Research

Die realen Kosten von Schatten-KI im Jahr 2026

Europäische CISOs unterschätzen das Volumen von Schatten-KI um den Faktor 4 bis 6. Was die Daten wirklich sagen und drei Kennzahlen, die Sie dieses Quartal messen sollten.

ZTZeuslock Team··6 min
Dunkles Leitstand-Dashboard mit einer Flotte nicht sanktionierter generativer KI-Tools, die aus Firmenbrowsern aufgerufen werden, und steigenden Anzeigen zur Trefferrate sensibler Daten.

Die Zahl, die CISOs immer wieder falsch schätzen

Fragen Sie den Sicherheitsverantwortlichen eines europäischen Unternehmens mit 2.000 Mitarbeitenden, wie viele unterschiedliche Tools für generative KI seine Belegschaft in einer beliebigen Woche nutzt. Die übliche Antwort liegt zwischen fünf und acht. Die übliche Realität, sobald jemand die Browser-Flotte tatsächlich instrumentiert, liegt eher bei dreißig. Wir sehen das im Finanzwesen, in Industriegruppen, bei Softwareunternehmen, bei Regionalbanken. Die Lücke ist konstant: CISOs unterschätzen das Volumen von Schatten-KI um den Faktor vier bis sechs.

Das ist kein Rundungsfehler. Das ist der Unterschied zwischen einem Risiko, das Sie modelliert haben, und einem Risiko, das jedes Quartal still anwächst, während Ihr Governance-Komitee die einzige sanktionierte ChatGPT-Enterprise-Lizenzgruppe freigibt.

Was Schatten-KI im Jahr 2026 wirklich kostet

Die Kosten sind nicht theoretisch. Es gibt eine kleine, aber wachsende öffentliche Aktenlage von Vorfällen, die alle demselben Muster folgen: Ein Mitarbeitender fügt etwas in ein Modell ein, das er oder sie nicht kontrolliert, und die Daten verlassen das Unternehmen.

  • Samsung Semiconductor, 2023: drei separate Vorfälle innerhalb von rund zwanzig Tagen, in denen Ingenieure proprietären Quellcode und interne Sitzungsnotizen in ChatGPT eingefügt haben. Samsung reagierte mit einem rigorosen Verbot von Consumer-KI auf Firmengeräten.
  • Amazon, Anfang 2023: Die Rechtsabteilung warnte intern davor, vertrauliche Informationen mit ChatGPT zu teilen, nachdem das Unternehmen Modell-Ausgaben beobachtet hatte, die Amazon-internen Daten ähnelten.
  • Microsoft, 2023 und 2024: wiederholte interne Hinweise, die den Einsatz von KI-Tools Dritter für vertrauliche Arbeit einschränken.

Das sind die Vorfälle, die öffentlich wurden. Die, die nicht öffentlich werden, sehen eher so aus: Ein Junior-Analyst fügt am Sonntagabend einen Entwurf des Ergebnismodells in einen kostenlosen Chatbot ein. Eine HR-Generalistin nutzt einen Übersetzungsassistenten, um ein Kündigungsschreiben sprachlich aufzupolieren, das sämtliche Identifikatoren der betroffenen Person enthält.

Der IBM Cost of a Data Breach Report beziffert die weltweiten Durchschnittskosten eines Datenlecks auf 4,45 Mio. $. Wir nennen diese Zahl bewusst nur einmal, weil die nützlichere Diskussion nicht über den Durchschnitt geht, sondern über die Fälle, die Sie überhaupt nicht sehen.

Die DeepSeek-Frage

Wenn Sie für Ihren nächsten Risikoausschuss ein kanonisches "Was könnte schon schiefgehen"-Beispiel brauchen, nehmen Sie DeepSeek. Hochwertiges, kostenloses, aus China kontrolliertes Modell mit Nutzungsbedingungen, die explizit die Weiterverwendung von Eingaben zum Training vorsehen, betrieben auf einer Infrastruktur, die in keinem sinnvollen Sinn der europäischen Jurisdiktion unterliegt.

Jeder Prompt an ein unkontrolliertes Modell ist ein kostenloser Beitrag zum Trainingskorpus von jemand anderem. Manchmal ist dieser jemand anderes ein Wettbewerber. Manchmal ein ausländischer Nachrichtendienst. Sie entscheiden nicht, wer.

Der Punkt ist nicht, dass DeepSeek einzigartig schlecht wäre. Der Punkt ist: Der typische Mitarbeitende im europäischen Mittelstand unterscheidet in der Praxis nicht zwischen DeepSeek, ChatGPT, Claude, Gemini, Mistral, Perplexity, Poe und You.com, wenn er in den nächsten neunzig Sekunden eine Antwort braucht. Er nimmt, was auf dem Firmenlaptop am schnellsten lädt. Ihre Aufgabe ist es, diese Entscheidung an Netzwerk- und Endpoint-Ebene für ihn zu treffen, bevor irgendetwas eingefügt wird.

Die drei Kennzahlen für dieses Quartal

Man kann nicht steuern, was man nicht zählt. Drei Zahlen sollten europäische Sicherheitsteams ab sofort verfolgen. Keine erfordert einen Beschaffungszyklus. Alle werden Sie überraschen.

1. Inventar sanktionierter vs. nicht sanktionierter Tools

Starten Sie eine ehrliche Discovery aus Browser-Telemetrie, DNS-Logs und Endpoint-Signalen. Die Zielausgabe ist eine zweispaltige Liste: Tools mit Vertrag, Tools ohne Vertrag. Wir sehen diese Liste in einer Organisation ab 1.000 Personen praktisch nie mit weniger als dreißig unterschiedlichen KI-Zielen zurückkommen. Der Long Tail enthält browserbasierte Code-Assistenten, Nischen-Summarizer, KI-PDF-Tools, Recruiting-Copilots und mindestens ein Modell, von dem in der Security niemand gehört hatte.

2. Tägliche Prompts pro Wissensarbeiter-VZÄ

Der Median liegt in den Deployments, die wir beobachten, bei rund zweiundzwanzig Prompts pro Wissensarbeiter und Tag. Diese Zahl ist isoliert fast wertlos, weil die Varianz nach Abteilung enorm ist. Engineering und Produkt liegen jenseits der sechzig. Finance, das in Umfragen systematisch zu wenig angibt, liegt bei realer Messung bequem über dem Median. Recht und HR sind im Volumen niedriger, aber pro Prompt sensibler. Vertrieb formuliert vor allem Texte, mit überschaubarem Risiko. Verfolgen Sie die Verteilung pro Abteilung, nicht den globalen Mittelwert.

3. Trefferrate sensibler Daten

Von hundert Prompts, die die Organisation verlassen, wie viele lösen mindestens einen Ihrer Sensitiv-Detektoren aus — Zugangsdaten, API-Schlüssel, IBANs, personenbezogene Daten, Quellcode mit eingebetteten Secrets, Kundenkennungen? In realen Zeuslock-Deployments im europäischen Mittelstand liegt die typische Trefferrate zwischen sechs und neun Prozent. Wenn Sie in einer Organisation mit 2.000 Personen täglich dreißigtausend Prompts verarbeiten, sind das zwischen 1.800 und 2.700 sensible Prompts pro Tag. Pro Tag.

Wo die Lecks tatsächlich entstehen

Drei Abteilungen verursachen den Großteil der Lecks, und es sind nicht die, um die sich der durchschnittliche CISO am meisten sorgt.

Finance — der untererfasste Spitzenreiter

Finance-Teams sind in vielen europäischen Unternehmen leise die größten KI-Nutzer, weil Excel-Abstimmungen, narratives Reporting, Board-Pack-Entwürfe, FX-Kommentare und Abweichungsanalysen genau das sind, was LLMs gut können. Sie verarbeiten zugleich die Daten mit dem schlimmsten Blast Radius: Cap Tables, M&A-Modelle, Ergebnis-Entwürfe, kundenscharfe Umsätze, Lieferantenverträge. Umfragen unterschätzen die KI-Nutzung im Finance-Bereich systematisch, weil diese Arbeit per Default privat ist. Telemetrie lügt nicht.

HR — die Fabrik für personenbezogene Daten

HR weist die höchste Dichte personenbezogener Daten pro Prompt im ganzen Unternehmen auf. Kündigungsschreiben, Leistungspläne, Disziplinarvermerke, Aufenthaltsunterlagen, Lohnabrechnungsausnahmen — all das enthält in der Regel vollständige Namen, Anschriften, nationale Kennungen (Steuer-ID in Deutschland, NIR in Frankreich, NIE in Spanien), Gehaltsbänder und manchmal medizinischen Kontext. Ein einziges unachtsames Einfügen in einen Consumer-Chatbot, und Sie sitzen in einem Gespräch mit BfDI, CNIL oder AEPD.

Entwickler — Code und Secrets

Ingenieure fügen Code ein. Das ist der Job. Was sie ebenfalls einfügen, oft ohne es zu bemerken, ist die .env-Datei, der Connection String, der AWS-AKIA-Key, das OpenAI-sk--Token, das GitHub-ghp_-Token, der JWT, den sie gerade debuggt haben, das SQL mit echten Kundendaten in der WHERE-Klausel. Tools wie Claude Code, Cursor, Copilot CLI und Aider haben das schneller und unsichtbarer gemacht, nicht weniger. Das Code-plus-Secrets-Leck ist das, das im Trainingslauf eines öffentlichen Modells landet — und am schwersten zurückzuholen ist.

Warum die 4- bis 6-fache Unterschätzung passiert

Drei strukturelle Gründe, keiner davon liegt am faulen CISO.

  • Self-Report-Bias. Interne KI-Nutzungsumfragen werden von Menschen beantwortet, die wissen, dass KI-Nutzung vage unerwünscht ist. Sie runden nach unten.
  • Tunnelblick auf sanktionierte Tools. Sobald ChatGPT Enterprise oder Copilot for Microsoft 365 läuft, konzentriert sich die Governance-Aufmerksamkeit darauf, und der Long Tail kostenloser Tools wird unsichtbar.
  • Browser als Betriebssystem. Der Großteil der Schatten-KI passiert inzwischen vollständig im Browser-Tab. Netzwerk-DLPs, die für Datei-Uploads konzipiert wurden, sehen ein Einfügen in ein Textfeld nicht.

Die klare Position

Die meisten europäischen Security-Organisationen behandeln generative KI immer noch als Beschaffungsfrage — auf welchen Anbieter standardisieren wir uns, welche AVV unterschreiben wir. Notwendig, aber bei Weitem nicht ausreichend. Die tatsächliche Exposition ist Verhalten, verteilt über die gesamte Belegschaft, gemessen in Einfügeoperationen pro Tag, nicht in Sitzplätzen pro Jahr. Solange Sie das Einfügen nicht instrumentieren, steuern Sie ein Modell, das nicht Ihnen gehört.

Was Sie dieses Quartal messen sollten — Checkliste

  1. Ein Tool-Inventar aufbauen: jedes KI-Ziel, das in den letzten 30 Tagen von einem Firmenbrowser oder -gerät berührt wurde, Spalte sanktioniert vs. Spalte nicht sanktioniert.
  2. Tägliches Prompt-Volumen pro Wissensarbeiter-VZÄ messen, aufgeschlüsselt nach Abteilung. Erwarten Sie einen Median um 22 und einen Long Tail oberhalb von 60.
  3. Zwei Wochen lang eine Sensitiv-Daten-Erkennung über ausgehende Prompts laufen lassen. Trefferrate in Prozent und absolutes Tagesvolumen reporten.
  4. Die drei stärksten Leck-Abteilungen identifizieren, nach Trefferrate, nicht nach Headcount. Wetten Sie auf Finance, HR und Engineering in den Top 3.
  5. Die fünf nicht sanktionierten Tools mit dem höchsten Volumen auswählen. Für jedes entscheiden: sanktionieren, blockieren oder mit Anonymisierung überwachen. Entscheidung dokumentieren.
  6. Ein 90-Tage-Review mit denselben fünf Kennzahlen ansetzen. Der Trend zählt mehr als absolute Werte.
  7. Den Prüfungsausschuss über den Trend briefen, nicht über den Durchschnitt. Die IBM-Zahl ist Kontext. Ihre Trefferrate ist die operative Wahrheit.

Wenn Sie auf der Detektionsseite einen Startpunkt brauchen: Zeuslock liefert mehr als dreißig Sensitiv-Daten-Muster out-of-the-box mit und einen progressiven Rollout Monitor → Anonymisieren → Blockieren, mit dem Sie zuerst messen und dann durchsetzen. Siehe den Leitfaden zu Erkennungsrichtlinien für den Operator-Ablauf.

Protect your data from AI leaks

Try Zeuslock free — DLP for ChatGPT, Claude, Gemini and more.

Book a demo →