BESTANDSAUFNAHME

Shadow-AI-Bestandsaufnahme durchgeführt (Umfrage + technisch)

☐ Offen

IT-Leiter / CISO

Cloud App Discovery aktiviert und Ergebnisse ausgewertet

☐ Offen

IT-Admin

Nicht genehmigte KI-Tools identifiziert und kategorisiert (Risiko gering/hoch)

☐ Offen

CISO

Nutzungsmuster dokumentiert (was nutzen Mitarbeiter wofür?)

☐ Offen

IT-Leiter

Risikobewertung für jedes identifizierte Tool erstellt

☐ Offen

CISO

GENEHMIGTE TOOL-LISTE

Whitelist genehmigter KI-Tools erstellt

☐ Offen

IT-Leiter / CISO

Whitelist mit Nutzungsbedingungen an alle Mitarbeiter kommuniziert

☐ Offen

IT / HR

Update-Prozess für Whitelist definiert (wie kommt neues Tool drauf?)

☐ Offen

IT-Leiter

Zuständigkeit für Tool-Genehmigungen klar geregelt

☐ Offen

IT-Leiter / CISO

DLP UND TECHNISCHE MASSNAHMEN

DLP-Policies für Dateneingabe in externe KI-Tools konfiguriert

☐ Offen

IT-Admin

Zugriffsblockierung für bekannt riskante KI-Dienste im Web-Filter

☐ Offen

IT-Admin

Microsoft Defender für Cloud Apps: Policies für KI-Dienste

☐ Offen

IT-Admin

Monitoring-Dashboard für KI-Nutzung eingerichtet

☐ Offen

IT-Admin / CISO

Alerts für Hochrisiko-Nutzung (Massendatenexport an KI) konfiguriert

☐ Offen

CISO

RICHTLINIEN UND PROZESSE

KI-Nutzungsrichtlinie verabschiedet und kommuniziert

☐ Offen

IT-Leiter / GF

Meldeprozess für nicht genehmigte Tools klar definiert

☐ Offen

IT-Leiter

Konsequenzen bei Richtlinienverstößen dokumentiert

☐ Offen

HR / GF

Ausnahmeprozess für spezielle Anfragen definiert

☐ Offen

IT-Leiter

Regelmäßige Überprüfung der Richtlinie geplant (halbjährlich)

☐ Offen

IT-Leiter

SCHULUNG UND KULTUR

Schulung zu erlaubten und verbotenen Tools durchgeführt

☐ Offen

HR / IT

Schulungsunterlagen und Beispiele für Shadow-AI-Risiken erstellt

☐ Offen

HR / IT

Führungskräfte als Vorbilder (nutzen nur genehmigte Tools)

☐ Offen

GF / HR

Offene Feedbackkultur: Mitarbeiter können Tool-Wünsche äußern

☐ Offen

HR / IT-Leiter