Ihre Organisation nutzt bereits KI-Tools, die niemand genehmigt hat. Diese Bewertungsmethodik zeigt, was läuft, wo — und welche Daten dabei berührt werden.
Schatten-KI ist kein Randphänomen. In den meisten Organisationen gibt es zwischen fünfzehn und vierzig nicht genehmigte KI-Tools — viele davon bereits in der Produktion. Das Risiko ist real, messbar und durch Governance beherrschbar.
Mitarbeitende laden Kundendaten, Vertragsunterlagen und interne Strategiedokumente in externe KI-Dienste hoch — ohne zu wissen, dass diese Daten für das Modell-Training genutzt werden können.
NIS2-Artikel 21 verlangt Supply-Chain-Security-Kontrollen. Jeder nicht genehmigte KI-Drittdienst ist ein potenziell nicht gemeldeter Verarbeitungspartner — ein Haftungsrisiko im nächsten Audit.
Wenn KI-Tools autonom in Prozessen agieren, ohne dokumentierte Aufsicht, können ISO 42001 und der EU AI Act Anforderungen zu menschlicher Kontrolle nicht mehr erfüllt werden.
Ein Asset-Register, das KI-Tools nicht enthält, ist nach ISO 27001 Annex A unvollständig. Auditoren werden diese Lücke identifizieren — besser Sie tun es zuerst.
Eine strukturierte, zeitlich begrenzte Bewertung in zwei Wochen. Jede Phase liefert konkrete Erkenntnisse. Zusammen ergeben sie ein vollständiges Bild aller KI-Aktivitäten in Ihrer Organisation.
Erarbeitung einer einheitlichen Definition von Schatten-KI für Ihre Organisation. Dokumentation aller aktuell genehmigten KI-Plattformen als Ausgangsbasis.
Analyse von DNS-Anfragen und HTTPS-Traffic auf Verbindungen zu KI-Anbieter-Endpunkten. Identifikation unerwarteter Outbound-Flows von Endpoints, Microservices und CI/CD-Pipelines.
Prüfung von Identity-Provider-Autorisierungsprotokollen (Okta, Entra ID) auf Drittanbieter-KI-Berechtigungen, ungewöhnliche Datenzugriffe und automatisierte Datenexporte an KI-Dienste.
Inventarisierung installierter Browser-Erweiterungen, lokaler KI-Assistenten und Desktop-Copilots. Identifikation von Erweiterungen, die Unternehmensdaten an externe KI-APIs übertragen.
Prüfung von Repository-Audit-Logs, Abhängigkeitsmanifesten und Cloud-Logs auf KI-SDK-Ergänzungen, ausgestellte API-Schlüssel für KI-Anbieter und LLM-Aufrufe im Produktionscode.
Auswertung von Data-Loss-Prevention-Meldungen auf Uploads vertraulicher Dateien, Prompts mit proprietären Daten und auffällige Kopiervorgänge zu KI-Tool-Domänen.
Strukturierte Kurzinterviews mit Abteilungsvertretern zur Aufdeckung inoffizieller KI-Workflows, Automatisierungsskripte und technisch unsichtbarer KI-Integrationen.
Jedes entdeckte KI-Tool wird nach Datensensitivität, Systemrolle (assistierend vs. entscheidend), Anbieterrisiko und operationalem Impact klassifiziert. Niedrig / Mittel / Hoch / Kritisch.
Bewertung der Datenaufbewahrungsrichtlinien, Trainingsverwendung, geografischen Datenverarbeitung und vertraglichen Kontrollen der wichtigsten identifizierten KI-Anbieter.
Übergang von Discovery zu Action: KI-Allowlist, Prompt-Datenrichtlinien, Empfehlungen für ein Enterprise-KI-Gateway und ein KI-Awareness-Training-Briefing für Mitarbeitende.
Jedes Engagement liefert ein strukturiertes, prüfungssicheres Dokumentenpaket. Evidenzbasierte Erkenntnisse — nicht mehr und nicht weniger als das, was Sie für Maßnahmen benötigen.
Vollständiges Inventar aller entdeckten KI-Tools mit Herkunft, Datenexpositionsniveau, Genehmigungsstatus und Risikoklassifizierung.
Jedes Tool bewertet nach vier Dimensionen: Datensensitivität, Systemrolle, Anbieterrisiko und operationalem Impact. Mit priorisierter Maßnahmenliste.
Mapping der identifizierten Schatten-KI-Nutzung gegenüber den Anforderungen des ISO/IEC 42001-KI-Managementsystems und den NIS2-Lieferkettenpflichten.
Priorisierte Empfehlungen: KI-Allowlist, Prompt-Datenrichtlinie, Enterprise-Gateway-Optionen und ein Awareness-Training-Briefing für Mitarbeitende.
Eine einseitige, board-taugliche Zusammenfassung der Erkenntnisse, der Risikolage und der drei wichtigsten Sofortmaßnahmen — geeignet für die Präsentation vor der Geschäftsleitung.
Eine strukturierte Review-Sitzung vier Wochen nach Lieferung zur Fortschrittsbewertung, Beantwortung interner Stakeholder-Fragen und Verfeinerung der Governance-Strategie.
Schatten-KI ist selten böswillig. In den meisten Fällen signalisiert sie einen Produktivitätsbedarf, der die bestehenden Governance-Strukturen übersteigt. Organisationen, die dies rein als Sicherheitsproblem behandeln, scheitern. Diejenigen, die es als Governance- und Workflow-Transformations-Herausforderung angehen, haben Erfolg.
Die tiefere Frage ist nicht nur wo Schatten-KI existiert — sondern warum Mitarbeitende das Bedürfnis verspüren, offizielle Tools zu umgehen. Discovery deckt das auf. Governance adressiert es.
Diese Bewertung ist für Organisationen konzipiert, die unter aktivem Regulierungsdruck stehen — nicht für Unternehmen, die ein Security Operations Center aufbauen wollen.
Die Ergebnisse sind so strukturiert, dass sie direkt in Ihre bestehenden Compliance-Verpflichtungen einfließen. Eine Discovery-Übung, mehrfacher Nutzen.
Die Bewertung ist strukturiert, zeitlich begrenzt und liefert prüfungsfertige Ergebnisse. Ein 30-minütiges Scoping-Call genügt, um zu klären, ob Ihre Organisation der richtige Fit ist.
30-Minuten-Call buchenAlle Gespräche sind vertraulich. Keine Verpflichtung erforderlich.
