Die meisten Entwicklungsorganisationen haben kein Problem mit der KI-Einführung. Sie haben ein Problem mit der KI-Sichtbarkeit.
Wenn sich die Führung zusammensetzt, um eine KI-Richtlinie zu entwerfen, arbeiten die Entwickler meist längst mit KI-Tools, seit Monaten: ein persönlicher Coding-Assistent, ein browserbasierter Chat zum Debuggen, ein Agent, der in einem Nebenprojekt hängt, ein Modell, das aus einem Skript aufgerufen wird, das nie jemand geprüft hat. Nichts davon ist freigegeben. Nichts davon ist verboten. Es ist einfach da, außerhalb des Organigramms.
Das ist Shadow AI. Und es ist der eigentliche Ausgangspunkt für Governance, ob es der Führung gefällt oder nicht.
Was Shadow AI wirklich bedeutet
Shadow AI ist der Einsatz von KI-Tools und Modellen in der täglichen Arbeit: ohne organisatorische Freigabe, ohne Sichtbarkeit, ohne Review.
Es ist die KI-Variante der Schatten-IT, und es entsteht aus demselben Grund: Menschen greifen zu dem, was ihnen die Arbeit erleichtert, schneller, als ein zentraler Prozess es je bewerten könnte. Der Unterschied ist, dass KI-Tools an Quellcode, Kundendaten und Entscheidungen rühren. Der blinde Fleck wiegt also schwerer als eine nicht freigegebene Filesharing-App.
Entscheidend ist der Perspektivwechsel: Shadow AI ist nicht das Versagen, sondern die Information. Es zeigt Ihnen, welche Workflows so mühsam waren, dass die Entwickler von sich aus nach Hilfe gegriffen haben.
Warum es zuerst in der Entwicklung auftaucht
Dass sich Shadow AI gerade in der Entwicklung ballt, ist kein Zufall.
Der Economic Index von Anthropic, veröffentlicht am 10. Februar 2025, zeigte, dass sich die KI-Nutzung auf Softwareentwicklung und technisches Schreiben konzentriert. Die Enterprise-Umfrage von GitHub vom 20. August 2024, aktualisiert am 15. April 2025, ergab, dass KI-Coding-Tools in Software-Teams großer Unternehmen längst breit im Einsatz sind, auch in Deutschland.
Anders gesagt: Wenn eine formale Richtlinie entsteht, sollten Sie davon ausgehen, dass die Entwickler KI bereits nutzen, und nicht, dass sie auf eine Erlaubnis warten. Ein Governance-Vorhaben, das mit der Frage sollten wir das erlauben beginnt, beantwortet meist eine Frage, die die Realität längst entschieden hat.
Nicht das Tool ist das Risiko, sondern die Unsichtbarkeit
Ein freigegebenes Tool mit klaren Regeln kann das kleinere Risiko sein als ein nicht freigegebenes, das sorgfältig genutzt wird, weil Sie es sehen, prüfen und verbessern können.
Das Gefährliche an Shadow AI ist, dass die Organisation grundlegende Fragen dazu nicht beantworten kann.
| Frage | Warum die Unsichtbarkeit sie gefährlich macht |
|---|---|
| Welche Daten gehen an welche Tools? | Secrets oder Kundendaten könnten kontrollierte Grenzen verlassen |
| Welche Workflows hängen an KI-Ausgaben? | Eine Modelländerung könnte unbemerkt Ergebnisse verschlechtern, die niemand überwacht |
| Welches Review greift bei KI-gestützten Änderungen? | Qualitäts- und Sicherheitsstandards zerfasern von Person zu Person |
| Wer haftet, wenn etwas schiefgeht? | Niemand, weil der Workflow nie offiziell anerkannt wurde |
Keines dieser Risiken setzt böse Absicht voraus. Sie sind schlicht das, was geschieht, wenn nützliches Verhalten der Sichtbarkeit vorauseilt.
Wie Sie Shadow AI finden, ohne eine Hexenjagd zu starten
Der Reflex zu prüfen ist richtig. Der Reflex zu bestrafen ist es nicht. Fühlt sich das Aufspüren wie Überwachung an, umgehen die Entwickler es, und das Sichtbarkeitsproblem wird nur größer.
Wir würden die Suche als Bestandsaufnahme der Realität anlegen, nicht als Ermittlungsverfahren:
- fragen Sie die Teams direkt und ohne Sanktionen, welche KI-Tools sie bereits nutzen und wofür
- werten Sie Ausgaben und Abonnements auf individuell beschaffte Tools aus
- prüfen Sie, welche Tools Zugriff auf Repositories, CI und interne Systeme haben
- beziehen Sie Auftragnehmer und Dienstleister ein. Sie geraten leicht in Vergessenheit, fallen aber ausdrücklich unter die Erwartungen an die KI-Kompetenz
Auf die Formulierung kommt es an. Helfen Sie uns zu verstehen, was bereits funktioniert bringt weit mehr ans Licht als gestehen Sie, was Sie getan haben.
Was zu tun ist, sobald Sie es sehen
Sobald Shadow AI sichtbar ist, haben Sie für jede einzelne Nutzung drei ehrliche Optionen, und das Ziel ist, eine Entscheidung zu treffen, statt sie zu ignorieren.
| Entscheidung | Wann sie passt |
|---|---|
| In den Geltungsbereich holen | Der Workflow ist wertvoll und lässt sich unterstützen, prüfen und standardisieren |
| Ersetzen | Ein sichererer oder besser unterstützter Tool-Pfad erledigt dieselbe Aufgabe |
| Einstellen | Das Risiko überwiegt den Nutzen, und die Nutzung sollte mit klar genannter Begründung enden |
Am häufigsten ist die erste die richtige Antwort. Der allergrößte Teil von Shadow AI existiert, weil er wirklich nützlich war. In den Geltungsbereich zu holen heißt, ihm das zu geben, was ein freigegebener Workflow hat: eine klare Grenze, einen bevorzugten Tool-Pfad, eine Review-Regel und eine benannte Verantwortung.
Das ist dasselbe Betriebsmodell, das wir auf jeden KI-Workflow anwenden. Bei Shadow AI existiert der Workflow nur schon und muss jetzt nachvollziehbar werden.
Der Fehler, mit einem Verbot zu beginnen
Die schädlichste Reaktion auf Shadow AI ist ein pauschales Verbot, ausgesprochen, bevor es überhaupt eine freigegebene Alternative gibt.
Ein Verbot ohne Weg beseitigt nicht das Verhalten. Es beseitigt nur die Sichtbarkeit des Verhaltens. Entwickler, die KI bislang offen genutzt haben, nutzen sie nun im Stillen, und die Organisation tauscht ein beherrschbares Risiko gegen ein unsichtbares.
Wenn Sie schon etwas einschränken müssen, dann benennen Sie zugleich, was die Leute stattdessen tun sollen. Eine Grenze mit einem sanktionierten Weg ist Governance. Eine Grenze ohne Weg ist nur ein neuer Grund, sich zu verstecken.
Eine Checkliste zum Aufspüren
Wenn wir einer Entwicklungsorganisation in diesem Quartal zu mehr Sichtbarkeit verhelfen sollten, wollten wir Antworten auf eine kurze Liste.
| Frage | Warum sie zählt |
|---|---|
| Welche KI-Tools nutzen einzelne Personen bereits? | Sie können nicht steuern, was Sie nie inventarisiert haben |
| Auf welche Daten und Systeme können diese Tools zugreifen? | Genau hier sitzt das eigentliche Risiko der Datenpreisgabe |
| Welche realen Workflows hängen bereits an KI? | Das sind Ihre ersten Kandidaten für den Geltungsbereich |
| Gehören Auftragnehmer und Partner ins selbe Bild? | Sie fallen in den Geltungsbereich und werden leicht übersehen |
| Gibt es einen sanktionierten Weg für die häufigsten Bedarfe? | Ohne ihn erkauft ein Verbot nur Schweigen |
Das ist noch kein vollständiges Governance-Programm. Es ist die ehrliche erste Bestandsaufnahme, von der alles andere abhängt.
Wie das mit dem AI Act zusammenhängt
Shadow AI ist nicht nur ein operativer blinder Fleck, sondern auch ein regulatorischer.
Der EU AI Act, Verordnung (EU) 2024/1689, verlangt von Betreibern, ein ausreichendes Maß an KI-Kompetenz bei den Beschäftigten und allen in ihrem Auftrag handelnden Personen sicherzustellen. Die Kompetenz-Leitlinien der Europäischen Kommission knüpfen diese Pflicht an die Systeme, die eine Organisation tatsächlich einsetzt. Sie können angemessene Kompetenz oder menschliche Aufsicht aber nicht für Tools nachweisen, deren Existenz Sie nie anerkannt haben.
In diesem Sinne ist es nicht nur gute Praxis, Shadow AI ans Licht zu holen. Es ist die Voraussetzung dafür, überhaupt glaubwürdig behaupten zu können, dass die KI-Nutzung in der Organisation gesteuert wird.
Unsere Sicht
Wir glauben nicht, dass das Ziel ist, Shadow AI auszumerzen. Das Ziel ist, die Unsichtbarkeit zu beenden.
Dass Entwickler von sich aus zu KI greifen, ist kein Versagen der Disziplin. Es ist eine Landkarte: sie zeigt, wo die Arbeit schwer ist und wo der offizielle Prozess zu langsam war, um noch eine Rolle zu spielen. Die Organisationen, die damit gut umgehen, verstehen das Aufspüren als Zuhören, holen die wirklich nützlichen Anwendungen in den Geltungsbereich und schränken nur das ein, wofür sie den Leuten zuvor eine echte Alternative gegeben haben.
So wird aus Shadow AI von einer Belastung das nützlichste Adoptionssignal, das eine Führungskraft haben kann: eine Liste der Workflows, die wichtig genug waren, dass Menschen sie ungefragt verbessert haben.
Quellen
- Anthropic,
The Anthropic Economic Index, 10. Februar 2025 - GitHub,
Survey: The AI wave continues to grow on software development teams, 20. August 2024, aktualisiert am 15. April 2025 - European Commission,
AI Literacy - Questions & Answers, abgerufen am 2026-06-10 - EUR-Lex, Verordnung (EU) 2024/1689, Artikel 4
Häufige Fragen
- Was ist Shadow AI, und warum entsteht sie vor allem in Entwicklungsteams?
- Shadow AI bezeichnet den Einsatz von KI-Tools und Modellen in der täglichen Arbeit ohne organisatorische Freigabe, Sichtbarkeit oder Review. In Entwicklungsteams ballt sie sich besonders, weil Softwareentwicklung und technisches Schreiben laut dem Economic Index von Anthropic (Februar 2025) und der Enterprise-Umfrage von GitHub (August 2024) genau die Bereiche sind, in denen KI-Nutzung am stärksten konzentriert ist. Wenn eine formale Richtlinie entsteht, sollte die realistische Ausgangslage sein: die Entwickler nutzen KI bereits, sie warten nicht auf eine Erlaubnis.
- Welche Risiken entstehen, wenn Shadow AI unsichtbar bleibt?
- Die Organisation kann grundlegende Fragen nicht beantworten: Welche Daten verlassen kontrollierte Grenzen? Welche Workflows hängen an KI-Ausgaben, die niemand überwacht? Wer haftet bei einem Fehler in einem nie anerkannten Workflow? Ein freigegebenes Tool mit klaren Regeln kann das kleinere Risiko sein als ein nicht freigegebenes, das sorgfältig genutzt wird, eben weil es sichtbar ist und geprüft werden kann.
- Wie geht man Shadow AI an, ohne dass Entwickler das Gespräch als Überwachung empfinden?
- Discovery funktioniert als Bestandsaufnahme, nicht als Ermittlungsverfahren. Teams werden direkt und ohne Sanktionsandrohung gefragt, welche Tools sie nutzen und wofür; Ausgaben und Abonnements werden ausgewertet; Zugriffe auf Repositories und CI werden geprüft. Auftragnehmer und Dienstleister gehören ausdrücklich dazu. Entscheidend ist die Formulierung: 'Helfen Sie uns zu verstehen, was bereits funktioniert' bringt weit mehr ans Licht als jede Form von Geständnisaufforderung.
- Welche regulatorischen Pflichten entstehen durch Shadow AI im Kontext des EU AI Act?
- Der EU AI Act (Verordnung (EU) 2024/1689, Artikel 4) verpflichtet Betreiber, ein ausreichendes Maß an KI-Kompetenz bei Beschäftigten und allen in ihrem Auftrag handelnden Personen sicherzustellen. Die Kompetenz-Leitlinien der Europäischen Kommission knüpfen diese Pflicht an die Systeme, die eine Organisation tatsächlich einsetzt. Angemessene Kompetenz oder menschliche Aufsicht lässt sich nicht für Tools nachweisen, deren Existenz nie anerkannt wurde. Shadow AI sichtbar zu machen ist damit nicht nur gute Praxis, sondern die Voraussetzung für jeden glaubwürdigen Governance-Nachweis.
