Schatten-KI: Wenn Mitarbeiter heimlich GenAI einsetzen – und keiner merkt’s
CyberArk
von Fabian Hotarek, Pre-Sales CyberArk
Generative KI zählt zu den bedeutendsten Entwicklungen unserer Zeit und hat das Potenzial, in nahezu jeder Branche und jedem Unternehmen massive Veränderungen zu bewirken. Dass diese Technologie einen Mehrwert liefert, steht außer Frage. Der neue „CyberArk 2025 Identity Security Threat Landscape Report“ bestätigt das: 94 Prozent der befragten Unternehmen in Deutschland nutzen inzwischen KI und große Sprachmodelle (LLMs).Mit dem verstärkten KI-Einsatz ist allerdings auch ein neuer, bedeutender Angriffsvektor entstanden. Da keiner genau weiß, welche Daten KI tatsächlich weiter- oder wiederverwendet, können sensible Informationen aus Unternehmen abfließen, was DSGVO-Verstöße begünstigt. Es entsteht eine so genannte Schatten-KI. Dass der KI- und LLM-Zugriff auf große Mengen sensibler Daten erhebliche privilegienbezogene Risiken mit sich bringt, bestätigen auch 82 Prozent der befragten Unternehmen in der Studie.
Problematisch ist, dass 66 Prozent meinen, ihr Unternehmen sei nicht in der Lage, alle verwendeten „Schatten-KI“-Tools zu sichern und zu verwalten.”
Dabei kann gerade der unsanktionierter Einsatz von GenAI-Anwendungen ein Einfallstor für Cyberkriminelle sein.
Der geheime Umgang der Mitarbeiter mit Schatten-KI
CyberArk
Fabian Hotarek ist seit 2016 in unterschiedlichen Pre-Sales-Positionen in der DACH- und CEE-Region beim Sicherheitssoftware-Anbieter CyberArk (Webseite) tätig. Vor seiner Tätigkeit bei CyberArk war er unter anderem bei AppSense und HP im Einsatz.
In einer früheren Untersuchung zum Mitarbeiterverhalten standen die üblichen Verhaltensweisen und Datenzugriffsmuster von Mitabeitenden im Fokus.
48 Prozent der Befragten aus Unternehmen der Finanzbranche in Deutschland sagen, dass sie neben autorisierten auch nicht freigegebene beziehungsweise nicht verwaltete KI-Tools nutzen.”
Zusätzlich brachte die Studie auch noch einen interessanten Aspekt zu Tage: Tatsächlich kannten in einigen Unternehmen die Mitarbeiter die KI-Richtlinien nicht oder es waren gar keine Regularien für die KI-Nutzung vorhanden.
Sicherheitsrichtlinien – who cares?
Aber nicht nur der KI-Einsatz erhöht das Risiko, denn risikoreiche Zugriffe sind fast immer möglich. Zudem können viele Verhaltensweisen von Mitarbeitern zu ernsthaften Sicherheitsproblemen für Unternehmen führen. Nicht immer werden außerdem die Cybersicherheitsrichtlinien eingehalten: Viele beachten sie nicht immer, um sich die Arbeit zu erleichtern, zum Beispiel, wenn sie private Geräte nutzen oder Unternehmens-E-Mails an private Konten weiterleiten.
Für Unternehmen gilt es daher, sich neben dem technologischen Schutz auch um das Bewusstsein der Mitarbeiter zu kümmern. Da KI sprichwörtlich gekommen ist, um zu bleiben, hat der Schutz der sensiblen Daten und der IT-Infrastruktur oberste Priorität – auch damit keine Schatten-KI entsteht. Der wichtigste Schritt dafür ist, die Mitarbeiter für die Risiken zu sensibilisieren, Regeln oder Richtlinien für die KI-Nutzung oder Sicherheitsregeln festzulegen und deren Einhaltung auch wirklich zu prüfen. In der Ära von Künstlicher Intelligenz ist es zudem wichtig, die Identity-Security-Strategie anzupassen, um resilient zu bleiben und sowohl menschliche als auch maschinelle Identitäten beim Zugriff auf KI und sensible Daten abzusichern. Das gilt insbesondere im Finanzdienstleistungsbereich, in dem schließlich zahlreiche Risikoanwendungen im Sinne des EU AI Act betrieben werden.Fabian Hotarek, CyberArk/dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/228264
Schreiben Sie einen Kommentar