Shadow IT und Shadow AI: Unsichtbare Risiken bedrohen Ihr KMU
- 05. Februar 2026
- Aktualisiert am:
- Temps de lecture: 10 min
Einleitung: Wenn Ihre alltäglichen Tools zu einem unsichtbaren Risiko werden
Ihre Mitarbeiter nutzen ChatGPT zum Verfassen von E-Mails, DeepL zum Übersetzen von Dokumenten oder ihre persönliche Dropbox zum Teilen von Dateien. Diese Praktiken scheinen harmlos, stellen aber eines der am meisten unterschätzten Cybersicherheitsrisiken für KMU dar: die Shadow IT und ihre neue Variante, die Shadow AI.
Schlüsseldefinition: Die Shadow IT bezeichnet alle Software, Anwendungen und Cloud-Dienste, die von Mitarbeitern ohne Genehmigung oder Aufsicht der IT-Abteilung genutzt werden. Die Shadow AI ist die Erweiterung davon: die unkontrollierte Nutzung von generativen Werkzeugen der künstlichen Intelligenz (ChatGPT, Gemini, DeepL...) im beruflichen Kontext.
Die Realität ist einfach: Ihre Unternehmensdaten zirkulieren auf Tools, die Sie nicht kontrollieren, deren Existenz Sie manchmal nicht kennen und die sich jeder Sicherheitsrichtlinie entziehen. Für ein Schweizer KMU, das dem revDSG unterliegt und um seinen Ruf besorgt ist, stellt diese Situation eine grosse Schwachstelle dar.
In diesem Artikel erfahren Sie, was Shadow IT und Shadow AI wirklich sind, welche konkreten Risiken sie für Ihr Unternehmen bergen und vor allem, wie Sie die Kontrolle wiedererlangen, ohne die Produktivität Ihrer Teams einzuschränken.
Was ist Shadow IT und wie hat sie sich entwickelt?
Die Shadow IT hat sich mit der Demokratisierung der Cloud und der Explosion von SaaS-Anwendungen erheblich ausgeweitet. WhatsApp für den Austausch mit Kunden, persönlicher Google Drive zum Speichern von Dokumenten, im Internet gefundene Verwaltungsanwendungen: Das sind alles gängige Beispiele in Schweizer KMU.
Ihre Mitarbeiter versuchen nicht, die Regeln böswillig zu umgehen. Sie wollen einfach nur effizienter sein. Wenn das offizielle Tool langsam oder ungeeignet ist, suchen sie natürlich anderswo nach einer praktischeren Lösung.
Im Jahr 2025 hat dieses Phänomen mit dem massiven Aufkommen der generativen künstlichen Intelligenz eine neue Dimension erreicht. Man spricht nun von Shadow AI. ChatGPT, Claude, Gemini, DeepL und Dutzende anderer KI-Tools werden täglich verwendet, um Berichte zu verfassen, Besprechungen zusammenzufassen, Dokumente zu übersetzen oder Daten zu analysieren. Diese Assistenten steigern die Produktivität, aber ihre unkontrollierte Nutzung führt zu einem Datenleck in einem noch nie dagewesenen Ausmass.
Die versteckten Risiken der generativen KI für Ihr KMU
Ihre Daten speisen die KI-Modelle von Dritten
Die meisten kostenlosen KI-Dienste funktionieren nach einem einfachen Modell: Sie nutzen das Tool kostenlos, aber Ihre Daten werden verwendet, um die Modelle der künstlichen Intelligenz zu trainieren und zu verbessern.
Wenn Ihr Finanzdirektor Ihre prognostizierte Bilanz in ChatGPT kopiert und einfügt, um eine Zusammenfassung zu erhalten, verlassen diese vertraulichen Daten die sichere Umgebung Ihres Unternehmens. Sie werden an Server übertragen, die sich oft in den Vereinigten Staaten befinden, und dann in die Wissensdatenbank der KI integriert. Es besteht das Risiko, dass diese sensiblen Informationen von der KI als Antwort auf die Frage eines anderen Nutzers, einschliesslich eines Konkurrenten, wiedergegeben werden können.
revDSG und Cloud Act: ein reales Doppelrisiko
Über den Verlust von geistigem Eigentum hinaus wirft diese Praxis konkrete rechtliche Probleme für Schweizer KMU auf:
- Das revDSG (revidierte Bundesgesetz über den Datenschutz, in Kraft seit September 2023) legt strenge Regeln für die Übermittlung von Personendaten ins Ausland fest. Durch die Nutzung öffentlicher KI-Tools ohne vertragliche Garantien verstösst Ihr Unternehmen möglicherweise gegen das Gesetz.
- Der US-amerikanische Cloud Act (2018) erlaubt es den US-amerikanischen Justizbehörden, auf Vorlage eines Haftbefehls den Zugriff auf Daten zu verlangen, die von US-amerikanischen Unternehmen wie OpenAI (ChatGPT), Google oder Microsoft gehalten werden, auch wenn diese Daten physisch in Europa gespeichert sind. Dieses Gesetz gilt extraterritorial und die betroffenen Personen werden nicht unbedingt über diesen Zugriff informiert.
Auch wenn der Swiss-U.S. Data Privacy Framework (in Kraft seit September 2024) diese Übermittlungen für zertifizierte US-amerikanische Unternehmen besser regelt, bleibt der Cloud Act anwendbar und stellt ein reales Risiko für sensible Daten dar.
| Risiko | Quelle | Potenzielle Auswirkungen für Ihr KMU |
|---|---|---|
| Verlust vertraulicher Daten | Öffentliche generative KI (ChatGPT, Gemini...) | Verlust von geistigem Eigentum, Verletzung von Kundenverträgen |
| Nichteinhaltung des revDSG | Übermittlung von Personendaten ausserhalb der Schweiz | Sanktionen des Eidgenössischen Datenschutzbeauftragten, Geldbussen, Rufschädigung |
| Zugriff durch ausländische Behörden | US-amerikanischer Cloud Act | Offenlegung strategischer Daten gegenüber unbefugten Dritten |
| Verlust der Kontrolle über Dateien | Persönliche Dropbox/Google Drive | Daten sind beim Ausscheiden eines Mitarbeiters nicht zugänglich |
Konkretes Szenario: Ein exponiertes Schweizer Personal-KMU
Ein Schweizer KMU, das in der Personalberatung tätig ist. Ein Berater verwendet ChatGPT, um Beurteilungsgespräche zusammenzufassen. Er kopiert Notizen mit Namen, Kommentaren zu Leistungen und Gehaltsdaten. Diese Informationen gelangen in die Hände eines unbefugten Dritten, mit allen Risiken: Rufschädigung, Klagen, Verlust des Kunden, Sanktionen des Eidgenössischen Datenschutzbeauftragten. Die Anwendung des Prinzips der geringsten Privilegien hätte die Exposition erheblich einschränken können.
Warum Verbieten nicht die Lösung ist
Angesichts dieser Risiken ist es verständlich, diese Tools einfach verbieten zu wollen, aber das ist selten effektiv. Ein totales Verbot treibt die Praktiken in den Untergrund. Ihre Mitarbeiter werden diese Tools weiterhin im Verborgenen nutzen, was Sie daran hindert, die Risiken zu messen und zu verwalten.
Wenn Ihre Teams ChatGPT nutzen, dann deshalb, weil sie einen echten Nutzen daraus ziehen: Zeit sparen, qualitativ hochwertigere Inhalte produzieren, sich auf Aufgaben mit höherem Mehrwert konzentrieren. Der empfohlene Ansatz ist der der Begleitung und Governance.
Die einfachen Massnahmen, die Ihre Mitarbeiter noch heute ergreifen können
Wenn Ihre Teams öffentliche KI-Tools verwenden und Sie ihnen nicht sofort sichere Alternativen anbieten können, sind hier die Praktiken, die die Risiken erheblich reduzieren:
- Systematische Anonymisierung — Bevor Sie einen Text in ChatGPT kopieren, löschen oder ersetzen Sie alle sensiblen Informationen: Namen von Personen, Telefonnummern, E-Mails, Adressen, Namen von Unternehmenskunden, Namen von Projekten, genaue Finanzbeträge.
- Verwenden Sie generische Aliase — Anstelle von «Unternehmen Dupont SA» schreiben Sie «Kunde A». Anstelle eines vertraulichen Projektnamens «Projekt X». Diese Gewohnheit erfordert nur minimalen Aufwand, schützt aber Ihre Daten erheblich.
- Niemals Geschäftsgeheimnisse, kritische Quellcodes, Passwörter, API-Schlüssel oder andere Informationen übermitteln, die Zugriff auf Ihre Systeme gewähren. Diese Daten dürfen Ihre sichere Umgebung niemals verlassen.
Wie Sie als Führungskraft die Kontrolle wiedererlangen
Ihre Rolle besteht nicht nur darin, das Bewusstsein zu schärfen, sondern auch darin, die Tools bereitzustellen, die es ermöglichen, effizient zu arbeiten und gleichzeitig die Sicherheitsregeln einzuhalten.
Sichere KI-Lösungen als Ersatz für ChatGPT für die breite Öffentlichkeit
Der erste Schritt besteht darin, Schweizer oder europäische Alternativen zu KI-Tools für die breite Öffentlichkeit anzubieten:
- Euria von Infomaniak — Souveräner KI-Assistent, der vollständig in der Schweiz gehostet wird. Ihre Daten verlassen niemals die Schweizer Rechenzentren von Infomaniak und werden niemals zum Trainieren von KI-Modellen verwendet. Bietet einen ephemeren Modus für hochsensible Daten (keine Spuren werden gespeichert, auch nicht von Infomaniak). Kostenlos in der Basisversion, konform mit dem revDSG, mit ähnlichen Funktionen wie ChatGPT (Verfassen, Übersetzen, Analysieren von Dokumenten, Audiotranskription).
- ChatGPT Enterprise / Microsoft Copilot für Microsoft 365 — Für Unternehmen, die sich bereits im Microsoft-Ökosystem befinden oder amerikanische Lösungen mit vertraglichen Garantien bevorzugen: Ihre Daten werden nicht zum Trainieren der Modelle verwendet, bleiben vertraulich und werden in Übereinstimmung mit den Vorschriften verarbeitet. Zentralisierte Zugriffsverwaltung inklusive.
- Mistral AI — Französisches Unternehmen, das seit Dezember 2024 in der Schweiz präsent ist. Bietet «Le Chat Enterprise» an, das in der öffentlichen oder privaten Cloud eingesetzt werden kann, mit einem souveränen Ansatz, der mit der DSGVO konform ist.
Diese Lösungen haben ihren Preis, aber er muss gegen die Risiken eines Datenlecks abgewogen werden. Das Vertrauen eines wichtigen Kunden zu verlieren, kann weitaus schwerwiegendere Folgen haben als die Investition in sichere Tools.
Die Kontrolle über die Speicherung und den Austausch von Dateien wiedererlangen
Die Shadow IT betrifft auch WeTransfer, persönliche Dropbox, persönlicher Google Drive. Diese Lösungen entziehen sich Ihrer Kontrolle: keine Transparenz über die Zugriffe, keine zentralisierte Sicherung, oft keine Multi-Faktor-Authentifizierung. Wenn ein Mitarbeiter das Unternehmen verlässt, gehen die Dateien mit ihm.
Klare Regel: Die Daten des Unternehmens müssen ausschliesslich auf den Tools des Unternehmens gespeichert werden.
| Bedürfnis | Lösung für die breite Öffentlichkeit (zu vermeiden) | Empfohlene souveräne Alternative | Wichtigster Vorteil |
|---|---|---|---|
| Speicherung und Zusammenarbeit | Persönliche Dropbox / Google Drive | kDrive (Infomaniak) | Hosting in der Schweiz, bis zu 106 TB, revDSG-konform |
| Hochvertrauliche Daten | — | Proton Drive | Zero-Access-Verschlüsselung, Schweizer Gerichtsbarkeit, ausserhalb des Cloud Act |
| Übertragung grosser Dateien | WeTransfer | SwissTransfer | Kostenlos, bis zu 50 GB, AES-256-Verschlüsselung, Hosting in der Schweiz |
| Professionelle Sicherung | — | Swiss Backup (Infomaniak) | Anti-Ransomware, Replikation auf 2 Schweizer Rechenzentren, AES-256 |
| Generative KI | Kostenloses ChatGPT / Gemini | Euria (Infomaniak) | Daten werden niemals für das Training verwendet, ephemerer Modus verfügbar |
Eine klare Richtlinie erstellen und den Wandel begleiten
Formalisieren Sie Ihre Nutzungsrichtlinie in einem für alle zugänglichen Dokument. Diese Charta muss erklären, welche Tools erlaubt sind, welche verboten sind und warum. Sie legt die bewährten Verfahren und die Folgen bei Nichteinhaltung fest.
Aber eine schriftliche Richtlinie reicht nicht aus. Organisieren Sie Schulungen, in denen die Risiken anhand von realen Beispielen erläutert werden, die auf Ihre Branche zugeschnitten sind. Wenn Ihre Mitarbeiter verstehen, warum diese Regeln existieren, sind sie eher bereit, sie einzuhalten. Ein auf Ihr KMU zugeschnittener Sicherheitsaudit kann Ihnen helfen, die Risikobereiche zu identifizieren und Ihre Massnahmen zu priorisieren.
Bauen Sie einen kontinuierlichen Dialog auf. Ermutigen Sie Ihre Teams, Ihnen die Tools zu melden, die sie verwenden möchten. Bewerten Sie diese Anfragen und finden Sie sichere Alternativen. Dieser kollaborative Ansatz verwandelt Sicherheit von einer Einschränkung in einen gemeinsamen Ansatz.
Häufig gestellte Fragen zu Shadow IT und Shadow AI
Was genau ist Shadow IT?
Shadow IT bezeichnet alle Software, Anwendungen und Cloud-Dienste, die von Mitarbeitern in einem beruflichen Kontext genutzt werden, ohne dass die IT-Abteilung davon Kenntnis hat oder ihre Genehmigung erteilt hat. Gängige Beispiele: WhatsApp zur Kommunikation mit Kunden, persönliche Dropbox zum Speichern von Unternehmensdateien oder ChatGPT zum Verfassen von Geschäftsdokumenten.
Was ist Shadow AI?
Shadow AI ist eine Erweiterung von Shadow IT, die sich speziell auf generative Werkzeuge der künstlichen Intelligenz bezieht. Sie bezeichnet die unkontrollierte Nutzung öffentlicher KI-Assistenten (ChatGPT, Gemini, Claude, DeepL...) in einem beruflichen Kontext, ohne Sicherheitsrichtlinien oder vertragliche Garantien für die Verarbeitung der übermittelten Daten.
Warum ist Shadow AI für ein Schweizer KMU besonders riskant?
Weil die in kostenlose KI-Tools eingegebenen Daten zum Trainieren der Modelle verwendet werden können, auf Servern gespeichert werden, die sich oft in den USA befinden (wodurch Ihr Unternehmen dem Cloud Act ausgesetzt ist), und ihre Übermittlung einen Verstoss gegen das revDSG darstellen kann, wenn sie Personendaten enthalten. Ein Verlust von Kundendaten kann zu rechtlichen Sanktionen, dem Verlust von Verträgen und einer dauerhaften Schädigung Ihres Rufs führen.
Was ist die beste Schweizer Alternative zu ChatGPT für ein KMU?
Euria von Infomaniak ist die umfassendste souveräne Alternative für Schweizer KMU: ausschliessliches Hosting in der Schweiz, Daten werden niemals zum Trainieren der Modelle verwendet, ephemerer Modus für hochsensible Daten und Funktionen, die ChatGPT entsprechen (Verfassen, Übersetzen, Analysieren von Dokumenten). Die Basisversion ist kostenlos.
Sollte man seinen Mitarbeitern ChatGPT verbieten?
Ein totales Verbot ist selten effektiv: Es treibt die Praktiken in den Untergrund, ohne die Risiken zu reduzieren. Der empfohlene Ansatz ist die Governance: die Teams für die Risiken sensibilisieren, sichere Alternativen bereitstellen, die auf ihre Bedürfnisse zugeschnitten sind, und eine klare Nutzungsrichtlinie mit Anonymisierungsregeln für Fälle formalisieren, in denen keine unmittelbare Alternative existiert.
Fazit: Sicherheit und Produktivität sind nicht unvereinbar
Shadow IT und Shadow AI werden nicht verschwinden. Sie spiegeln eine Realität wider: Ihre Mitarbeiter wollen effizient sein. Ihre Rolle besteht nicht darin, diese Dynamik zu bremsen, sondern sie auf sichere Weise zu kanalisieren.
Indem Sie die Risiken verstehen, Ihre Teams sensibilisieren, geeignete professionelle Tools bereitstellen und eine klare Governance einführen, verwandeln Sie eine unsichtbare Bedrohung in einen Wettbewerbsvorteil.
Zwei konkrete Massnahmen ab sofort:
- Bewerten Sie, welche KI- und Speichertools in Ihrem Unternehmen tatsächlich verwendet werden, und identifizieren Sie dann die professionellen Versionen oder Schweizer Alternativen, die sie ersetzen können.
- Kommunizieren Sie klar mit Ihren Teams und begleiten Sie sie bei diesem Übergang. Um die Sensibilisierung zu vertiefen, kann PhishTrainer Ihnen helfen, Ihre Mitarbeiter interaktiv über Cyberrisiken zu schulen.
Die Cybersicherheit Ihres Schweizer KMU hängt auch davon ab. Bexxo kann Sie bei diesem Governance- und Sicherheitsprozess unterstützen.
