Schatten-KI: Die Governance-Herausforderung, die Führungskräften den Schlaf raubt

Für CIOs und CHROs stellt dies eine Governance-Krise dar, die sich nicht allein durch Beschaffung lösen lässt. Der traditionelle Ansatz „das richtige Tool kaufen und dessen Nutzung vorschreiben“ versagt, wenn Mitarbeitende über kostenlose Verbraucher-Apps vergleichbare Fähigkeiten erhalten. Die Frage für das Führungsteam lautet, wie sie Kontrolle etablieren, ohne die Produktivitätsgewinne zu zerstören, die KI überhaupt attraktiv machen.

Ausmaß der unsichtbaren KI-Nutzung

Schatten-KI unterscheidet sich in Umfang und Zugänglichkeit von früheren Schatten-IT-Herausforderungen. Ein Mitarbeitender kann während der Mittagspause nicht einfach einen Schatten-Server oder ein Beschaffungssystem auf seinem Handy aufsetzen. Was sie jedoch definitiv tun können: Vertrauliche Kundendaten in ChatGPT oder Claude eingeben, um E-Mails zu formulieren, Leistungsbeurteilungen zu schreiben oder Tabellen zu analysieren.

Im März 2024 waren 27,4 % der von Mitarbeitenden in KI-Tools eingegebenen Unternehmensdaten als sensibel eingestuft, gegenüber 10,7 % ein Jahr zuvor. Es geht nicht nur um das Volumen, sondern auch um die Geschwindigkeit. 

Die verteilte Natur der KI-Adaption macht traditionelle Überwachungsmethoden unzureichend. Anders als Softwareinstallationen, die Adminrechte benötigen, oder SaaS-Tools, die Beschaffungsunterlagen hinterlassen, hinterlässt die KI-Nutzung mit privaten Accounts kaum technische Spuren.

Laut dem IBM-Bericht „Cost of a Data Breach 2025“ führten Sicherheitsverletzungen bei Organisationen mit hoher Schatten-KI-Nutzung zu mehr kompromittierten personenbezogenen Daten (65 %) und mehr offengelegtem geistigem Eigentum (40 %) als bei Unternehmen mit geringer Schatten-KI-Quote. Zudem erhöhten diese Vorfälle die durchschnittlichen Kosten pro Datenpanne um 670.000 $. 

Wenn Mitarbeitende HR-Daten, Finanzinformationen oder Kundendaten über Verbraucher-KI-Tools verarbeiten, verlieren Unternehmen die Kontrolle darüber. Sie können die Einhaltung von Datenschutzregeln nicht nachweisen, nicht prüfen, welche Informationen die Organisation verlassen haben, und nicht garantieren, dass Daten gesetzeskonform gelöscht werden.

Die Risikokonzentration ist besonders in kleinen Unternehmen hoch. Firmen mit 11 bis 50 Mitarbeitenden wiesen die dichteste Schatten-KI-Nutzung auf: Im Durchschnitt kamen 269 nicht genehmigte KI-Tools auf 1.000 Mitarbeitende.

Sogar mittelgroße Organisationen mit 500 bis 1.000 Beschäftigten hatten etwa 200 Schatten-KI-Tools pro 1.000 Nutzende. Dies sind keine kurzlebigen Experimente — einige Schatten-KI-Anwendungen zeigen mittlere Nutzungszeiträume von über 400 Tagen durchgehender Verwendung, ohne formale Genehmigung oder Kontrolle.

Das ist aktuell eine der häufigsten Realitäten: KI-Adaption findet bereits statt — unabhängig davon, ob die Führungsebene darauf vorbereitet war oder nicht. Die schlechteste Reaktion ist, sie zu verbieten. Das fördert noch mehr Schattennutzung und untergräbt das Vertrauen.

Share This Quote on:

• Share on Twitter
• Share on LinkedIn
• Share on Facebook

Dave EvansOpens new window

CEO und Mitgründer von Fictiv

Geschwindigkeit versus Sicherheitsdenken

Aktuelle Studien zeigen eine unbequeme Wahrheit über die Haltung von Mitarbeitenden zur KI-Governance. 60 % der Angestellten geben an, dass die Nutzung nicht genehmigter KI-Tools das Sicherheitsrisiko wert ist, wenn sie ihnen zu schnellerer Arbeit oder Einhaltung von Deadlines verhilft. Weitere 21 % glauben, dass ihr Arbeitgeber die Nutzung nicht zugelassener KI-Tools „stillschweigend dulden“ würde, solange die Arbeit rechtzeitig erledigt wird.

Diese Risikobetrachtung variiert je nach Hierarchiestufe. Unter Präsidenten und C-Level-Führungskräften sind 69 % der Meinung, dass Geschwindigkeit wichtiger ist als Datenschutz oder Sicherheit. Bei Bereichsleitern und Senior Vice Presidents liegt die Quote bei 66 %. Dagegen teilen nur 37 % der Verwaltungsmitarbeitenden und 38 % der Nachwuchsführungskräfte diese Ansicht. 

Die Personen mit der größten Autorität, Governance-Richtlinien zu ändern, sind zugleich diejenigen, die sie am ehesten ignorieren.

Die von Mitarbeitenden geteilten Daten spiegeln diese Risikobereitschaft wider: Ein Drittel hat Forschungsergebnisse oder Datensätze über nicht genehmigte KI-Tools geteilt. Mehr als ein Viertel gab Beschäftigtendaten wie Namen, Gehälter oder Leistungsinformationen weiter, und 23 % teilten Finanzunterlagen oder Umsatzzahlen.

Warum Blockieren scheitert

Organisationen, die versuchen, Schatten-KI durch Einschränkungen zu bekämpfen, stoßen auf ein grundlegendes Problem. Mitarbeitende finden Wege, um blockierte Anwendungen dennoch zu nutzen. Das Blockieren beseitigt das Verhalten nicht – es verdrängt es lediglich weiter in den Untergrund und nimmt jede Transparenz.

Menschen in Ihrer Organisation nutzen es. Sie nutzen es die ganze Zeit. Sie müssen also vielleicht das einführen, was ich KI-Amnestie nenne, um zu sagen: Kommen Sie aus dem Dunkeln heraus und zeigen Sie uns, was Sie mit KI verwenden. Verwenden Sie die bevorzugten Tools, die abgesichert sind, die das Modell nicht trainieren, sichern Sie alles. Aber treten Sie aus dem Schatten heraus, keine Schatten-KI mehr. Sie haben Amnestie. Uns ist egal, dass Sie das in der Vergangenheit genutzt haben. Wir denken, es ist einfach egal. Aber bitte bringen Sie es ans Licht und wir finden gemeinsam heraus, wie wir das machen können.

Share This Quote on:

• Share on Twitter
• Share on LinkedIn
• Share on Facebook

Charlene LiOpens new window

Gründerin und CEO der Quantum Networks Group

Die Wissenslücke verstärkt diese Herausforderung zusätzlich. Während sich 40 % der Mitarbeitenden daran erinnern, eine KI-Schulung erhalten zu haben, nutzen dennoch 40 % täglich nicht genehmigte Tools. Noch paradoxer: Forschende entdeckten eine positive Korrelation zwischen dem subjektiven Wissen über KI-Sicherheitsanforderungen und der regelmäßigen Nutzung nicht zugelassener KI-Tools. 

Je mehr Mitarbeitende sich der KI-Risiken bewusst sind, desto größer ist ihr Vertrauen in ihre eigene Einschätzung dieser Risiken – sogar dann, wenn sie damit gegen Unternehmensrichtlinien verstoßen.

Das deutet darauf hin, dass Sensibilisierungsschulungen zur Sicherheit als Schutzmaßnahme nicht ausreichen. Weniger als die Hälfte der Beschäftigten gibt an, die Richtlinien ihres Unternehmens zur KI-Nutzung zu kennen und zu verstehen. Bestehende Richtlinien greifen oft an den eigentlichen Gründen vorbei, warum Beschäftigte überhaupt Schatten-KI einsetzen.

Aufbau eines praxisnahen KI-Governance-Rahmens

Die Information Systems Audit and Control Association hat Leitlinien entwickelt, damit Organisationen den gesamten Lebenszyklus des KI-Managements adressieren können. Laut ISACA-Forschung verfügen nur 31 % der Unternehmen über formale und umfassende KI-Richtlinien, obwohl 83 % der IT- und Business-Fachleute glauben, dass Mitarbeitende in ihrer Organisation KI nutzen.

„Die besten Frameworks beginnen mit dem Eingeständnis", sagt Evans. „Erstens, ein Inventar, wo KI bereits genutzt wird und warum. Zweitens, klare Leitplanken definieren – welche Daten sind erlaubt, welche Tools genehmigt und wo ist menschliche Kontrolle notwendig. Drittens: Zuständigkeiten zuweisen – wer ist verantwortlich, wenn KI Entscheidungen beeinflusst. Governance soll Geschwindigkeit sicher ermöglichen, nicht Teams ausbremsen. Richtig umgesetzt, wird aus informellem Experimentieren wiederholbare, verantwortungsvolle Ausführung.“

Die ISACA empfiehlt, das COBIT-Framework – traditionell für die IT-Governance genutzt – an die spezifischen Herausforderungen von KI anzupassen. Dieser Ansatz funktioniert, weil die meisten Organisationen bereits COBIT-basierte Governance-Strukturen implementiert haben, sodass die KI-Governance eine Erweiterung, aber kein kompletter Neubau ist.

Schauen wir uns die einzelnen Schritte im Detail an:

Strategische Ausrichtung

Sichert, dass KI-Initiativen direkt mit Geschäfts­zielen verknüpft sind und nicht als isolierte Technologieprojekte existieren. Die entscheidende Frage ist nicht „Was kann KI?“, sondern „Welche geschäftlichen Probleme müssen gelöst werden, und kann KI hierbei helfen?“

Inventarisierung und Risikoklassifizierung 

Erfassen Sie die eingesetzten KI-Tools – genehmigt und nicht genehmigt – und klassifizieren Sie diese nach Risikoniveau. Ein Kundenservice-Chatbot, der Routineanfragen bearbeitet, stellt ein anderes Risiko dar als ein KI-Tool, das Mitarbeiterleistungsdaten oder Finanzprognosen analysiert. Diese Klassifizierung bestimmt das jeweilige Governance-Level für verschiedene Tools und Anwendungsfälle.

Das Einbetten des KI-Risikomanagements in bestehende Organisationsprozesse.

Die Integration in Softwareentwicklung, Projektmanagement und Change-Management sorgt dafür, dass Risiken frühzeitig und regelmäßig bewertet werden. Aus Sicht von Datenschutz und Daten-Governance ermöglicht ein konsequentes Tracking von Assets, Daten und Modellen einen ganzheitlichen Überblick über die KI-Nutzung. Drittanbieter-Risikomanagement muss dokumentieren, welche Anbieter KI einsetzen und wie diese gesichert sind.

Festlegung von Daten-Grenzen 

Organisationen benötigen explizite Regelungen, welche Informationen über KI-Systeme verarbeitet werden dürfen und welche nicht. Solche Grenzen funktionieren meist in einem Stufenmodell: Öffentliche Informationen können mit jedem KI-Tool verwendet werden, interne Informationen erfordern Enterprise-Lösungen mit Datenschutzvereinbarungen, und vertrauliche Daten sind auf streng überwachte, spezielle KI-Umgebungen beschränkt.

Das Rahmenwerk betont, dass KI-Governance umfassend sein muss und den gesamten Lebenszyklus von KI von Anfang bis Ende überwachen soll. Dazu gehört das Erfassen relevanter Metadaten in jeder Phase, sodass der Governance-Rahmen alle Aspekte der Modellentwicklung, -bereitstellung und -überwachung abdeckt. 

KI-Governance sollte vollständige Transparenz über alle KI-Modelle innerhalb des Unternehmensökosystems bieten, Transparenz fördern und es den Stakeholdern ermöglichen nachzuvollziehen, wie Modelle erstellt, verwendet und verwaltet werden.

Praktische Schritte zum Einstieg

Organisationen müssen nicht über Nacht ein vollständiges Governance-Rahmenwerk implementieren. Der Ansatz der ISACA empfiehlt eine schrittweise Umsetzung:

Phase 1: Sichtbarkeit schaffen (Wochen 1-4)

• Führen Sie eine Überprüfung der KI-Tools in allen Abteilungen durch
• Erstellen Sie ein KI-Register, in dem Mitarbeitende dokumentieren, welche Tools sie für welche Zwecke nutzen
• Klassifizieren Sie Tools nach Risikostufen (niedrig, mittel, hoch, kritisch)
• Identifizieren Sie die Datentypen, die durch jedes Tool verarbeitet werden

Phase 2: Richtlinien und Grenzen definieren (Wochen 5-8)

• Entwicklung klarer Datenklassifizierungsstandards (öffentlich, intern, vertraulich, eingeschränkt)
• Erstellen Sie gestufte Nutzungsrichtlinien, die das Risiko der Tools mit der Sensibilität der Daten abgleichen
• Einführung von Genehmigungsprozessen für neue Anfragen zu KI-Tools
• Definition von Rollen und Verantwortlichkeiten (wer was genehmigt, wer die Compliance überwacht)

Phase 3: Maßnahmen umsetzen (Wochen 9-16)

• Technische Kontrollmechanismen einführen (Data Loss Prevention, Zugriffsmanagement)
• Zugelassene Alternativen zu oft genutzten Schatten-KI-Tools bereitstellen
• Schulungen für Mitarbeitende zu genehmigten Tools und Richtlinien zum Datenumgang einführen
• Überwachungssysteme für anomale Nutzungsmuster von KI etablieren

Phase 4: Kontinuierliche Verbesserung (laufend)

• Regelmäßige Audits (vierteljährlich empfohlen) für nicht genehmigte KI-Nutzung durchführen
• Richtlinien überprüfen und anpassen, während sich KI-Fähigkeiten weiterentwickeln
• Compliance-Quoten und die Wirksamkeit der Governance messen
• Feedback der Mitarbeitenden zu Lücken bei Tools und Reibung durch Richtlinien einholen

Der Schlüssel liegt darin, KI-Governance wie ein Produkt mit klarer Verantwortung zu behandeln und nicht nur als Richtliniendokument. So wie Unternehmen Chief Security Officers mit Teams für Sicherheit einsetzen, braucht effektive KI-Governance eine:n Verantwortliche:n – sei es ein:e Chief AI Officer, Chief Data Officer oder ein eigenes KI-Governance-Team, das für die Pflege des Frameworks als lebendiges System zuständig ist.

KI-Sandboxes für sicheres Experimentieren

Die vielleicht wichtigste Entwicklung in der Governance von Schatten-KI ist das Konzept der "KI-Sandboxes" – kontrollierte Umgebungen, in denen Mitarbeitende mit KI-Funktionen experimentieren können, ohne sensible Daten zu gefährden. 

Sandboxes erkennen eine grundlegende Wahrheit an: Mitarbeitende nutzen Schatten-KI, weil sie ihnen hilft, besser zu arbeiten. Ein reines Blockieren ohne Alternativen beseitigt den Bedarf nicht.

Harvard University war Vorreiter bei diesem Ansatz, als Lehrende und Forschende einen sicheren Zugang zu großen Sprachmodellen brauchten, ohne Datenlecks an externe Anbieter zu riskieren. Die Universität startete eine geschützte KI-Sandbox, die GPT-3.5, GPT-4, Claude 2 und PaLM 2 Bison unterstützt. 

Mehr als 50 Pilotnutzende nutzten die Sandbox, um KI für Lehre und Forschung zu testen und dabei vertrauliche Daten zu schützen. Die kontrollierten Tests flossen auch in Harvards Beschaffungsentscheidungen für zukünftige KI-Integrationen ein.

Die Regierung von Massachusetts baute ähnliche isolierte Sandboxes mithilfe der AWS-Infrastruktur für KI-Tools wie Chatbots und Beschaffungssysteme. Diese Systeme ermöglichten sicheres, risikoreduziertes Experimentieren, beschleunigten Dienstleistungen und beeinflussten breitere Strategien zur KI-Einführung. Städte wie New Jersey und Washington D.C. setzten vergleichbare Ansätze mit Azure um.

Im Finanzsektor arbeitete die britische Finanzaufsichtsbehörde (UK Financial Conduct Authority) mit NVIDIA zusammen, um eine sogenannte "Supercharged Sandbox" zu entwickeln. Sie gab Unternehmen Zugang zu KI-Modellen, Datensätzen und regulatorischer Unterstützung. Die Sandbox ermöglichte Innovationen bei Betrugserkennung, Risikomanagement und Automatisierung – und das unter Einhaltung von Compliance und Überwachung.

Das Sandbox-Konzept schafft spezielle Bereiche, in denen Teams KI-Tools für bestimmte Anwendungsfälle mit bereinigten Daten testen können. Ein Finanzteam kann KI-gestützte Prognosemodelle mit historischen Daten testen, bei denen Kundenkennungen entfernt wurden. Ein HR-Team kann Tools zur Lebenslaufüberprüfung mit synthetischen Kandidatenprofilen erproben. Das Marketing kann Kampagnenkonzepte prototypisch entwickeln, ohne nicht veröffentlichte Produktinformationen zu teilen.

Diese Umgebungen erfüllen eine doppelte Funktion. Sie befriedigen den Wunsch der Mitarbeitenden nach KI-Fähigkeiten und bieten gleichzeitig IT- und Compliance-Teams kontrollierte Testumgebungen, um neue Tools vor der unternehmensweiten Einführung zu evaluieren. 

Wenn ein Team in der Sandbox einen wertvollen KI-Anwendungsfall identifiziert, kann die Organisation das Tool ordnungsgemäß prüfen und geeignete Datenschutzvereinbarungen aushandeln, bevor es breiter ausgerollt wird.

Die Rolle des CHRO in der KI-Governance

Obwohl CIOs in der Regel die Initiativen zur KI-Governance anführen, spielen CHROs eine ebenso entscheidende Rolle, die oft unterschätzt wird. Schatten-KI ist nicht nur ein Technologieproblem, sondern auch ein Menschenproblem, das darin wurzelt, wie Mitarbeitende arbeiten, welchem Produktivitätsdruck sie ausgesetzt sind und ob sie glauben, dass offizielle Tools ihre Bedürfnisse erfüllen.

CHROs müssen sich mit den kulturellen Dynamiken auseinandersetzen, die die Einführung von Schatten-KI vorantreiben. Glauben Mitarbeitende, dass die Beantragung neuer KI-Tools einen sechsmonatigen Beschaffungsprozess auslöst, suchen sie nach Auswegen. Werden IT-Richtlinien eher als Produktivitätshemmnis denn als legitimes Risikomanagement wahrgenommen, passiert dasselbe.

Daher müssen CHROs für Governance-Rahmen eintreten, die Sicherheit und Nutzerfreundlichkeit ausbalancieren. Ein System, das fünfzehn Zustimmungsschritte verlangt, um ein KI-Schreibtool zu nutzen, wird scheitern – egal wie sicher es theoretisch ist. Mitarbeitende werden einfach ChatGPT verwenden und es nicht erwähnen. Effektive Governance sorgt dafür, dass der richtige Weg auch der einfachste ist.

CHROs sind zudem verantwortlich für das Change Management, das notwendig ist, damit Mitarbeitende ihr Verhalten von Schatten-KI hin zu genehmigten Alternativen ändern. Dies beinhaltet Kommunikation darüber, warum Governance wichtig ist, Schulungen zu zugelassenen Tools und die Schaffung klarer Wege, neue Funktionen zu beantragen, wenn aktuelle Tools nicht ausreichen.

Auch der Aspekt Performance Management darf nicht vernachlässigt werden. Organisationen müssen entscheiden, wie sie mit Mitarbeitenden umgehen, die KI-Richtlinien verletzen. Immer mehr Mitarbeitende vertrauen KI-Tools mehr als ihren Vorgesetzten oder Kollegen – ein Vertrauenswechsel von menschlichen Beziehungen zur Technologie. Diese Dynamik erschwert die Durchsetzung: Ist man zu streng, verschleiern Mitarbeitende ihre KI-Nutzung; ist man zu nachsichtig, werden Regeln bedeutungslos.

Überwachungssysteme, die funktionieren

Effektives KI-Monitoring erfordert eine Balance zwischen Sicherheitsanforderungen, Datenschutz und Vertrauen der Mitarbeitenden. Die wirksamsten Ansätze fokussieren sich auf die Datenbewegung und nicht auf individuelles Verhalten. Systeme überwachen, ob große Mengen potenziell sensibler Infos in Zwischenablagen kopiert oder auf externe Seiten hochgeladen werden – Muster, die auf Datenlecks hinweisen und nicht auf Routinearbeit.

Kontext ist beim Monitoring entscheidend. Kopiert ein Entwickler Code in ein KI-Tool, sucht er vielleicht Fehlerhilfe oder teilt unternehmensinterne Algorithmen. Das Überwachungssystem muss den Unterschied erkennen, oft durch Datenklassifizierungssysteme, die sensible Code-Repositorien anders markieren als Open-Source-Projekte.

Manche Organisationen setzen "Just-in-Time"-Bildungssysteme ein, die bei riskantem Verhalten eingreifen. Versucht ein Mitarbeitender, scheinbar Kundendaten in ein externes KI-Tool einzufügen, gibt das System eine Warnung mit Erläuterungen zu Datenschutz und verweist auf genehmigte Alternativen. Das bildet, ohne zu bestrafen, und bietet einen Ausweg, bevor Richtlinien verletzt werden.

Die Beschaffungsfrage

Ein wesentlicher Treiber für Schatten-KI ist der Aufwand in der Beschaffung. Mitarbeitende können in Minuten ein Konto bei ChatGPT oder Claude einrichten und loslegen. Bis IT ein KI-Tool genehmigt, kauft und bereitstellt, vergehen Monate. Diese Diskrepanz sorgt zwangsläufig für Schatten-KI.

Vorausschauende Unternehmen schaffen Schnellverfahren für KI-Tools, die bestimmte Kriterien erfüllen. Benötigt ein Tool keinen Zugriff auf sensible Daten, greift nicht auf Kernsysteme zu und wird nur von wenigen genutzt, kann die Genehmigung in Tagen statt Monaten erfolgen. So vermindert sich der Anreiz für Schattennutzung und gleichzeitig bleibt die notwendige Kontrolle für risikoreichere Anwendungen bestehen.

Einige Organisationen setzen auf "KI-Tool-Bibliotheken" – vorab genehmigte Kataloge mit KI-Services, auf die Mitarbeitende sofort im Rahmen von Unternehmensverträgen zugreifen können. Statt für jedes neue KI-Tool einen Vertrag zu verhandeln, schließt die IT Rahmenvereinbarungen mit den wichtigsten Anbietern. Mitarbeitende können den Zugang dann bei Bedarf aktivieren. Diese Lösung verbindet die Geschwindigkeit von Schatten-KI mit der Steuerung durch offizielle Tools.

Wo Governance an ihre Grenzen stößt

Aktuelle KI-Governance-Rahmenwerke tun sich mit mehreren neuen Herausforderungen schwer. Die erste ist die zunehmende Leistungsfähigkeit von KI-Tools, die in andere Software integriert sind. Microsoft Copilot ist direkt in Office 365 eingebettet, die KI-Funktionen von Adobe befinden sich in der Creative Cloud und Salesforce Einstein arbeitet innerhalb der CRM-Workflows. Diese "unsichtbaren" KI-Funktionen erscheinen nicht als eigenständige Tools, die Governance erfordern, verarbeiten aber erhebliche Mengen an Geschäftsdaten.

Die zweite Herausforderung betrifft persönliche Geräte. Viele Unternehmen verfolgen Bring-your-own-device-Richtlinien, die es Mitarbeitenden erlauben, von ihren eigenen Smartphones und Laptops auf Arbeits-E-Mails und Dokumente zuzugreifen. Wenn diese Geräte über KI-Assistenten – Siri, Google Assistant oder Drittanbieter-Tools – verfügen, die auf Firmendaten zugreifen können, wird eine klassische, netzwerkbasierte Überwachung wirkungslos.

Die dritte Herausforderung besteht darin, zwischen KI-Nutzung und KI-Abhängigkeit zu unterscheiden. Governance-Rahmenwerke können kontrollieren, auf welche Tools Mitarbeitende zugreifen, tun sich aber schwer, zu bewerten, ob Mitarbeitende angemessene Fähigkeiten zum kritischen Denken entwickeln oder sich zu sehr auf KI-Ergebnisse verlassen. Ein Mitarbeitender, der für jede E-Mail den KI-Entwurf nutzt, verletzt möglicherweise keine Richtlinie, entwickelt aber seine Schreibfähigkeiten nur noch in einem Bruchteil des Tempos wie vor der KI.

So sieht Erfolg aus

Organisationen, die KI-Nutzung erfolgreich steuern, ohne die Produktivität zu beeinträchtigen, haben mehrere gemeinsame Merkmale. 

• Sie legen klare, einfache Richtlinien fest, die Mitarbeitende ohne juristische Auslegung verstehen und befolgen können. 
• Sie bieten genehmigte Alternativen an, die den Bedürfnissen der Mitarbeitenden tatsächlich gerecht werden, statt minderwertiger Ersatzlösungen, die die Leute zurück zu Schatten-Tools treiben. 
• Sie schaffen Feedback-Mechanismen, durch die Mitarbeitende Lücken in den freigegebenen Werkzeugen melden oder neue Funktionen anfragen können.
• Sie verstehen Governance als fortlaufenden Dialog und nicht als starres Regelwerk. 

Regelmäßige Kommunikation darüber, warum Richtlinien bestehen, welche Risiken sie minimieren und wie sie sich weiterentwickeln, stärkt die Akzeptanz unter Mitarbeitenden. Wenn Mitarbeitende verstehen, dass Governance sie vor Haftung, Datenpannen (die auch ihre eigenen Informationen gefährden könnten) und regulatorischen Verstößen schützt, wird Compliance zur Kultur statt zur Pflicht.

Organisationen, die mit Schatten-KI zu kämpfen haben, zeigen oft gegenteilige Eigenschaften: 

• Komplizierte Richtlinien, die juristische Auslegung erfordern
• Genehmigte Werkzeuge, die in Leistungsfähigkeit und Bedienkomfort hinter Konsumentenlösungen zurückbleiben
• Einseitige Kommunikation, bei der die IT Richtlinien vorgibt, ohne Begründungen zu liefern oder Rückmeldung zu erfragen.

Der Weg nach vorn

Schatten-KI wird nicht verschwinden. KI-Werkzeuge für Verbraucher werden in Fähigkeit und Zugänglichkeit weiter verbessert – und bleiben damit dauerhaft attraktiv für Mitarbeitende, die nach Produktivitätssteigerungen suchen. Die Herausforderung der Governance besteht nicht darin, Schatten-KI zu eliminieren, sondern die KI-Nutzung in gelenkte, verwaltete Systeme zu steuern, die sowohl die Interessen der Organisation als auch die Produktivität der Mitarbeitenden schützen.

Dies benötigt eine Partnerschaft zwischen CIO, CHRO und Unternehmensleitung, um Rahmenwerke zu schaffen, die in der Praxis funktionieren und nicht nur auf dem Papier. Es erfordert Investitionen in genehmigte Tools, die tatsächlich mit Konsumentenalternativen konkurrieren können, anstatt als bürokratische Ersatzlösungen zu dienen. Es erfordert Vertrauen, dass Mitarbeitende mit klaren Vorgaben sinnvolle Entscheidungen treffen, und dass die Führungsebene die Ressourcen bereitstellt, um effektiv innerhalb der Governance-Grenzen zu arbeiten.

Die Alternative ist eine wachsende Kluft zwischen offiziellen Vorgaben und realer Praxis, bei der die Nutzung von Schatten-KI in Bereichen weiter zunimmt, die Unternehmen weder sehen noch steuern können. Im Jahr 2025 zeigten Daten, dass etwa ein Drittel der unternehmensweiten generativen KI-Projekte aufgrund schlechter Datenqualität, unzureichender Risikokontrollen, steigender Kosten oder unklarem geschäftlichen Nutzen ins Stocken geraten sollte. Studien legen nahe, dass insgesamt über 80 % der KI-Projekte scheitern.