hinter sich gelassen hat.
Der Weg des geringsten Widerstands
Das Problem besteht darin, dass die meisten Frameworks für Technologie-Governance für eine andere Ära konzipiert wurden – eine Zeit, in der die Softwarebeschaffung einem vorhersehbaren Ablauf folgte: Die IT-Abteilung prüfte Anwendungen, Sicherheitsteams bewerteten Risiken, Verträge wurden unterzeichnet, und die Mitarbeiter nutzten die ihnen bereitgestellte Software. Dieser Prozess konnte Wochen oder Monate dauern, doch das Unternehmen behielt die Kontrolle. Dieses Modell setzte voraus, dass sich die Technologie im gleichen Tempo entwickelte wie die Governance-Prozesse.
Heute kann ein Mitarbeiter am Montagmorgen ein neues KI-Tool entdecken, noch vor der Mittagspause ein Konto einrichten und das Tool bis Feierabend in seinen Arbeitsablauf integrieren. Es gibt keinen Beschaffungszyklus, keinen formellen Evaluierungsprozess und oft keinerlei Abstimmung mit der IT-Abteilung. Die Zeitspanne zwischen der Entdeckung eines Tools und dessen produktiver Nutzung ist drastisch geschrumpft.
Auch wenn dies als Regelverstoß (Non-Compliance) ausgelegt werden kann, wählen die Mitarbeiter in der Realität schlicht den Weg des geringsten Widerstands: Sie entscheiden sich für die Tools, die ihnen ihrer Meinung nach die effizienteste Arbeitsweise ermöglichen.
Richtlinien: Der schmale Grat zwischen pragmatisch und problematisch
Es überrascht nicht, dass viele Unternehmen mit strengeren Kontrollen, umfassenderen Einschränkungen und formelleren Genehmigungsverfahren reagiert haben. Teilweise wurde der Zugang zu öffentlichen KI-Tools eingeschränkt, Uploads wurden blockiert und zusätzliche Governance-Ebenen eingeführt, bevor Mitarbeiter mit neuen Modellen experimentieren durften. Diese Reaktion ist verständlich, da KI echte Risiken birgt: Sensible Informationen können offengelegt, geistiges Eigentum versehentlich weitergegeben und regulatorische Verpflichtungen verletzt werden. Untersuchungen von Okta zeigen, dass mehr als die Hälfte der Unternehmen im vergangenen Jahr einen KI-bezogenen Sicherheitsvorfall oder einen Beinahe-Vorfall gemeldet haben.
Neben diesen Bedenken steht ein zunehmend komplexes regulatorisches Umfeld. Der EU AI Act beginnt, die Erwartungen an Transparenz, Rechenschaftspflicht und Risikomanagement neu zu definieren – insbesondere für Unternehmen, die KI in großem Maßstab einsetzen. Doch die Annahme, dass strengere Regeln das Problem lösen werden, ist fehlerhaft. In vielen Unternehmen werden Governance-Rahmenwerke noch ausgearbeitet, während die Mitarbeiter KI bereits täglich nutzen. Dies führt zu einer Abwärtsspirale: Die Führungsebene glaubt, die Einführung von Technologie erfolge über offizielle Kanäle, doch die Mitarbeiter wissen, dass sie meist aus Gründen der Bequemlichkeit geschieht. Wenn ein Mitarbeiter ein Problem in dreißig Sekunden mithilfe eines externen KI-Assistenten lösen kann, wird er kaum drei Wochen auf eine Prüfung durch die Beschaffungsabteilung warten. Aus Sicht der Mitarbeiter ist das pragmatisch, nicht problematisch.
Deshalb sollte „Shadow AI“ eher als Herausforderung für die Governance denn als Disziplinarfrage betrachtet werden. Das Problem ist nicht, dass Mitarbeiter Umwege suchen; das haben sie schon immer getan. Das Problem ist vielmehr, dass vielen Unternehmen der Einblick fehlt: Wie sehen diese Umwege aus? Wo treten sie auf? Welche Risiken bringen sie mit sich? Ohne diesen Einblick müssen Führungskräfte auf der Basis von Annahmen statt auf der Realität agieren.
Innovation wartet nicht auf eine Erlaubnis
Die Diskussion muss daher über die simple Frage hinausgehen, ob Mitarbeiter KI nutzen dürfen oder nicht. Stattdessen muss es darum gehen zu verstehen, wie KI im gesamten Unternehmen tatsächlich eingesetzt wird. Welche Tools setzen sich durch? Welche Abteilungen führen sie am schnellsten ein? Welche Daten werden geteilt? Wo liegen die wirklichen Risiken? Dies sind Fragen der Transparenz und Beobachtbarkeit (Observability), keine Fragen der Richtlinien.
Die effektivsten Governance-Modelle konzentrieren sich zunehmend zuerst auf Transparenz und erst in zweiter Linie auf Durchsetzung. Sie erkennen an, dass das Verständnis von Verhaltensweisen zu besseren Ergebnissen führt als der Versuch, diese zu verbieten. Dieser Ansatz trägt zudem einer grundlegenden Wahrheit der modernen Arbeitswelt Rechnung: Innovation wartet nicht auf eine Erlaubnis. Anstatt jeden Fall von „Shadow AI“ als Verstoß gegen Richtlinien zu werten, sollten Führungskräfte genauer darauf achten, was dieses Verhalten offenbart. Oft nutzen Mitarbeitende KI, weil sie ihnen hilft, Aufgaben schneller zu erledigen, repetitive Tätigkeiten zu reduzieren oder effizienter auf Informationen zuzugreifen. Genau solche Ergebnisse streben die meisten Organisationen aktiv an. Die Herausforderung besteht daher darin, dieses Verhalten konstruktiv zu nutzen und so weit zu durchdringen, dass die Vorteile gefördert und gleichzeitig die Risiken beherrschbar gemacht werden.
Was uns Shadow AI eigentlich verrät
Jahrelang gingen Organisationen davon aus, dass sich die Einführung neuer Technologien zentral steuern ließe. Shadow AI deutet auf etwas anderes hin: Die Einführung findet heute an der Peripherie der Organisation statt – vorangetrieben von Mitarbeitenden, die akute Probleme lösen, noch bevor entsprechende Governance-Strukturen überhaupt greifen. Dies ist kein Beleg dafür, dass sich Mitarbeitende nicht mehr an Regeln halten; es ist vielmehr ein Zeichen dafür, dass die bestehenden Regeln nicht mehr widerspiegeln, wie die Arbeit tatsächlich erledigt wird.