Wenn ein Mitarbeiter einen KI-Schreibassistenten installiert, einen Coding Copilot an seine IDE anschließt oder Besprechungen mit einem neuen Browser-Tool zusammenfasst, tut er genau das, was ein produktiver Mitarbeiter tun sollte: Er findet schnellere Wege zu arbeiten. In den meisten Organisationen heute nutzen Mitarbeiter täglich drei bis fünf KI-Tools. Die meisten wurden nie von der IT überprüft. Ein erheblicher Teil verbindet sich über OAuth-Tokens oder Browsersitzungen mit Unternehmensdaten und erhält so Zugriff auf freigegebene Laufwerke, E-Mails und interne Dokumente, die der Mitarbeiter nie explizit preisgeben wollte. Sicherheitsteams haben oft keine Einsicht in all das. Das ist die Schatten-KI-Lücke, und sie wird schnell größer. Die meisten Sicherheitstools wurden entwickelt, um E-Mail- und Netzwerkverkehr zu überwachen, der durch das Unternehmensnetzwerk fließt. Ein browserbasiertes KI-Tool, das sich über eine schnelle Login-Genehmigung mit Unternehmensdaten verbindet, umgeht diese Kontrollen vollständig, da es niemals das Unternehmensnetzwerk durchläuft. Laut Forschung von **Adaptive Security** nutzen derzeit 80 % der Mitarbeiter nicht genehmigte generative KI-Anwendungen bei der Arbeit, und nur 12 % der Unternehmen haben eine formelle KI-Governance-Richtlinie. Das Ergebnis ist eine wachsende Diskrepanz zwischen der Arbeitsweise der Mitarbeiter und dem, was Sicherheitsteams sehen können. Ein Programm, das die KI-Adoption in einen sicheren, sichtbaren und genehmigten Pfad lenkt, gibt Sicherheitsteams die benötigte Transparenz und den Mitarbeitern die gewünschten Werkzeuge. Die folgenden fünf Schritte zeigen genau, wie man ein solches Programm aufbaut. ## Schritt 1: Ein vollständiges Bild dessen erstellen, was läuft Ein Sicherheitsprogramm kann nur verwalten, was es sehen kann. Der erste Schritt ist die Ermittlung, welche KI-Tools in der gesamten Organisation verwendet werden, und die meisten Sicherheitsteams werden die Antwort überraschend finden. Drei Bereiche machen den Großteil der Schatten-KI-Aktivitäten aus. * **OAuth-Verbindungen.** Die meisten KI-Tools fordern über OAuth Zugriff auf **Google Workspace** oder **Microsoft 365** an, was ihnen Lese- oder Schreibberechtigungen für Unternehmensdaten gewährt. Eine vierteljährliche Überprüfung verbundener Drittanbieter-Apps, sortiert nach Berechtigungsumfang, deckt in der Regel Dutzende von Tools auf, die das Sicherheitsteam nie überprüft hat. * **Browser-Erweiterungen.** Viele KI-Tools laufen als Browser-Erweiterungen und berühren nie das Betriebssystem, sodass traditionelle Endpoint-Management-Tools sie vollständig übersehen. Eine Browser-Management-Lösung oder ein leichtgewichtiger Agent, der auf den Geräten der Mitarbeiter installiert ist, kann scannen und identifizieren, welche Erweiterungen in der gesamten Organisation aktiv sind. * **KI-Funktionen, die in bereits genehmigte Tools integriert sind.** **Microsoft Copilot**, **Google Gemini** und **Salesforce Einstein** sind Beispiele für KI-Funktionen, die möglicherweise nach der ursprünglichen Anbieterprüfung eingeführt wurden, oft ohne eine separate Sicherheitsbewertung. Eine einfache Mitarbeiterumfrage ist ebenfalls lohnenswert. Eine Umfrage, die darauf abzielt, Mitarbeitern zu helfen, sicherer zu arbeiten, tendiert dazu, ehrliche Antworten zu erhalten. Viele Schatten-Tools werden durch Umfragen aufgedeckt, die automatisierte Erkennung vollständig übersieht. Das Ziel dieses Schritts ist ein aktuelles, genaues Inventar: jedes verwendete KI-Tool, wer es verwendet und auf welche Daten es Zugriff hat. ## Schritt 2: Eine Richtlinie schreiben, die mit den Mitarbeitern funktioniert Die meisten Richtlinien zur akzeptablen Nutzung von KI scheitern aus demselben Grund: Sie geben den Mitarbeitern eine Liste verbotener Tools, ohne Anleitungen zu geben, wie der genehmigte Weg aussieht. Eine Richtlinie, die als praktischer Leitfaden konzipiert ist und genehmigte Tools identifiziert sowie einen klaren Prozess für die Anforderung neuer Tools bereitstellt, ist die Grundlage, die Mitarbeiter benötigen, um gute Entscheidungen zu treffen. Eine effektive KI-Governance-Richtlinie deckt fünf Punkte ab. * Eine aktuelle Liste genehmigter Tools und wo sie zu finden sind. * Klare Regeln zur Datenklassifizierung, die festlegen, welche Datenkategorien, einschließlich Kundendaten, Quellcode und Finanzinformationen, niemals in ein KI-Tool eingegeben werden dürfen. * Ein verifizierter Status für das Opt-out von Daten für das Training für jedes genehmigte Tool. Viele KI-Tools verwenden standardmäßig Unternehmensdaten zur Verbesserung ihrer Modelle, es sei denn, die Enterprise-Einstellungen sind explizit anders konfiguriert. Die Genehmigung sollte eine bestätigte Opt-out-Möglichkeit für jedes Tool erfordern, das sensible Daten verarbeitet. * Ein definierter Prozess für die Anforderung neuer Tools mit einer Zielbearbeitungszeit. * Eine Erklärung in einfacher Sprache, warum die Richtlinien existieren. Das letzte Element ist wichtiger, als es scheint. Mitarbeiter, die verstehen, warum OAuth-Verbindungen ein Risiko für die Datenexposition darstellen, wenden diese Logik auf jede Tool-Entscheidung an, die sie treffen. Die Richtlinie wird zu einer Form der Bildung, wenn die Begründung enthalten ist. ## Schritt 3: Eine Schnellspur für neue Tool-Anfragen erstellen Schatten-KI wächst am schnellsten in Organisationen, in denen der offizielle Genehmigungsprozess nicht mit der Rate der KI-Produktveröffentlichungen mithalten kann. Ein Mitarbeiter, der heute ein Tool benötigt und eine sechs Wochen dauernde Sicherheitsprüfung vor sich hat, wird innerhalb weniger Tage eine Umgehungslösung finden. Das Ziel dieses Schritts ist es, diese Reibung zu beseitigen. * Die meisten Anfragen für KI-Tools rechtfertigen keine vollständige Beschaffungsprüfung. Ein strukturiertes Intake-Formular mit definierten Bewertungskriterien reicht für die Mehrheit der Tools mit geringerem Risiko aus. * Ein strukturiertes Intake-Formular und ein definierter Satz von Bewertungskriterien ermöglichen schnellere Entscheidungen. Für Tools mit begrenztem Datenzugriff stellen viele Organisationen fest, dass eine kürzere Bearbeitungszeit möglich ist, sobald die Bewertungskriterien dokumentiert und konsistent angewendet werden. * Die Bewertungskriterien sollten den Umfang des Datenzugriffs, die Sicherheitspraktiken des Anbieters, den Status des Opt-outs für das Datentraining, Compliance-Zertifizierungen und ob das Tool bereits ein funktionales Äquivalent auf der genehmigten Liste hat, abdecken. Sicherheitsteams, die ihre genehmigte Tool-Liste offen veröffentlichen und aktuell halten, sehen in der Regel eine deutliche Reduzierung der Schatten-KI-Nutzung. Wenn Mitarbeiter wissen, wo sie die richtigen Tools finden, nutzen sie diese. ## Schritt 4: Überwachung als gemeinsame Sicherheitsebene nutzen Kontinuierliche Transparenz über die Nutzung von KI-Tools in einer Organisation dient gleichzeitig zwei Gruppen. * Sicherheitsteams erhalten das Echtzeitbild, das sie benötigen, um Risiken zu identifizieren und zu beheben, bevor sie zu einem Vorfall werden. * Mitarbeiter erhalten eine Form des Schutzes, die sie oft nicht allein haben: ein Signal, wenn ein von ihnen verwendetes Tool ihre Anmeldedaten oder Unternehmensdaten gefährden könnte. Ein browsernativer Überwachungsansatz bietet Sicherheitsteams Transparenz über KI-Aktivitäten, ohne den Webverkehr der Mitarbeiter umzuleiten oder die tägliche Arbeit zu erschweren. Die erfassten Signale fließen in das übergreifende Risikoprofil jedes Mitarbeiters ein und werden zusammen mit den Ergebnissen von Phishing-Simulationen und Schulungsdaten an einem Ort angezeigt. Diese kombinierte Ansicht ist wichtig, da riskante Verhaltensweisen sich verstärken. Ein Mitarbeiter, der auf Phishing-Links klickt, Schulungen überspringt und nicht genehmigte KI-Tools mit Zugriff auf sensible Daten verwendet, stellt ein weitaus höheres Risiko dar, als jedes einzelne Verhalten anzeigen würde. Das Gesamtbild an einem Ort hilft Sicherheitsteams, sich auf die Mitarbeiter zu konzentrieren, die die meiste Aufmerksamkeit benötigen. ## Schritt 5: Gutes Sicherheitsverhalten einfach machen Sicherheitsprogramme, die die sichere Wahl zur einfachsten Wahl machen, werden von den Mitarbeitern befolgt. Im Kontext der KI-Governance treiben zwei Dinge dies voran: Just-in-Time-Coaching und Schulungen, die die Begründung hinter den Regeln erklären. Just-in-Time-Coaching liefert eine kurze, kontextbezogene Aufforderung in dem Moment, in dem ein Mitarbeiter versucht, ein nicht genehmigtes Tool zu verwenden. Dies ist effektiver als vierteljährliche Schulungsmodule, da die Intervention zum Zeitpunkt der Entscheidung erfolgt. Eine gut gestaltete Aufforderung teilt dem Mitarbeiter das Problem mit, leitet ihn zu einer genehmigten Alternative und dauert weniger als dreißig Sekunden zum Lesen. Schulungen, die die Begründung hinter KI-Governance-Richtlinien erklären, bauen das Urteilsvermögen auf, das Mitarbeiter in jeder Situation anwenden können, einschließlich Tools und Bedrohungen, die lange nach der Schulung selbst auftauchen. Die Landschaft der KI-Tools verändert sich schnell genug, dass kein Schulungsprogramm jeden spezifischen Fall vorhersehen kann. Ein Mitarbeiter, der versteht, dass OAuth-Verbindungen zu **Google Workspace** des Unternehmens den gesamten freigegebenen Laufwerk einem Drittanbieter offenlegen können, wird dieses Verständnis auf Tools anwenden, die vor sechs Monaten noch nicht existierten. ## Aufbau eines Sicherheitsprogramms basierend auf der Arbeitsweise von Teams KI-Adoption ist ein Zeichen dafür, dass produktive Teams ihre Arbeit gut machen. Unternehmen, die praktische Programme rund um diese Dynamik aufbauen, mit klaren Wegen zu genehmigten Tools und Echtzeit-Transparenz für Sicherheitsteams, handhaben dies in der Regel am besten. Sicherheitsteams, die diese Lücke schließen, stellen fest, dass die Nutzung von Schatten-KI im Laufe der Zeit organisch zurückgeht. Browsernative Transparenz, klare Wege zu genehmigten Tools und Just-in-Time-Coaching im Moment des Risikos ermöglichen dies. Wenn Mitarbeiter Zugang zu effektiven, genehmigten Tools und einem schnellen, transparenten Weg zur Überprüfung neuer Tools haben, verschwindet der Anreiz, das System zu umgehen, weitgehend. Das KI-Governance-Produkt von **Adaptive Security** bietet Sicherheitsteams Echtzeit-Transparenz über jedes KI-Tool und jede Schatten-App, die in ihrer Organisation läuft, mit integrierten automatisierten Richtlinien und Just-in-Time-Mitarbeiter-Coaching.