Schatten-KI Bedroht die Unternehmenssicherheit

Während die KI-Technologie sich rasch weiterentwickelt, sehen sich Organisationen mit einer aufkommenden Sicherheitsbedrohung konfrontiert: Schatten-KI-Anwendungen. Diese nicht autorisierten Anwendungen, die von Mitarbeitern ohne IT- oder Sicherheitsaufsicht entwickelt werden, verbreiten sich in Unternehmen und bleiben oft unbemerkt, wie in einem kürzlich erschienenen VentureBeat Artikel hervorgehoben wurde.

VentureBeat erklärt, dass viele dieser Apps zwar nicht absichtlich schädlich sind, sie jedoch erhebliche Risiken für Unternehmensnetzwerke darstellen, angefangen bei Datenverletzungen bis hin zu Compliance-Verstößen.

Schatten-KI-Apps werden oft von Mitarbeitern entwickelt, die versuchen, routinemäßige Aufgaben zu automatisieren oder Abläufe zu optimieren, indem sie KI-Modelle verwenden, die auf firmeneigenen Daten trainiert wurden.

Diese Apps, die häufig auf generativen KI-Tools wie OpenAI’s ChatGPT oder Google Gemini basieren, fehlen an grundlegenden Sicherheitsmaßnahmen, wodurch sie hochgradig anfällig für Sicherheitsbedrohungen sind.

Laut Itamar Golan, CEO von Prompt Security, „greifen etwa 40% dieser standardmäßig auf alle Daten zurück, die Sie ihnen füttern, was bedeutet, dass Ihr geistiges Eigentum Teil ihrer Modelle werden kann“, wie VentureBeat berichtet.

Die Anziehungskraft von Shadow AI ist offensichtlich. Mitarbeiter, die zunehmend unter Druck stehen, enge Fristen einzuhalten und komplexe Arbeitslasten zu bewältigen, wenden sich diesen Tools zu, um die Produktivität zu steigern.

Vineet Arora, CTO bei WinWire, bemerkt gegenüber VentureBeats: „Abteilungen greifen auf nicht genehmigte KI-Lösungen zurück, weil die unmittelbaren Vorteile zu verlockend sind, um sie zu ignorieren.“ Die Risiken, die diese Tools jedoch mit sich bringen, sind tiefgreifend.

Golan vergleicht Schatten-KI mit leistungssteigernden Drogen im Sport und sagt: „Es ist wie Doping bei der Tour de France. Die Leute wollen einen Vorteil, ohne die langfristigen Konsequenzen zu realisieren“, wie von VentureBeats berichtet.

Trotz ihrer Vorteile setzen Schatten-KI-Apps Organisationen einer Reihe von Schwachstellen aus, einschließlich versehentlicher Datenlecks und sofortiger Injection-Angriffe, die herkömmliche Sicherheitsmaßnahmen nicht erkennen können.

Das Ausmaß des Problems ist erschreckend. Golan enthüllt gegenüber VentureBeats, dass sein Unternehmen täglich 50 neue KI-Apps katalogisiert, mit momentan über 12.000 im Einsatz. „Man kann einen Tsunami nicht aufhalten, aber man kann ein Boot bauen“, rät Golan und weist darauf hin, dass viele Organisationen vom Umfang der Schatten-KI-Nutzung in ihren Netzwerken überrascht werden.

Ein Finanzunternehmen hat beispielsweise während einer zehntägigen Prüfung 65 nicht autorisierte KI-Tools entdeckt, weit mehr als die weniger als 10 Tools, die ihr Sicherheitsteam erwartet hatte, wie VentureBeats berichtet hat.

Die Gefahren von Schatten-KI sind besonders akut für regulierte Sektoren. Sobald proprietäre Daten in ein öffentliches KI-Modell eingespeist werden, wird es schwierig, sie zu kontrollieren, was zu möglichen Compliance-Problemen führt.

Golan warnt: „Das bevorstehende EU AI-Gesetz könnte sogar die GDPR in Bußgeldern in den Schatten stellen“, während Arora die Bedrohung durch Datenlecks und die Strafen, die Organisationen für den mangelnden Schutz sensibler Informationen erwarten könnten, betont, wie VentureBeats berichtet.

Um das wachsende Problem der Schatten-KI anzugehen, empfehlen Experten einen facettenreichen Ansatz. Arora schlägt vor, dass Organisationen zentrale KI-Steuerungsstrukturen schaffen, regelmäßige Audits durchführen und KI-bewusste Sicherheitskontrollen einsetzen, die KI-getriebene Exploits erkennen können.

Zusätzlich sollten Unternehmen ihren Mitarbeitern vorab genehmigte KI-Tools und klare Nutzungsrichtlinien zur Verfügung stellen, um die Versuchung zu verringern, nicht genehmigte Lösungen zu verwenden.