Es gibt diese Momente in mittelstaendischen Unternehmen, in denen die IT nichts mehr sagt, sondern nur noch nickt. Der Geschaeftsfuehrer eines Maschinenbauers aus Ostwestfalen erzaehlte uns vor einigen Wochen am Rande eines Audits, wie sein technischer Leiter ihm stolz eine vermeintlich neue Effizienzkennzahl praesentierte. Sein Konstruktionsteam habe die Durchlaufzeit fuer Stuecklisten halbiert. Auf Nachfrage stellte sich heraus: Drei Konstrukteure hatten die in 17 Jahren entstandene Bauteilebibliothek seitenweise in eine Web-Variante eines Sprachmodells gekippt, das sie ueber ihren privaten Account abonniert hatten. Mit eindrucksvollen Resultaten – und mit der vollstaendig ungeklaerten Frage, wo diese Bauteilebibliothek jetzt eigentlich liegt.

Diese Szene ist nicht die Ausnahme. Sie ist 2026 die Regel. Und genau deshalb hat die Transferstelle Cybersicherheit im Mittelstand den Mai zum Aktionsmonat mAI 2026 ausgerufen, mit vier kompakten Webimpulsen am 5., 7., 19. und 21. Mai zur Schnittstelle aus Kuenstlicher Intelligenz und IT-Sicherheit. Wir nehmen das zum Anlass, das Phaenomen Schatten-KI nicht als Compliance-Detail abzuhaken, sondern es so ernst zu nehmen, wie es fuer den deutschen Mittelstand strategisch ist.

Die Lage in Zahlen

Der Bitkom-Branchenverband veroeffentlicht jaehrlich eine Erwerbstaetigenbefragung zum Thema KI am Arbeitsplatz. Die letzten beiden Erhebungen zeichnen ein eindeutiges Bild: 10 Prozent der Erwerbstaetigen nutzen KI beruflich ohne Wissen ihres Arbeitgebers – eine Verdopplung gegenueber den 5 Prozent aus dem Jahr 2024. Der genehmigte Anteil legt im selben Zeitraum von 22 auf 45 Prozent zu. Anders ausgedrueckt: Inzwischen nutzt mehr als jede zweite Bueroangestellte in Deutschland regelmaessig generative KI bei der Arbeit, und ein erheblicher Teil davon ohne formale Genehmigung.

Eine andere Studie kommt zu noch dramatischeren Befunden: 57 Prozent der Befragten verwenden private Accounts fuer geschaeftliche Zwecke, ein Drittel laedt sensible Daten in nicht autorisierte Tools. Wer diese Zahlen ernst nimmt, kommt nicht umhin, Schatten-KI als strukturelles Phaenomen zu behandeln und nicht als individuelle Verfehlung einzelner Mitarbeitender.

Warum Schatten-KI entsteht – und warum "Verbieten" nicht funktioniert

Die Versuchung ist gross, das Problem mit einer einseitigen Anweisung zu loesen: Die Nutzung externer KI-Dienste ist ab sofort untersagt. Das Memo verfasst der Datenschutzbeauftragte, die Geschaeftsfuehrung unterzeichnet, fertig. In der Praxis bewirkt eine solche Anweisung in der Regel zwei Dinge: Erstens nutzen Mitarbeitende die Tools weiter, jetzt aber heimlicher. Zweitens entgleitet der IT-Abteilung die Sichtbarkeit, weil die Nutzung nun ueber private Mobilfunkverbindungen, Browserprofile mit privaten Konten und nichtverwaltete Endgeraete laeuft.

Schatten-KI entsteht aus drei Treibern, die fast jedes Unternehmen kennt. Der erste ist der Effizienzdruck: Sachbearbeiter im Vertrieb, im Einkauf, im Marketing erleben, wie ein Sprachmodell ihnen in Minuten erledigt, was vorher Stunden gekostet hat. Wenn das eigene Unternehmen keine genehmigte Loesung bereitstellt, entsteht der Workaround quasi automatisch.

Der zweite Treiber ist die soziale Norm: Wer auf LinkedIn liest, dass die Konkurrenz ihre Angebotsentwuerfe in 30 Sekunden produziert, kann nicht laenger zwei Tage darauf warten, dass die Rechtsabteilung den DPA prueft.

Der dritte Treiber ist die schiere Verfuegbarkeit: Sprachmodelle sind heute kostenlos in Browsern, in Office-Programmen, in Messengern und sogar in Suchmaschinen integriert. Eine technische Sperre, die wirklich greift, ist ohne dezidiertes Cloud Access Security Broker (CASB) oder zumindest URL-Filter im Proxy schwer zu realisieren – und schon gar nicht auf privaten Geraeten im Homeoffice.

Eine User Story aus der Praxis: Die Maschinenbau Lindner GmbH

Lassen Sie uns das Phaenomen an einem realistischen, fiktiven Beispiel durchexerzieren. Die Maschinenbau Lindner GmbH mit 240 Mitarbeitenden produziert Sondermaschinen fuer die Lebensmittelindustrie. Hauptsitz in Mittelhessen, ein Tochterbetrieb in Polen, Umsatz im niedrigen dreistelligen Millionenbereich. Klassisches deutsches Mittelstandsprofil, kein boersennotiertes Konstrukt.

Tag 1: Der Auftakt

Konstrukteur Markus Hesse arbeitet seit 14 Jahren bei Lindner. Im Maerz 2026 entwickelt er fuer einen Grosskunden in Frankreich eine neue Verpackungsanlage. Eine Spezifikation enthaelt einen Passus, fuer den er eine englischsprachige Variante braucht. Hesse nutzt seit einigen Monaten privat ChatGPT Plus, weil er es zuhause beim Verfassen von Bewerbungsunterlagen seiner Tochter schaetzen gelernt hat. Er kopiert den Auszug aus dem 80-seitigen technischen Pflichtenheft in den Browser-Tab, bittet das Modell um eine Uebersetzung mit technischem Sprachregister. In 20 Sekunden hat er das Resultat. Es ist exzellent. Markus Hesse ist begeistert.

Tag 8: Die Skalierung

Hesse zeigt zwei Kollegen, was er entdeckt hat. Innerhalb einer Woche kippt das Konstruktionsteam Stuecklisten, Schweissauszuege und CAD-Beschreibungen in den Chat – nicht aus Boswilligkeit, sondern weil das Werkzeug die Arbeit hervorragend unterstuetzt. Auch der Vertrieb steigt ein: Eine Mitarbeiterin laesst sich aus den letzten 30 Angeboten ein Standardanschreiben generieren. Das Modell "lernt" in dieser Phase die Lindner-Tonalitaet, die Lindner-Konditionen, die Lindner-Maschinentypen.

Tag 47: Der erste Hinweis

Der externe Datenschutzbeauftragte besucht im April 2026 turnusmaessig die Geschaeftsfuehrung. Er fragt beilaeufig, ob das Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit einem KI-Anbieter geschlossen habe. Der Geschaeftsfuehrer verneint, sichtlich irritiert: "Wir setzen kein KI-Tool ein." Der Datenschutzbeauftragte zeigt ihm einen Screenshot aus einer Microsoft-Defender-Warnmeldung der hauseigenen IT, die er sich vorab geben liess. Es ist eine Liste der ueber den Firmenproxy zugegriffenen Domains. chat.openai.com rangiert auf Platz 12 der meistbesuchten Adressen, deutlich vor linkedin.com.

Tag 52: Die Realitaet

Die IT-Abteilung wird beauftragt, eine Inventur durchzufuehren. Das Ergebnis ist niederschmetternd. 71 von 240 Mitarbeitenden haben in den letzten 30 Tagen mindestens einmal mit einem nicht genehmigten KI-Tool kommuniziert. Davon haben mindestens 14 grosse Datenmengen aus Konstruktion, Einkauf und Vertrieb in die Modelle eingegeben. Eine Stichprobenauswertung der wenigen ueber den Proxy mitgeschnittenen Anfrageinhalte zeigt: Mindestens drei Fragmente aus aktuellen Kundenprojekten sind in einer Form an Dritte gegangen, die nach Artikel 28 DSGVO eindeutig eine Auftragsverarbeitung dargestellt haetten – ohne dass diese vereinbart worden waere. Pikant: Eines der Projekte enthaelt Liefervereinbarungen mit einer Geheimhaltungsklausel, deren Verletzung eine vertraglich fixierte Pauschale in sechsstelliger Hoehe ausloest.

Tag 60: Die Eskalation

Die Geschaeftsfuehrung schaltet uns ein. Wir fuehren eine zweitaegige Bestandsaufnahme durch und treffen auf eine Gemengelage, die wir aus zahlreichen vergleichbaren Faellen kennen: hochmotivierte Mitarbeitende, die die Werkzeuge aus dem besten Grund verwendet haben (sie wollen schnell und gut arbeiten), eine IT-Abteilung, die mit der Geschwindigkeit der Tool-Adoption nicht Schritt haelt, eine Geschaeftsfuehrung, die KI bisher als Marketing-Phaenomen abgetan hat, und eine Datenschutzbeauftragten-Funktion, die strukturell eher auf Cookie-Banner als auf Sprachmodelle ausgerichtet ist.

Wir entscheiden uns mit Lindner gegen ein Verbot und fuer eine kontrollierte KI-Strategie. Die Begruendung ist pragmatisch: Wer 14 produktive Konstrukteure mit einem Verbot zwingt, in den Word-Modus zurueckzukehren, schraenkt das Unternehmen unmittelbar im Wettbewerb ein. Die Loesung muss sein: genehmigte Werkzeuge, klare Regeln, technische Kontrollen und gestaffelte Awareness.

Tag 90: Die neue Architektur

Drei Monate spaeter steht ein neues Setup. Lindner abonniert eine Microsoft 365 Copilot-Suite mit aktivem Data Protection und nutzt zusaetzlich einen unternehmensseitig administrierten OpenAI-Enterprise-Tenant fuer freie Konstrukteursanfragen. Beide Systeme sind ueber den hauseigenen Identity Provider angebunden, beide enthalten Auftragsverarbeitungsvertraege mit klaren EU-Hosting-Klauseln, beide sind in das interne SIEM integriert. Parallel fuehrt das Unternehmen eine KI-Richtlinie ein, die in einem zweiseitigen Dokument festhaelt, wofuer welches Werkzeug genutzt werden darf, welche Daten als "sensitiv" gelten und wie der Eskalationsweg bei Unsicherheiten ist.

Auf der technischen Seite blockt der hauseigene Proxy unautorisierte KI-Anwendungsdomains. Wer es trotzdem versucht, sieht eine kurze, freundliche Erklaerseite mit dem Hinweis auf den genehmigten Copilot. Die Schatten-KI-Nutzung sinkt innerhalb von vier Wochen um ueber 80 Prozent – nicht durch Sanktionen, sondern weil das genehmigte Werkzeug genauso gut funktioniert.

Die regulatorische Klammer: DSGVO, EU AI Act, NIS2

Was bei Lindner als Cyber-Vorfall angefangen hat, beruehrt mindestens drei regulatorische Rahmen. Der erste ist die DSGVO: Wer personenbezogene Daten in ein externes KI-Tool eingibt, ohne dass eine Rechtsgrundlage und ein AVV vorliegen, verstoesst gegen Artikel 28. Die Aufsichtsbehoerden haben in den letzten zwoelf Monaten begonnen, Schatten-KI-Faelle aktiv zu pruefen.

Der zweite Rahmen ist der EU AI Act. Ab dem 2. August 2026 gelten die Pflichten fuer Hochrisiko-Systeme, und ab dem 2. August 2027 die volle Wirkkraft. Wer KI-gestuetzte Systeme in HR-Prozessen, in der Bonitaetspruefung, im Sicherheitsmanagement oder in der kritischen Infrastruktur einsetzt, muss Risikoanalysen vorlegen, technische Dokumentation pflegen und menschliche Aufsicht organisieren. Schatten-KI-Nutzung kann keinem dieser Anforderungen genuegen, weil sie definitionsgemaess unsichtbar ist. Lesen Sie zur Vorbereitung auf den August unsere Tiefenanalyse zum EU AI Act und der 100-Tage-Frist.

Der dritte Rahmen ist NIS2. Seit der Verabschiedung des deutschen Umsetzungsgesetzes im November 2025 und seinem Inkrafttreten am 6. Dezember 2025 muessen Unternehmen, die als wichtige oder besonders wichtige Einrichtungen gelten, signifikante Sicherheitsvorfaelle melden und Risikomanagementmassnahmen dokumentieren. Eine unkontrollierte Schatten-KI-Landschaft ist im Sinne des NIS2-Risikomanagementsystems eine offene Flanke. Spaetestens beim ersten Audit wird sie zum Befund.

Die Bedrohungsperspektive: Wenn Schatten-KI selbst zum Angriffsvektor wird

Schatten-KI ist nicht nur ein Datenschutzthema. Sie ist auch ein Sicherheitsproblem im engeren Sinne. Drei Vektoren sind dabei besonders relevant.

Der erste ist Prompt Injection und Datenexfiltration. Wer Mitarbeitenden erlaubt, beliebige Webseiten in einem Sprachmodell zusammenfassen zu lassen, gibt Angreifern eine Plattform, ueber praeparierte Inhalte das Modell anzuweisen, die Konversation an externe Server zu schicken. Dass der Mitarbeitende das gar nicht bemerkt, ist Teil des Designs.

Der zweite Vektor sind kompromittierte oder gefaelschte KI-Apps. Im AppStore, im Chrome Web Store und auf Github finden sich tausende KI-Tools, die teilweise nichts weiter sind als Wrapper um echte Dienste – mit dem entscheidenden Zusatz, dass sie alle Anfragen mitloggen. Eine im April 2026 von b2b-cyber-security publizierte Analyse zeigt, dass mindestens 8 Prozent der untersuchten KI-Browsererweiterungen Daten an Drittserver senden, die mit dem eigentlichen Anbieter nichts zu tun haben.

Der dritte Vektor ist Modell-Halluzination als Social-Engineering-Hebel. Wenn ein Mitarbeitender ein Sprachmodell um eine technische Anweisung bittet ("Wie deaktiviere ich die Zwei-Faktor-Authentifizierung fuer einen Account?") und das Modell halluziniert, kann das fatale Folgen haben. Wir haben in einem unserer Audits einen Fall gesehen, in dem ein Mitarbeiter dem Hinweis eines Sprachmodells folgte und einen Webserver mit unsicheren TLS-Einstellungen exponierte. Die Anweisung war fachlich falsch, klang aber kompetent.

Die Handlungsempfehlung: Sechs Schritte zur kontrollierten KI-Nutzung

Wir empfehlen kleinen und mittelstaendischen Unternehmen, die bisher keine strukturierte KI-Strategie haben, das folgende Vorgehen, das wir mehrfach erfolgreich umgesetzt haben.

Schritt 1: Inventur ohne Strafcharakter. Beginnen Sie mit einer ehrlichen Bestandsaufnahme, welche KI-Werkzeuge im Unternehmen bereits genutzt werden. Sprechen Sie mit den Abteilungsleitungen, schauen Sie in die Proxy-Logs, schauen Sie in die SaaS-Abrechnungen. Wichtig: Diese Inventur darf nicht den Charakter einer Inquisition haben. Mitarbeitende, die offen zugeben, was sie nutzen, sind die wertvollste Datenquelle. Wer fuerchtet, dafuer abgemahnt zu werden, schweigt – und die Schatten-KI bleibt im Schatten.

Schritt 2: Allowlist statt Blocklist. Definieren Sie eine kleine Anzahl genehmigter Werkzeuge und kommunizieren Sie diese aktiv. Eine typische Allowlist im Mittelstand 2026 enthaelt Microsoft 365 Copilot, einen Enterprise-Tenant von OpenAI, Anthropic oder Mistral, eventuell ein lokal gehostetes Open-Source-Modell wie Llama oder DeepSeek fuer hochsensitive Faelle. Pro Werkzeug muss klar sein: Welche Datenklassen duerfen rein, welche nicht.

Schritt 3: Datenklassen definieren. Spaetestens jetzt brauchen Sie ein einfaches Datenklassifikationsmodell. Drei Klassen reichen in den meisten Mittelstaendlern: oeffentlich, intern, vertraulich. Die KI-Richtlinie definiert dann, welche Klasse in welchem Werkzeug verarbeitet werden darf. Bei vertraulich ist die Antwort meist: nur in lokal gehosteten Loesungen oder gar nicht.

Schritt 4: Technische Kontrollen. Ein DNS- oder Proxy-Filter, der unautorisierte KI-Domains blockiert, ist die erste Verteidigungslinie. Wer ein vorhandenes CASB oder eine Microsoft-Defender-for-Cloud-Apps-Lizenz hat, kann zusaetzlich Datenklassifikation in den HTTPS-Traffic einziehen, sodass vertrauliche Inhalte gar nicht erst zu externen Modellen gelangen. Auf Endgeraeten verhindert eine sauber konfigurierte Microsoft-Purview- oder vergleichbare DLP-Loesung, dass Mitarbeitende Inhalte einer bestimmten Klassifikation in einen Browser kopieren.

Schritt 5: Awareness ohne Frontalvortrag. Klassische Awareness-Schulungen mit 45-Minuten-Pflichtvideos haben bei KI-Themen nur begrenzte Wirkung. Wir empfehlen kurze, themenfokussierte Lerneinheiten – idealerweise mit echten Beispielen aus dem eigenen Unternehmen. Eine zehnminuetige Mikrosession "Was darf ich mit dem Copilot, was nicht?" wirkt mehr als ein zweistuendiges Compliance-Webinar.

Schritt 6: Governance, die mitwaechst. Eine KI-Richtlinie, die einmal geschrieben und im Intranet abgelegt wird, ist drei Monate spaeter veraltet. Empfehlenswert ist ein quartalsweiser KI-Governance-Termin auf Geschaeftsfuehrungsebene, in dem die Allowlist, die Datenklassen und der Auditbefund kurz besprochen werden. Damit bleibt das Thema operativ und nicht symbolisch.

Wo der Aktionsmonat mAI 2026 hilft

Die Transferstelle Cybersicherheit im Mittelstand bietet im Mai vier Webimpulse, die fuer Unternehmen ohne eigene KI-Governance einen sehr guten Einstieg darstellen. Der Auftakt am 5. Mai widmet sich neuen Bedrohungen durch KI in der Cyberkriminalitaet. Am 7. Mai geht es um Fuehrungsverantwortung und KI-Compliance. Der 19. Mai fokussiert auf Phishing-Erkennung mit KI-Werkzeugen. Der 21. Mai schliesst mit einer praktischen Einfuehrung in die Programmierung von KI-Agenten ab.

Foerderpartner ist das Bundeswirtschaftsministerium; die Veranstaltungen sind kostenfrei. Fuer Unternehmen, die mit dem Thema Schatten-KI bisher nicht systematisch umgegangen sind, ist das eine konzentrierte Gelegenheit, sich strukturiert in die Materie einzuarbeiten – ohne Beratervertrag und ohne Konferenzgebuehr.

Der breitere Blick: KI-Strategie ist Sicherheitsstrategie ist Geschaeftsstrategie

Schatten-KI ist letztlich ein Symptom. Das eigentliche Thema ist, dass die KI-Adoption in den Belegschaften vieler mittelstaendischer Unternehmen schneller stattfindet als die Strategiebildung in der Geschaeftsleitung. Die Diskrepanz zwischen Was machen unsere Leute schon? und Was haben wir formal beschlossen? ist der Naehrboden des Phaenomens.

Wir empfehlen Unternehmen deshalb, die KI-Strategie nicht als isoliertes Projekt aufzusetzen, sondern als Teil einer integrierten Strategiearbeit. Eine kompakte KI-Strategie auf zehn bis fuenfzehn Seiten, die Anwendungsfaelle priorisiert, Risiken benennt und einen Fahrplan ueber zwoelf bis 18 Monate aufzeigt, ist meist die richtige Investitionsgroesse fuer den Mittelstand. Sie schliesst typischerweise direkt an die Informationssicherheits-Strategie an, weil beide Gewerke in den naechsten Jahren immer staerker verschmelzen.

Ein Ausblick: Was wir bis Ende 2026 erwarten

Drei Entwicklungen halten wir fuer wahrscheinlich. Erstens: Die Aufsichtsbehoerden werden Schatten-KI aktiv pruefen. Erste Bussgeldbescheide gegen Unternehmen, die personenbezogene Daten ungeordnet in externe Modelle einspeisen, sind absehbar. Zweitens: Hersteller von KI-Werkzeugen werden ihre Enterprise-Angebote in einem Tempo ausbauen, das den Mittelstand teilweise ueberfordert. Wer keine klare Beschaffungslogik hat, wird sehr schnell in einer Situation sein, in der zehn Werkzeuge parallel laufen, von denen drei einander widersprechen. Drittens: Versicherungen werden bei Cyber-Policen anfangen, KI-Governance als Pruefkriterium aufzunehmen – sowohl beim Underwriting als auch bei der Schadensregulierung.

Wer die naechsten zwoelf Monate als Zeitraum fuer einen ruhigen, strukturierten Aufbau der eigenen KI-Governance nutzt, hat hervorragende Chancen, am Ende stabiler aufgestellt zu sein als der Wettbewerb. Wer das Thema weiter unter dem Tisch laufen laesst, riskiert in nicht allzu ferner Zukunft, eine Mischung aus DSGVO-Bussgeld, Auditfeststellung im NIS2-Kontext und Reputationsschaden zu ernten.

Wie wir unterstuetzen

Wir begleiten mittelstaendische Unternehmen seit Jahren in der Schnittmenge aus Informationssicherheit, KI-Strategie und Compliance. Eine typische Schatten-KI-Bestandsaufnahme dauert bei uns zwei bis drei Wochen und endet mit einem konkreten Massnahmenplan, der sowohl die organisatorischen als auch die technischen Stellschrauben adressiert. Bei Bedarf setzen wir die Massnahmen anschliessend gemeinsam mit der internen IT um – von der KI-Richtlinie ueber den Allowlist-Aufbau bis hin zur Konfiguration der DLP-Werkzeuge im Microsoft-365-Tenant.

Wenn Sie sich in den Schilderungen der Maschinenbau Lindner GmbH zumindest in Teilen wiederfinden, lohnt sich ein erstes Gespraech. Es muss nicht sofort ein grosses Projekt sein – oft genuegt eine zweistuendige Standortbestimmung, um die naechsten drei Schritte klar zu sehen. Den Termin koennen Sie ueber unser Kontaktformular anfragen.

Schatten-KI ist kein Fehler einzelner Mitarbeitender. Sie ist ein Indikator dafuer, dass die Belegschaft schneller in der Zukunft angekommen ist als die Governance. Aufgabe der Geschaeftsfuehrung im Mai 2026 ist es, diese Diskrepanz zu schliessen – nicht durch Verbote, sondern durch einen attraktiveren, sicheren und kontrollierten Pfad in die produktive KI-Nutzung. Der Aktionsmonat mAI 2026 ist ein guter Anlass, mit dieser Arbeit zu beginnen.