Gefahr durch Schatten-KI 31.10.2025, 14:00 Uhr

Wenn KI-Code unkontrolliert ins Spiel kommt, wächst das Risiko

Mit dem Einsatz generativer KI-Modelle wächst eine neue Herausforderung: sogenannte „Schatten-KI“.  Denn Mitarbeitende nutzen verstärkt ChatGPT und Co., um zu programmieren. Oft ohne Wissen und Zustimmung des Unternehmens. Die Sicherheitsrisiken sind beträchtlich.

Programmieren

Beim unbedarften Programmieren mit eigenen KI-Tools entsteht eine gefährliche Schatten-KI.

Foto: Smarterpix / freedomtumz

Beliebt ist der Einsatz solcher KI-Modelle bei Mitarbeitenden zum Beispiel, um eine Anwendung mit quelloffenen Schnittstellen zu erstellen. Durch solche Schatten-KI entsteht dann KI-generierter oder KI-unterstützter Programmcode außerhalb etablierter Prozesse und gelangt sogar in Produktionsumgebungen.

Unternehmen profitieren zwar von schnelleren Entwicklungszyklen und effizienteren Abläufen, müssen aber mit deutlichen „Nachwehen“ rechnen. Denn nicht selten entstehen durch unprofessionell erstellte Codeschnipsel Sicherheitslücken, die dann von Hackern und Cyberkriminellen ausgenutzt werden können. Experten gehen davon aus, das 62 % aller KI-generierten Codes fehlerhaft oder verwundbar sind.

Vor diesem Hintergrund wächst der Bedarf an neuen Sicherheitsstrategien. Nicht die vollständige Verbannung von KI ist gefragt, sondern ihre konsequente Einbindung und beherrschte Nutzung. Ein solcher Ansatz beginnt beim sogenannten Prompt-Management: Wer darf generell KI-Tools zur Programmierung nutzen? Welche Bibliotheken und Modelle sind zugelassen? Was darf bearbeitet werden? Welche Sicherheits- und Compliance-Standards gelten?

Bereits bei der Codegenerierung durch KI-Assistenten muss klar sein, wie der erzeugte Code in die etablierten Sicherheitsprozesse eingebettet wird – mit statischer Codeanalyse (SAST), Analyse der Softwarezusammensetzung (SCA) und Überwachung möglicher Geheimnisse oder Bibliotheksabhängigkeiten. Denn nur so lässt sich verhindern, dass KI-Code unbeachtet Risiken erzeugt.

Top Stellenangebote

Zur Jobbörse
HOCHBAHN U5 Projekt GmbH-Firmenlogo
Projektleiter U5-Betriebsführungssystem - vollautomatisches U-Bahn-System (w/m/d) HOCHBAHN U5 Projekt GmbH
Hamburg Zum Job 
ERGO Group AG-Firmenlogo
Objektmanager Bautechnik (m/w/d) ERGO Group AG
Köln Zum Job 
Klinikum Leverkusen Service GmbH-Firmenlogo
Projektmanager (m/w/d) Bau & Technik Klinikum Leverkusen Service GmbH
Leverkusen Zum Job 
Leviat GmbH-Firmenlogo
Diplom-Ingenieur (TH/FH) (m/w/d), Master/Bachelor (m/w/d), Dr.-Ing. (m/w/d) im Bereich «Bewehrungssysteme / Verankerungssysteme« Konstruktiver Ingenieurbau / Massivbau Leviat GmbH
Langenfeld (Rheinland) Zum Job 
SODECIA Safety & Mobility Attendorn GmbH-Firmenlogo
Leitender Produktentwicklungsingenieur - Extrusion, Motoren & Sonstiges / Chief Product Engineer - Extrusion, Engines & Others (m/f/d) SODECIA Safety & Mobility Attendorn GmbH
Attendorn Zum Job 
Beckhoff Automation GmbH & Co. KG-Firmenlogo
Ingenieur (m/w/d) Vertrieb Automatisierungstechnik im Gebiet München Beckhoff Automation GmbH & Co. KG
München Zum Job 
HAMBURG WASSER-Firmenlogo
Projektingenieur Planung Tiefbau / Infrastruktur (m/w/d) HAMBURG WASSER
Hamburg Zum Job 
Hochschule für angewandte Wissenschaften München-Firmenlogo
Professur für Medizintechnik (W2) Hochschule für angewandte Wissenschaften München
München Zum Job 
High-Tech Park Sachsen-Anhalt GmbH-Firmenlogo
Ingenieure (m/w/d) Bauingenieurwesen / Bauliche Projektentwicklung / Straßenbau / Infrastruktur / Stadt- und Regionalplanung / Verkehrswesen High-Tech Park Sachsen-Anhalt GmbH
Magdeburg Zum Job 
BERICAP GmbH & Co. KG-Firmenlogo
Automation & Process Innovation Engineer (m/w/d) BERICAP GmbH & Co. KG
Budenheim Zum Job 
Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein-Firmenlogo
Bauingenieurin / Bauingenieur (w/m/d) für den konstruktiven Ingenieurbau Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein
Rendsburg, Lübeck, Kiel, Itzehoe, Flensburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Abteilungsleitung (w/m/d) Konstruktiver Ingenieurbau, Lärmschutzbauwerke Die Autobahn GmbH des Bundes
Nürnberg Zum Job 
Schleifring GmbH-Firmenlogo
Ingenieur/ Vertriebsingenieur (m/w/d) für den Bereich Key Account Schleifring GmbH
Fürstenfeldbruck Zum Job 
GW Batterien GmbH-Firmenlogo
Anwendungstechniker (m/w/d) GW Batterien GmbH
Zwickau Zum Job 
Landeshauptstadt Hannover-Firmenlogo
Ingenieur*in - Versorgungstechnik oder Energie- und Gebäudetechnik Landeshauptstadt Hannover
Hannover Zum Job 
Venjakob Maschinenbau GmbH & Co. KG-Firmenlogo
Projektmanager IT-Architektur & Datenvisualisierung (m|w|d) Venjakob Maschinenbau GmbH & Co. KG
Rheda-Wiedenbrück Zum Job 
Max Bögl Stiftung & Co. KG-Firmenlogo
Bauleiter (m/w/d) TGA Mechanik -Systembau Max Bögl Stiftung & Co. KG
Liebenau bei Nienburg / Weser Zum Job 
Mainova AG-Firmenlogo
Ingenieur als Technische Führungskraft für Gas- und Wasser-Netzbetriebe gem. DVGW Regelwerk (m/w/d) Mainova AG
Frankfurt am Main Zum Job 
Tremonia Mobility GmbH-Firmenlogo
Ingenieur / Techniker - Fahrzeugelektronik (m/w/d) Tremonia Mobility GmbH
Dortmund Zum Job 
naturenergie netze GmbH-Firmenlogo
Ingenieur als Teamleiter Netzleitstelle (m/w/d) naturenergie netze GmbH
Rheinfelden (Baden), Donaueschingen Zum Job 

Wenn KI Teil der Sicherheitsarchitektur wird

Die Probleme bleiben jedoch greifbar: Unkontrolliert eingesetzte KI-Werkzeuge können Sicherheitslücken reproduzieren, die eigentlich bereits als bekannt gelten – oder Altlasten erzeugen, die erst Jahre später sichtbar werden. Security-Teams stehen vor einer Form von „unsichtbarem“ Risiko, weil KI Tools und Modelle einsetzt, deren Einsatz nicht vollständig nachvollziehbar ist. Das wissen auch Security-Hersteller. So hat das Unternehmen Cycode jetzt neue Lösungen angekündigt, mit denen die Schatten-KI adressiert werden soll.

Cycode bietet mit seiner Plattform unter anderem eine KI- und ML-Inventarisierung („AI & ML Inventory“) sowie ein sogenanntes „AI Bill of Materials“ (AIBOM) an. Diese Tools identifizieren automatisch, ob Entwickler KI-Coding-Assistenten nutzen, ob ein Modell-Server (Model Context Protocol, MCP) verbunden ist oder ob neue Modelle eingebunden wurden, und führen jeden dieser Bestandteile zurück bis ins Repository- oder Deployment-Umfeld von Entwicklungsumgebungen. Ein wesentlicher Aspekt dieser Strategie ist, dass KI-Code nicht länger als exotisches Element betrachtet wird, sondern als integraler Bestandteil des Softwareentwicklungsprozesses  – von der Ideengenerierung über den Code bis zur Produktion.

Schatten-KI: Regulierung, Standards und definierte Prozesse erforderlich

Die Entwicklung wird weitergehen: Denn es ist nicht von auszugehen, dass Schatten-KI verschwindet. Vermutlich wird sie Bestandteil im Alltag von Entwicklungsteams bleiben – gerade weil sie Produktivität und Innovation fördert. Das bedeutet jedoch: Die Sicherheitsarchitektur muss sich parallel weiterentwickeln. Es braucht neue Standards für KI-erzeugten Code, die Einbettung in CI/CD-Pipelines sowie Richtlinien für Anbieter und Entwickler gleichermaßen.

Es gilt außerdem, die Fähigkeiten von Entwicklerinnen und Entwicklern im Umgang mit KI-Assistenztools zu stärken. Unternehmen sollten nicht erst nach einem Sicherheitsvorfall reagieren, sondern proaktiv handeln. Wer erst dann startet, wird hohe Kosten für Nachbereitung, Reputationsverlust oder regulatorische Konsequenzen tragen. Vielversprechender ist der Ansatz, den Wandel früh mitzugestalten, Sicherheit mitzudenken und die Mitarbeitenden entsprechend zu schulen.

Ein Beitrag von:

  • Elke von Rekowski

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Agnes Heftberger, Vorsitzende der Geschäftsleitung von Microsoft Deutschland
Startschuss für Milliardenprojekt

KI braucht Strom: Microsoft startet Hyperscale-Projekt in NRW
Leuchtend blaues, futuristisches Schaltkreis-Motiv mit einem zentralen Chip, auf dem groß „AI“ steht.
Open-Source-Standard

TU München baut ersten europaweiten KI-Chip mit moderner 7-Nanometer-Technologie
Wikipedia feiert 25. Geburtstag und gerät zunehmend unter Druck. Foto: picture alliance/dpa/Sebastian Gollnow
Kommentar

25 Jahre Wikipedia: Wissen bewahren in Zeiten von KI und Co.
Jahreszahl 2026 und im Hintergrund Blick auf einen Laptop-Monitor, auf dem ein Code zu sehen ist.
Freiwillige Wenn KI ins Operative geht

Das sind die IT-Trends 2026

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos