So behältst du die Kontrolle über KI-Apps in deinem Unternehmen

Deine Marketing-Leitung installiert ChatGPT Desktop. Dein Entwickler fügt drei Copilot-Plugins hinzu. Dein Finance-Team entdeckt ein lokal laufendes LLM auf einem Dienstlaptop. Niemand hat die IT gefragt – weil es kein dediziertes IT-Team gibt. Die Produktivitätsgewinne sind real. Die Risiken aber auch: Unternehmensdaten fließen in Drittanbieter-Modelle, ungeprüfte Apps erhalten weitreichende Systemberechtigungen, und Lizenz-Sprawl, den niemand im Blick hat.

Das ist KI-gestütztes Shadow IT – und es ist das am schnellsten wachsende IT-Governance-Problem 2026. Programs.com berichtet, dass 98 % der Unternehmen Mitarbeitende haben, die nicht genehmigte Apps nutzen – darunter Shadow AI. Wenn du für das IT-Asset-Management in deinem Unternehmen verantwortlich bist, erfährst du hier, wie du die Kontrolle zurückgewinnst* – ohne die Produktivität zu bremsen.

Warum KI-Apps sich von klassischem Shadow IT unterscheiden

Shadow IT ist kein neues Phänomen. Mitarbeitende haben sich seit Jahren für nicht autorisierte SaaS-Tools angemeldet. Aber KI-Apps bringen Risiken mit sich, die klassisches Shadow IT nie hatte – und Mitarbeitende werden nicht aufhören, sie zu nutzen.

Erstens laufen viele KI-Tools lokal auf Geräten. ChatGPT Desktop, lokale LLMs und Coding-Assistenten leben nicht einfach in einem Browser-Tab. Sie installieren sich auf dem Betriebssystem, fordern weitreichende Berechtigungen wie Bildschirmzugriff und Dateizugriff an und können sensible Unternehmensdaten aufnehmen. Das macht sie zu einem Problem auf Geräteebene – nicht nur zu einer SaaS-Management-Frage.

Zweitens ist die Adoptionsgeschwindigkeit beeindruckend. IBM fand heraus, dass die Nutzung generativer KI-Anwendungen durch Unternehmensangestellte von 2023 auf 2024 von 74 % auf 96 % gestiegen ist – und mit diesem Wachstum stieg auch Shadow AI. Wenn fast jede Mitarbeiterin und jeder Mitarbeiter generative KI nutzt, wächst die Angriffsfläche für Datenlecks und Compliance-Verstöße dramatisch.

Drittens werden Mitarbeitende nicht aufhören. Eine Umfrage von Software AG ergab, dass 50 % der Mitarbeitenden nicht autorisierte KI-Tools nutzen – und 46 % von ihnen sagen, sie würden das auch dann fortsetzen, wenn es ihr Unternehmen ausdrücklich verbietet (ISC2 Community). KI pauschal zu verbieten funktioniert nicht. Du brauchst einen intelligenteren Ansatz – einen, der zentrales Device Management mit einem praxistauglichen Governance-Framework verbindet.

Schritt 1: Sichtbarkeit darüber gewinnen, was bereits installiert ist

Du kannst nicht managen, was du nicht siehst. Bevor du irgendeine Richtlinie formulierst, brauchst du ein vollständiges Bild aller Anwendungen, die auf jedem Unternehmensgerät installiert sind.

Das bedeutet: automatisierte Software-Inventarisierung – keine geteilte Tabellenkalkulation, die jemand quartalsweise aktualisiert. Manuelle Erfassung bricht zusammen, sobald dein Team 20 Personen überschreitet. In einem 60-köpfigen Unternehmen könnten leicht Dutzende nicht autorisierter KI-Tools auf deiner Geräteflotte installiert sein, ohne dass irgendjemand es bemerkt. Du brauchst ein System, das dir eine vollständige, aktuelle Übersicht aller installierten Anwendungen auf macOS- und Windows-Geräten liefert.

Beantworte zunächst drei Fragen:

• Welche KI-Apps laufen bereits auf Unternehmens-Laptops?
• Wer hat sie installiert, und wann?
• Welche Berechtigungen wurden diesen Apps erteilt?

Die Antworten werden dich wahrscheinlich überraschen. Mit deeploi muss dafür nichts von Grund auf neu aufgebaut werden. Unser Plattform-Dashboard bietet Monitoring aller Geräte, Nutzenden, Systemzustände und installierten Software – damit siehst du genau, welche Anwendungen auf deiner Flotte laufen. Wenn du etwas Unbekanntes oder Riskantes entdeckst, reagiert unser IT-Support-Team im Durchschnitt innerhalb von 12 Minuten, um dir bei der Einschätzung und dem weiteren Vorgehen zu helfen.

Schritt 2: Einen schlanken Freigabeprozess für KI-Apps aufbauen

Sobald du weißt, was draußen ist, brauchst du einen Prozess zur Bewertung und Genehmigung von KI-Tools. Das Schlüsselwort ist hier: schlank. Ein dreiwöchiger Beschaffungsprozess garantiert, dass Mitarbeitende ihn vollständig umgehen.

Baue ein einfaches Drei-Kategorien-System auf:

• Genehmigt: Geprüfte Tools, die Teams frei nutzen können. Sie erfüllen deine Anforderungen an Datenverarbeitung, DSGVO-Konformität und Sicherheit.
• Wird geprüft: Tools, die vielversprechend aussehen, aber noch nicht bewertet wurden. Mitarbeitende können sie anfragen, und du verpflichtest dich zu einer Entscheidung innerhalb von 48 Stunden.
• Gesperrt: Tools, die die Prüfung aufgrund von Datenschutzbedenken, fehlenden Enterprise-Vereinbarungen oder der Nutzung von Unternehmensdaten zum Modelltraining ohne Einwilligung nicht bestanden haben.

So sieht das in der Praxis aus: Ein KI-Schreibassistent, der einen Business-Tarif mit Auftragsverarbeitungsvertrag und explizitem Opt-out aus dem Modelltraining bietet? Genehmigt. Ein kostenloses Browser-Plugin, das E-Mails zusammenfasst, aber alle Eingabedaten auf nicht näher bezeichneten externen Servern ohne AVV speichert? Gesperrt. Ein neues KI-Coding-Tool, das ein Entwickler spannend findet, aber noch nicht geprüft wurde? Wird geprüft – mit einer Entscheidung innerhalb von 48 Stunden.

Bei der Bewertung jeder KI-App sind drei Kriterien entscheidend: Bietet der Anbieter einen Business- oder Enterprise-Tarif mit Auftragsverarbeitungsverträgen an? Trainiert das Tool seine Modelle mit den Eingaben deines Unternehmens? Und ist es DSGVO-konform und entspricht deinen internen Sicherheitsrichtlinien?

Ein schneller, transparenter Freigabeprozess gibt Mitarbeitenden einen legitimen Weg zu den Tools, die sie möchten. Wenn die offizielle Route schnell und fair ist, nutzen Menschen sie.

Schritt 3: MDM nutzen, um die Richtlinie auf jedem Gerät durchzusetzen

Eine Richtlinie ohne Durchsetzung ist nur ein Vorschlag. MDM (Mobile Device Management) ist die technische Ebene, die deine Freigabeentscheidungen über deine gesamte Geräteflotte in die Realität umsetzt.

MDM gibt dir die Möglichkeit, genehmigte Tools basierend auf Teamrollen automatisch auf Geräten bereitzustellen, Sicherheitsrichtlinien einheitlich auf macOS und Windows durchzusetzen, eine zentrale Inventarisierung aller installierten Software zu pflegen, um nicht autorisierte Apps zu erkennen, und Geräte aus der Ferne zu sperren oder zu löschen, wenn eine Mitarbeiterin oder ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht.

Die entscheidende Veränderung: von manuell zu zentral. Statt jede Mitarbeiterin und jeden Mitarbeiter zu bitten, ihre eigenen Tools zu installieren – und zu hoffen, dass sie die richtigen wählen – spielst du genehmigte Software über ein einziges Dashboard auf alle Geräte aus. Statt zu rätseln, was auf 60 Laptops installiert ist, siehst du alles an einem Ort.

Für Unternehmen ohne dediziertes IT-Team kann Einrichtung und Betrieb überwältigend wirken. Hier hilft eine All-in-One-IT-Plattform. Mit deeploi erhältst du plattformübergreifendes Device Management, zentrales Software-Deployment und Sicherheitsrichtlinien-Durchsetzung in einem einzigen Dashboard. Wir haben es so gebaut, dass HR-Manager, Office Manager, IT-Admins oder Gründerinnen und Gründer die Geräte und Software ihres Unternehmens ohne technisches Fachwissen verwalten können – und unser Experten-Support-Team ist immer für dich da. Keine Tickets, keine Zusatzkosten, mit einer durchschnittlichen Reaktionszeit von 12 Minuten.

Schritt 4: Befähigen, nicht nur einschränken

Unternehmen, die KI-Shadow-IT am besten in den Griff bekommen, reagieren nicht nur auf nicht genehmigte Tools. Sie stellen proaktiv genehmigte KI-Tools bereit, damit Mitarbeitende gar nicht erst suchen müssen.

Gedankenexperiment: Wenn dein Marketing-Team einen Schreibassistenten braucht, gib ihnen einen. Wenn deine Entwickler einen Coding-Copiloten wollen, deploye ihn, bevor sie anfangen. Wenn Mitarbeitende bereits Zugang zu geprüften KI-Tools haben, haben sie kaum Grund, nach nicht autorisierten Alternativen zu suchen.

Praktische Schritte für eine sichere KI-Adoption:

• Rollenbasierte Software-Bundles aufbauen, die genehmigte KI-Apps neben Standardtools wie Slack, Google Workspace oder Microsoft 365 enthalten.
• Diese Bundles automatisch beim Mitarbeiter-Onboarding bereitstellen.
• Die genehmigte App-Liste quartalsweise überprüfen und aktualisieren, da sich die KI-Landschaft schnell verändert.
• Eine Feedback-Schleife schaffen: Mitarbeitenden ermöglichen, neue Tools anzufragen, und verfolgen, welche Anfragen am häufigsten auftauchen.

Dieser Ansatz behandelt KI-Governance als kontinuierlichen Prozess – nicht als einmalige Razziaktion. Er stellt auch sicher, dass das Software-Lizenzmanagement sauber bleibt, da jedes KI-Tool zentral erfasst und verwaltet wird.

So sieht das in der Praxis aus

Stell dir ein 60-köpfiges Unternehmen vor, das eine IT-Management-Plattform wie deeploi nutzt. Das Marketing-Team erhält ChatGPT Team und Canva AI in seinem Software-Bundle. Das Entwicklungsteam bekommt GitHub Copilot. Das Finance-Team hat noch keine KI-Tools adoptiert, weil die Anbieterprüfung für ihr bevorzugtes Tool noch aussteht.

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter anfängt, kommt das Laptop vorkonfiguriert mit allen genehmigten Anwendungen an – einschließlich der KI-Tools, die für die jeweilige Rolle relevant sind. Kein manuelles Setup, kein Warten, keine Versuchung, etwas nicht Autorisiertes herunterzuladen, während man auf die IT wartet.

Shadow-AI-Vorfälle sinken – nicht weil das Unternehmen irgendetwas verboten hat, sondern weil Mitarbeitende bereits haben, was sie brauchen. Die IT-Integrationen verbinden HR-Systeme mit der Device-Management-Plattform, sodass Onboarding und Offboarding automatisch ablaufen. Wenn jemand das Unternehmen verlässt, wird der Zugang gesperrt und die IT-Verantwortliche oder der IT-Verantwortliche entscheidet genau, was mit Accounts und Daten passiert – ob archivieren, übertragen oder löschen.

Das ist der Unterschied zwischen reaktivem IT-Management und proaktiver IT-Governance. Das eine jagt Problemen hinterher. Das andere verhindert sie.

FAQ

Was ist Shadow IT und warum ist es für kleine Unternehmen relevant?

Shadow IT bezeichnet die Nutzung nicht autorisierter Anwendungen auf Unternehmensgeräten ohne IT-Genehmigung. Für kleine Unternehmen ist das besonders riskant, weil oft kein dediziertes IT-Team vorhanden ist, das Software-Installationen überwacht, Sicherheitsrichtlinien durchsetzt oder auf Datenschutzverletzungen durch ungeprüfte Tools reagiert.

Wie baue ich einen Software-Freigabeprozess für KI-Tools auf?

Beginne mit drei Kategorien: genehmigt, wird geprüft, gesperrt. Bewerte KI-Apps anhand von Datenschutzrichtlinien, DSGVO-Konformität und ob das Tool mit Unternehmensdaten trainiert wird. Verpflichte dich zu schnellen Prüfzeiten – idealerweise 48 Stunden – damit Mitarbeitende den Prozess nicht umgehen.

Kann MDM bestimmte KI-Apps auf Unternehmens-Laptops sperren?

Ja. Moderne MDM-Lösungen unterstützen App-Whitelisting und -Blocklisting, sodass du verhindern kannst, dass bestimmte KI-Anwendungen installiert werden, und gleichzeitig genehmigte Alternativen automatisch bereitstellst. Das funktioniert sowohl auf macOS- als auch auf Windows-Geräten.

Was ist der Unterschied zwischen KI-Apps verwalten und verbieten?

Das Verbieten von KI-Tools veranlasst Mitarbeitende, auf private Geräte oder Umwege auszuweichen – was die Sichtbarkeit noch weiter verringert. KI-Apps zu verwalten bedeutet: genehmigte Alternativen über rollenbasierte Software-Bundles bereitstellen, Richtlinien per MDM durchsetzen und eine Feedback-Schleife einrichten, damit Mitarbeitende neue Tools über legitime Wege anfragen können. Die Forschung ist eindeutig: Verbote reduzieren die Nutzung nicht. Sie treiben sie nur in den Untergrund.

Wie helfen rollenbasierte Software-Bundles bei der KI-Governance?

Rollenbasierte Bundles stellen sicher, dass jedes Team die benötigten KI-Tools vom ersten Tag an erhält – vorab genehmigt und automatisch bereitgestellt. Das reduziert nicht autorisierte Installationen, weil Mitarbeitende keine eigenen Tools suchen müssen. Bundles vereinfachen außerdem die Lizenzverfolgung und das Offboarding, da jedes Tool zentral verwaltet wird und Lizenzen automatisch zurückgefordert werden, wenn jemand das Unternehmen verlässt.

*Dieser Artikel bietet allgemeine Orientierung zur Verwaltung von KI-Anwendungen und Shadow IT in kleinen und mittelständischen Unternehmen. Er ersetzt keine professionelle IT-Sicherheits- oder Rechtsberatung. Für unternehmensspezifische Governance-Frameworks und Compliance-Anforderungen sollte ein qualifizierter IT-Sicherheitsspezialist oder Datenschutzbeauftragter hinzugezogen werden.