SCHNELLSTART.AI
    Sprache
    Dienstleistungen
    KI-Potenziale erkennenIhre eigene KI-LösungSysteme verbindenTeam fit machen für KI
    Branchen
    Treuhand & FinanzenBau & ImmobilienGesundheitswesenRecht & KanzleienIndustrie & FertigungRetail & E-Commerce
    Ressourcen
    FallstudienRessourcenFAQ
    InsightsÜber uns
    Jetzt starten
    Compliance15. April 202610 min

    Shadow KI: Was Ihre Mitarbeiter wirklich nutzen – und wie Schweizer KMU reagieren müssen

    Shadow KI: Was Ihre Mitarbeiter wirklich nutzen – und wie Schweizer KMU reagieren müssen
    L
    Lukas Huber

    Lukas Huber

    Contributor

    90% der IT-Leiter sehen Shadow AI als Top-Risiko 2026. Erfahren Sie, wie Sie unkontrollierte KI-Nutzung in Ihrem Schweizer KMU aufdecken und sicher steuern.

    Es ist Montagmorgen, 8:15 Uhr. Ihre Buchhalterin öffnet ChatGPT und gibt eine Kundenliste ein, um eine Mahnung zu formulieren. Ihr Verkaufsleiter lässt sich von Claude einen Angebotsentwurf schreiben – inklusive Preiskalkulation. Die Praktikantin nutzt Midjourney für Social-Media-Posts mit Ihrem Firmenlogo. Niemand hat die IT-Abteilung informiert. Niemand hat die Datenschutzfolgen bedacht.

    Willkommen in der Welt der Shadow KI – dem unkontrollierten Einsatz von KI-Tools durch Mitarbeitende, ohne Wissen oder Genehmigung der Geschäftsleitung. Für Schweizer KMU ist dies kein abstraktes Risiko, sondern tägliche Realität. Und es wächst exponentiell: Seit dem Launch von ChatGPT nutzen schätzungsweise 30–50% aller Büroangestellten mindestens ein KI-Tool regelmässig – meist ohne dass die IT davon weiss.

    Das Problem ist nicht, dass Ihre Mitarbeiter KI nutzen. Das Problem ist, dass Sie nicht wissen, welche Tools sie nutzen, welche Daten sie eingeben, und wo diese Daten landen. Bei einem Schweizer KMU, das dem revDSG (Datenschutzgesetz) unterliegt, kann das existenzbedrohend werden.

    📊 Fakten auf einen Blick:

    • Fakt: 45% der Schweizer KMU betrachten KI als Vorteil – aber nur ein Bruchteil hat eine KI-Governance-Richtlinie. (Quelle: kmu.admin.ch, 2025)
    • Fakt: Microsoft verzeichnet 15 Millionen bezahlte Copilot-Sitze – bei nur 3,3% des adressierbaren Marktes. Die restlichen 96,7% nutzen oft unautorisierte Alternativen. (Quelle: Microsoft Q2 FY2026)
    • Fakt: 34% der Schweizer Unternehmen setzen KI zur Automatisierung ein – gegenüber 23% im Vorjahr. Tendenz: stark steigend. (Quelle: DeepCloud, 2025)

    Was genau ist Shadow KI – und warum ist es gefährlicher als klassische Shadow IT?

    Shadow KI ist die Nutzung von KI-Tools und -Diensten durch Mitarbeitende, die weder von der IT-Abteilung genehmigt noch überwacht werden. Der entscheidende Unterschied zur klassischen Shadow IT: Bei traditioneller Shadow IT (z.B. ein nicht autorisiertes Projektmanagement-Tool) bleiben die Daten meist innerhalb des Werkzeugs. Bei Shadow KI werden Firmendaten aktiv an externe Modelle gesendet – und potenziell für das Training verwendet.

    Stellen Sie sich vor, ein Mitarbeiter gibt vertrauliche Vertragstexte in ChatGPT ein, um eine Zusammenfassung zu erstellen. Diese Daten verlassen Ihr Unternehmen, werden auf US-Servern verarbeitet und könnten – je nach Nutzungsbedingungen – in zukünftige Modellversionen einfliessen. Für ein Schweizer Unternehmen, das dem revDSG unterliegt, ist das ein klarer Verstoss gegen die Datenschutzpflichten, insbesondere wenn Personendaten betroffen sind.

    Die häufigsten Shadow-KI-Szenarien in Schweizer KMU:

    Abteilung Typische Shadow-KI-Nutzung Datenrisiko
    Buchhaltung / Treuhand ChatGPT für Mahnungen, Berichte, Bilanzentwürfe Hoch – Kundendaten, Finanzdaten
    Verkauf / Vertrieb KI-generierte Angebote, E-Mail-Entwürfe mit Preisen Hoch – Preisstrategien, Kontaktdaten
    HR / Personal Lebensläufe analysieren, Zeugnisse formulieren Kritisch – besonders schützenswerte Personendaten
    Marketing Midjourney, DALL-E für Bilder, ChatGPT für Texte Mittel – Markendaten, Strategien
    Geschäftsleitung Strategiepapiere, Marktanalysen, Wettbewerbsvergleiche Hoch – Geschäftsgeheimnisse

    Wie decken Sie Shadow KI in Ihrem Unternehmen auf?

    "Wir hatten keine Ahnung, dass 14 verschiedene KI-Tools an unsere Microsoft-Konten angebunden waren. Nach dem Audit wussten wir endlich, wo unsere Daten hinfliessen."

    — IT-Verantwortlicher, Treuhandbüro Ostschweiz, Treuhand / Finanzdienstleistung

    Shadow KI in Ihrem KMU aufdecken?

    Kostenloses 15-Min Vorgespräch buchen →

    Die gute Nachricht: Wenn Sie Microsoft 365 nutzen, haben Sie die Werkzeuge bereits – sie sind nur nicht aktiviert. Die meisten Schweizer KMU zahlen für M365-Lizenzen, die mächtige Governance-Funktionen enthalten, die nie eingeschaltet wurden. Das ist wie eine Alarmanlage kaufen und dann vergessen, sie zu aktivieren.

    Hier sind die drei wichtigsten Schritte, um Shadow KI in Ihrem KMU aufzudecken:

    Schritt 1: Entra ID (Azure AD) App-Registrierungs-Audit

    Jede Drittanbieter-App, die ein Mitarbeiter mit seinem Firmenkonto verbindet, wird in Entra ID registriert. Die meisten KMU schauen dort nie hin. Was Sie dort finden werden, ist oft erschreckend: Dutzende von Apps und KI-Tools, die Zugriff auf E-Mails, Kalender oder Dateien haben.

    So geht es: Öffnen Sie das Entra Admin Center → «Unternehmensanwendungen» → Sortieren nach «Zuletzt verwendet». Prüfen Sie jede App: Welche Berechtigungen hat sie? Wer hat sie genehmigt? Brauchen Sie sie noch? Entfernen Sie alles, was nicht autorisiert ist.

    Schritt 2: Microsoft Defender for Cloud Apps

    Defender for Cloud Apps (früher MCAS) überwacht, welche Cloud-Dienste und KI-URLs Ihre Mitarbeitenden besuchen. Es zeigt Ihnen in Echtzeit: Wer nutzt ChatGPT? Wer nutzt Claude? Wer nutzt Midjourney? Und wie oft? Das Tool vergibt jedem Dienst einen Risiko-Score und ermöglicht es Ihnen, Richtlinien zu setzen.

    Konkret: Sie können Policies erstellen, die bestimmte KI-Dienste blockieren, eine Warnmeldung anzeigen oder den Zugriff nur nach MFA-Authentifizierung erlauben. Das bedeutet nicht, dass Sie KI verbieten – sondern dass Sie sie kontrollieren.

    Schritt 3: Mitarbeiter-Survey (der ehrliche Weg)

    Technik allein reicht nicht. Fragen Sie Ihre Mitarbeiter direkt – aber schaffen Sie einen sicheren Rahmen. Keine Bestrafung, sondern Verständnis. Die Frage ist nicht «Nutzt du KI?» (die Antwort ist fast immer ja), sondern «Welche Tools nutzt du, und mit welchen Daten?» Das Ergebnis wird Ihre Grundlage für eine realistische KI-Richtlinie.

    💡 Tipp: Nicht verbieten – steuern

    KMU, die KI komplett verbieten, verlieren doppelt: Die Mitarbeiter nutzen die Tools trotzdem (jetzt einfach heimlich), und das Unternehmen verpasst echte Produktivitätsgewinne. Die richtige Strategie ist: Sichere Alternativen bereitstellen und klare Regeln definieren.

    Welche konkreten Massnahmen schützen ein Schweizer KMU vor Shadow-KI-Risiken?

    Eine KI-Richtlinie, die zu Ihrem Unternehmen passt – kombiniert mit technischen Leitplanken. Governance ist kein Papiertiger, sondern ein lebendiges Dokument plus technische Umsetzung. Für ein typisches Schweizer KMU mit 10–100 Mitarbeitenden empfehle ich folgenden Ansatz:

    1. KI-Nutzungsrichtlinie erstellen (1 Seite reicht)

    Definieren Sie drei Kategorien:

    • Grün (erlaubt): Genehmigte Tools für definierte Anwendungsfälle. Beispiel: Microsoft Copilot für E-Mail-Zusammenfassungen, ChatGPT Enterprise für Marketing-Texte (ohne Kundendaten).
    • Gelb (mit Auflagen): Tools, die unter bestimmten Bedingungen genutzt werden dürfen. Beispiel: ChatGPT Free nur für allgemeine Recherche, nie mit Firmendaten.
    • Rot (verboten): Tools, die ein inakzeptables Datenschutzrisiko darstellen. Beispiel: Upload von Kundenlisten in beliebige KI-Tools, Nutzung von KI für HR-Entscheidungen ohne menschliche Prüfung.

    2. Microsoft Purview DLP aktivieren

    Data Loss Prevention (DLP) in Microsoft Purview verhindert, dass Mitarbeitende sensible Daten in externe KI-Tools kopieren. Sie definieren Regeln: Wenn jemand versucht, eine Excel-Tabelle mit Kundendaten per Copy-Paste in ein Browser-Fenster einzufügen, das auf chatgpt.com zeigt, wird die Aktion blockiert oder protokolliert.

    Das klingt technisch komplex, ist aber in den meisten M365-Business-Lizenzen bereits enthalten. Sie müssen es nur konfigurieren.

    3. Conditional Access Policies setzen

    Über Entra ID können Sie Conditional-Access-Richtlinien erstellen:

    • Genehmigte KI-Tools nur über verwaltete Geräte zugänglich machen
    • MFA für den Zugriff auf KI-Dienste erzwingen
    • Zugriff von privaten Geräten auf sensible KI-Anwendungen blockieren

    4. Swiss-hosted Alternative für kritische Daten

    Für besonders sensible Anwendungsfälle – Treuhand, Gesundheitsdaten, juristische Dokumente – sollten Sie Swiss-hosted KI-Lösungen evaluieren. Die Daten verlassen die Schweiz nicht, und Sie erfüllen das revDSG ohne juristische Grauzone. Das ist kein Entweder-oder: Sie nutzen Microsoft für den Büroalltag und Swiss-hosted für die kritischen Prozesse.

    Massnahme Aufwand Wirkung Voraussetzung
    KI-Richtlinie erstellen 1–2 Stunden Bewusstsein schaffen, rechtliche Absicherung Keine
    Entra ID App-Audit 2–4 Stunden Sofortige Sichtbarkeit aller verbundenen Apps M365 Admin-Zugang
    Defender for Cloud Apps 4–8 Stunden Setup Echtzeit-Monitoring aller KI-Nutzung M365 E5 oder Defender-Lizenz
    Purview DLP-Regeln 4–8 Stunden Setup Verhindert Datenverlust an externe KI M365 E3/E5 oder Purview-Lizenz
    Swiss-hosted KI-Alternative 1–2 Wochen 100% FADP-Konformität für kritische Daten Budget für Hosting

    Wie sieht ein realistischer Fahrplan für ein KMU mit 20–50 Mitarbeitenden aus?

    In vier Wochen von «keine Ahnung» zu «unter Kontrolle». Das ist kein Grossprojekt. Es ist ein strukturierter Sprint, der sofort Ergebnisse liefert.

    Woche 1 – Inventar: Entra ID App-Audit durchführen. Mitarbeiter-Survey starten. Ergebnis: Sie wissen, welche Tools genutzt werden und welche Daten fliessen.

    Woche 2 – Richtlinie: KI-Nutzungsrichtlinie erstellen (Ampelsystem: grün/gelb/rot). Team-Meeting zur Kommunikation. Keine Verbote, sondern klare Leitplanken.

    Woche 3 – Technik: Defender for Cloud Apps aktivieren (wenn Lizenz vorhanden). Erste DLP-Regeln für die kritischsten Datentypen (Kundenlisten, Finanzdaten). Conditional Access für KI-Tools konfigurieren.

    Woche 4 – Alternativen: Genehmigte KI-Tools evaluieren und bereitstellen. Microsoft Copilot für Standardaufgaben einrichten. Swiss-hosted Lösung für sensible Prozesse prüfen. Schulung für genehmigte Tools planen.

    Nach vier Wochen haben Sie nicht nur das Shadow-KI-Problem gelöst, sondern auch die Grundlage für eine produktive, sichere KI-Nutzung in Ihrem Unternehmen geschaffen.

    💡 Tipp: Der ROI der KI-Governance

    Ein Shadow-KI-Audit kostet typisch 4–8 Stunden Arbeitszeit. Ein Datenschutzverstoss gegen das revDSG kann Bussen bis CHF 250'000 nach sich ziehen – persönlich gegen die verantwortliche Person. Die Rechnung ist einfach.

    Fazit: Shadow KI ist kein IT-Problem – es ist ein Führungsthema

    Die Frage ist nicht mehr, ob Ihre Mitarbeiter KI nutzen. Die Frage ist, ob Sie es wissen und steuern können. Shadow KI verschwindet nicht durch Ignorieren – es wächst. Jeden Tag kommen neue Tools auf den Markt, und Ihre Mitarbeitenden werden sie nutzen, weil sie produktiver sein wollen.

    Die Lösung ist nicht Verbot, sondern Governance: Wissen, was genutzt wird. Regeln definieren, die Sinn machen. Sichere Alternativen bereitstellen. Und das Ganze technisch absichern – mit den Tools, die Sie in den meisten Fällen bereits bezahlen.

    Für Schweizer KMU kommt ein weiterer Aspekt hinzu: Das revDSG kennt kein «Wir wussten es nicht» als Entschuldigung. Die Verantwortung liegt bei der Geschäftsleitung. Wer heute nicht handelt, riskiert nicht nur Datenverluste, sondern persönliche Haftung.

    Der erste Schritt ist immer der gleiche: Hinschauen. Öffnen Sie Ihr Entra ID Admin Center. Schauen Sie, welche Apps verbunden sind. Sie werden überrascht sein.

    Häufige Fragen

    Was ist Shadow KI?+

    Shadow KI bezeichnet die Nutzung von KI-Tools (wie ChatGPT, Claude, Midjourney) durch Mitarbeitende, die nicht von der IT-Abteilung genehmigt oder überwacht wird. Im Gegensatz zu klassischer Shadow IT werden bei Shadow KI aktiv Firmendaten an externe Modelle gesendet, was erhebliche Datenschutzrisiken mit sich bringt.

    Wie finde ich heraus, welche KI-Tools meine Mitarbeiter nutzen?+

    Nutzen Sie drei Methoden: 1) Entra ID App-Registrierungs-Audit zeigt alle verbundenen Drittanbieter-Apps. 2) Microsoft Defender for Cloud Apps überwacht besuchte KI-URLs in Echtzeit. 3) Ein anonymer Mitarbeiter-Survey liefert ehrliche Einblicke in die tatsächliche Nutzung.

    Ist Shadow KI in der Schweiz illegal?+

    Shadow KI selbst ist nicht illegal, aber die unkontrollierte Weitergabe von Personendaten an externe KI-Dienste kann gegen das revDSG (Datenschutzgesetz) verstossen. Bussen bis CHF 250'000 können persönlich gegen die verantwortliche Person verhängt werden.

    Wie lange dauert ein Shadow-KI-Audit für ein KMU?+

    Ein grundlegendes Shadow-KI-Audit (Entra ID App-Check, Mitarbeiter-Survey, erste Richtlinie) kann in 4 Wochen abgeschlossen werden. Der initiale Entra ID App-Audit dauert nur 2–4 Stunden und liefert sofort Ergebnisse.

    Interested in implementation?

    Sprechen Sie mit uns über Ihren konkreten Use Case. Kostenlose Erstberatung, ehrliche Einschätzung.

    Verwandte Artikel
    KI-Governance & Compliance: Praxis-Einblicke für Schweizer KMU
    Compliance

    KI-Governance & Compliance: Praxis-Einblicke für Schweizer KMU

    KI freitags abschalten? Was Schweizer KMU über Copilot und Co. wissen müssen
    Technology

    KI freitags abschalten? Was Schweizer KMU über Copilot und Co. wissen müssen

    Cheops Technology Switzerland: Von der Infrastruktur zur Cyberabwehr – Was Schweizer KMU jetzt wissen müssen
    Technology

    Cheops Technology Switzerland: Von der Infrastruktur zur Cyberabwehr – Was Schweizer KMU jetzt wissen müssen

    Newsletter

    Wöchentliches Briefing zu Schweizer AI & Deep Tech.

    Datenschutz

    Wir nutzen Cookies für Analyse und bessere Nutzererfahrung.

    Datenschutz →