Auf den Punkt: Private Identitäten bei der Nutzung von Schatten-KI-Systemen hebeln zentrale Identity-Kontrollen aus und lassen etablierte Schutzmaßnahmen wie DLP ins Leere laufen.
Mitarbeiter nutzen private E-Mail-Adressen und persönliche Konten für generative KI-Tools wie ChatGPT oder Claude — diese Identitäten umgehen zentrale IAM-Strukturen und schwächen etablierte Sicherheitskontrollen erheblich.
Die flächendeckete Integration generativer KI in Unternehmen hat sich dem klassischen Schatten-IT-Problem entzogen: Mitarbeiter umgehen offizielle Compliance-Prozesse durch den Einsatz privater Accounts bei KI-Anbietern wie ChatGPT, Claude oder Midjourney. Anstatt zentrale IT-Freigaben abzuwarten, greifen Fachabteilungen eigenständig auf digitale Helfer zu und nutzen dabei private E-Mail-Adressen oder persönliche Profile. Das Microsoft und LinkedIn Work Trend Index dokumentiert, dass über 75 Prozent der weltweiten Wissensarbeiter generative KI-Werkzeuge am Arbeitsplatz einsetzen — überwiegend ohne IT-Autorisierung.
Das zentrale Sicherheitsrisiko liegt nicht nur in der unkontrollierten Weitergabe von Unternehmensdaten an externe Server, sondern in der Fragmentierung digitaler Identitäten: Zentrale Identity-and-Access-Management-Systeme (IAM) verlieren jegliche Sichtbarkeit über diese Zugriffe. Wenn ein Mitarbeiter über ein privates Google-Konto ein Geschäftsdokument an eine KI hochlädt, verlässt diese Information den geschützten Unternehmenskontext. Etablierte Schutzmechanismen wie Data Loss Prevention (DLP) bleiben wirkungslos, da das IAM-System die Identität nicht kennt und keine Kontrollpunkte für den Datentransfer gesetzt sind. Gartner prognostiziert, dass unregulierte Schatten-KI-Anwendungen bis 2026 für einen signifikanten Anteil der Datenpannen in Großunternehmen verantwortlich sein werden.
Technisch ermöglicht wird diese Fragmentierung durch OAuth-2.0-basierte Social Logins — ein Klick auf „Mit Google anmelden” oder „Mit Apple anmelden” reicht aus, um innerhalb von Sekunden funktionsfähige Profile zu erstellen. Der dabei ausgetauschte Autorisierungs-Token wird über standardmäßige HTTPS-Verbindungen übertragen, weshalb herkömmliche Firewalls den Vorgang als regulären Web-Traffic klassifizieren. IT-Abteilungen sehen zwar Verbindungen zu KI-Domains, können aber nicht differenzieren, ob es sich um autorisierte oder private Identitäten handelt. Die Gatekeeper-Funktion der Identitätsarchitektur geht verloren.
Um die Kontrolle zurückzugewinnen, setzen Unternehmen auf Enterprise-Schnittstellen und erweiterte OAuth-Flows: Durch Integration dieser privaten Identitäten in zentrale IAM-Systeme können IT-Abteilungen Zugriffe auf KI-Plattformen sichtbar machen und einer Governance unterwerfen. Damit entsteht ein Mapping zwischen den Schatten-Identitäten und den offiziellen Unternehmenskonten — Zugriffskontrolle und Monitoring werden wieder möglich. Der Ansatz akzeptiert, dass Mitarbeiter KI-Tools nutzen werden, zielt aber darauf ab, diese Nutzung wieder in die Sicherheitsarchitektur zu integrieren, anstatt sie zu blockieren.
Quelle: www.it-daily.net · Erschienen 29. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.