Ich treffe jede Woche IT-Leiter und Sicherheitsverantwortliche. Im vergangenen Jahr ist eine Frage in fast jedem Meeting aufgetaucht: "Wie wissen wir, was unsere Mitarbeiter mit KI machen?"
Die Frage ist berechtigt. Microsofts Datensicherheitsindex 2026 zeigt, dass 32 % der Datensicherheitsvorfälle in Organisationen mit der Nutzung generativer KI-Tools zusammenhängen. Über 70 % der Mitarbeiter bringen eigene KI-Tools zur Arbeit mit. 58 % nutzen persönliche Geräte, um auf GenAI bei der Arbeit zuzugreifen.
Die Zahlen überraschen mich nicht. Sie bestätigen, was ich in den Gesprächen höre.
Das Problem heißt Shadow AI
Mitarbeiter nutzen ChatGPT, Copilot oder andere Tools, ohne dass das Unternehmen davon weiß. Sie melden sich mit privaten Konten an. Sie fügen Kundendaten, Vertragstexte, interne Kommunikation ein. Nicht aus böser Absicht, sondern weil die Tools ihnen tatsächlich helfen, schneller zu arbeiten.
Aber jedes Mal, wenn jemand eine Kundenliste in ein unkontrolliertes KI-Tool einfügt, verlassen Daten die Firewall des Unternehmens. Niemand weiß, wo sie landen. Niemand kann sie nachverfolgen.
Die IDC-Studie Frontier Firms (November 2025, 4.000 Organisationen weltweit) bestätigt, dass dies nicht nur ein schwedisches Problem ist. 31 % aller Organisationen nennen Sicherheit und Datenschutz als größtes Hindernis für die Implementierung von GenAI. 29 % heben Governance, Souveränität und Qualität hervor. Das Problem wächst, je mehr Tools auf den Markt kommen.
In der Sicherheitsbranche, in der ich seit über 30 Jahren tätig bin, ist dies ein direktes Geschäftsrisiko. Unsere Kunden betreiben Videoüberwachung, Zutrittskontrollsysteme, Alarmdaten. Die Informationen sind per Definition sensibel.
Die Lösung ist nicht, KI zu verbieten
35 % der Organisationen erwarten im nächsten Jahr mehr Vorfälle, aber die Antwort ist nicht, alles abzuschalten. Die Antwort ist, den Mitarbeitern zugelassene Tools zu geben, die mindestens so gut sind wie die unkontrollierten Alternativen.
Genau das tun wir bei Walma. Wir bauen KI-Assistenten, die in der eigenen, isolierten Umgebung des Kunden in Azure Sweden laufen. Alle Daten bleiben in Schweden. Jeder Kunde hat seine eigene Datenbank, seine eigene URL, seine eigene Zugriffskontrolle. Die Mitarbeiter bekommen eine KI, die ihre Fragen tatsächlich beantwortet, mit Quellenangaben zu den internen Dokumenten. Und die IT-Abteilung kann genau sehen, was passiert.
47 % der Organisationen implementieren jetzt spezifische GenAI-Kontrollen, ein Anstieg um 8 Prozentpunkte seit 2024. Der Trend ist klar. Am erfolgreichsten sind diejenigen, die den Mitarbeitern bessere Alternativen bieten, nicht mehr Verbote.
Was tun Sie?
Wenn Sie das nächste Mal hören, dass ein Mitarbeiter ChatGPT nutzt, um in Ihren Richtliniendokumenten zu suchen, fragen Sie sich: Warum haben wir kein internes Tool, das dasselbe tut, aber sicher?
