Auf den Punkt: Mitarbeitende nutzen KI-Tools ohne IT-Freigabe, was GRC-Systeme nicht erfassen und wodurch neue Sicherheits- und Datenschutzrisiken entstehen.
Der Sicherheitsanbieter Optro warnt in seinem Report „Human Behavior: The AI Risk Surface GRC Can't Ignore" vor wachsenden Sicherheitsgefahren durch unkontrollierte KI-Nutzung in Unternehmen. Shadow-AI-Systeme entziehen sich etablierten Governance-, Risk- und Compliance-Prozessen.
Shadow AI bezeichnet den Einsatz von generativen KI-Systemen und KI-basierten Anwendungen durch Mitarbeitende, die weder durch IT-Governance noch durch Sicherheitsrichtlinien des Unternehmens genehmigt oder überwacht werden. Optro diagnostiziert in seinem aktuellen Report eine blinde Stelle in der Risikolandschaft etablierter Unternehmen: Während GRC-Tools (Governance, Risk, Compliance) traditionelle IT-Systeme, Cloud-Dienste und Zugriffe abbilden, erfassen sie diese unkontrollierte KI-Nutzung nicht.
Das Risikopotential liegt dabei auf mehreren Ebenen. Nutzer laden unternehmensrelevante Daten – Kundeninformationen, interne Prozesse, finanzielle Kennzahlen – in öffentliche KI-Plattformen hoch, um schneller an Analysen oder Textgenerierung zu gelangen. Dies führt zu potenziellen Datenlecks, unbewusster Offenlegung von Geschäftsgeheimnissen und Verstößen gegen Datenschutzregeln wie die DSGVO. Gleichzeitig entstehen Compliance-Risiken, wenn KI-Modelle Entscheidungen treffen oder Empfehlungen in regulierten Branchen generieren (etwa Finanzsektor, Gesundheit), ohne dass deren Funktionsweise dokumentiert oder verifiziert ist.
Für CISOs und Security-Teams stellt sich die Herausforderung, diese Schatten-Aktivitäten überhaupt erst sichtbar zu machen. Optro empfiehlt ein mehrschichtiges Ansatz: Netzwerk-Monitoring zur Erkennung von KI-API-Aufrufen, Schulungsprogramme zur Sensibilisierung für Risiken bei der KI-Nutzung sowie klarere Richtlinien mit genehmigten und sicheren KI-Tools für häufige Use-Cases. Die Integration dieser Risikooberfläche in bestehende GRC-Prozesse wird als notwendig erachtet.
Quelle: itwelt.at · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.