Der nächste große Sicherheitsvorfall beginnt möglicherweise nicht mit Malware oder einer Phishing-Mail. Er könnte mit einer Eingabeaufforderung starten und damit enden, dass ein KI-Agent Maßnahmen ergreift, die nie genehmigt wurden.
Seit Jahren hält das Problem der Schatten-IT Sicherheitsverantwortliche auf Trab: Mitarbeitende setzen Cloud-Anwendungen ein, ohne dass diese von der IT-Abteilung genehmigt wurden. Die Schatten-KI folgt dem gleichen Prinzip: Bereits heute nutzen in den meisten Unternehmen Mitarbeitende (private) Chatbots, Schreibassistenten und Coding-KI, um E-Mails zusammenzufassen, Angebote zu erstellen, Code zu debuggen und Daten zu analysieren. Dabei vergrößert sich die Sicherheits- und Governance-Lücke rapide. Und doch gibt es einen entscheidenden Unterschied zwischen Shadow-IT und Shadow-AI: Künstliche Intelligenz ist nicht nur eine neue Anwendung. Vielmehr ist sie eine Schnittstelle zu den sensibelsten Unternehmensdaten.
Gravierende Unterschiede von Schatten-IT und Schatten-KI
Wesentlich für die Schatten-IT sind nicht genehmigte Infrastrukturen und Anwendungen. Bei der Schatten-KI hingegen geht es um nicht genehmigte kognitive Prozesse: Daten werden nicht nur verschoben, sondern transformiert. Die Eingabeaufforderung entwickelt sich zum Kanal für die Exfiltration.
Prinzipiell konnten bei der Schatten-IT Sicherheitsteams den betreffenden Softwareanbieter identifizieren, einen Vertrag aushandeln und die Nutzung unter Kontrolle bringen. Bei Schatten-KI können Daten durch einfaches Kopieren und Einfügen innerhalb von Sekunden das Unternehmen verlassen. Dabei wird das wertvollste Gut – der Kontext – exportiert: Kundenanfragen, Architekturentscheidungen, Preisgestaltungslogik, Roadmaps usw. Sobald ein KI-Agent Zugriff auf Tools hat, wird aus „generieren“ „ausführen“. Hinzu kommt noch, dass der Audit-Trail hinter diesen Vorgängen oft lückenhaft ist oder gänzlich fehlt.
Können CISOs grundlegende Fragen wie „Welche KI-Tools werden derzeit eingesetzt?“ oder „Welche Daten fließen in Eingabeaufforderungen ein?“ nicht beantworten, haben sie keine Kontrolle über die KI – und riskieren ernsthafte Konsequenzen.
Je mehr Zugriffe künstliche Intelligenz erhält, desto autonomer agiert KI
Die erste Welle generativer KI konzentrierte sich hauptsächlich auf reine Leseaufgaben: Text generieren, zusammenfassen und Fragen beantworten. Schon das allein birgt erhebliche Risiken. Allerdings ist eine weitaus größere Veränderung schon längst im Gange: Agenten und Copiloten werden immer häufiger direkt mit Unternehmensanwendungen verbunden: von Ticket- und Workflow-Plattformen über Quellcode-Repositories und Kollaborationssysteme bis hin zu internen Datenbanken und Cloud-Konsolen. Das Risiko wandelt sich so von „Was haben wir mit dem Modell geteilt?“ hin zu „Was kann das Modell mit den Berechtigungen tun?“
Hier ergibt sich ein zweites Risiko, das die meisten Unternehmen bisher nicht ernst nehmen: Prompt-Injection. Bösartige Anweisungen können in einer Webseite, einer PDF-Datei oder einer E-Mail versteckt sein, die ein Mitarbeitender von einem KI-Assistenten zusammenfassen lassen möchte. Die KI könnte diese versteckten Anweisungen ausführen, ohne dass es jemand bemerkt. Hat sie zudem Zugriff auf Tools, wird Wissensarbeit zu einem Angriffspfad.
Einschränkung durch Verbote funktioniert bei der künstlichen Intelligenz nicht
Manche Unternehmen reagieren mit drastischen Kontrollmaßnahmen: Sie sperren KI-Websites, verbieten öffentliche Modelle und untersagen den Einsatz von Copiloten. Die Mitarbeitenden sehen jedoch echte Arbeitserleichterungen in den KI-Tools und umgehen in aller Regel die Verbote. All dies konnten wir schon bei der Schatten-IT beobachten. Bei der KI wechseln Mitarbeitende auf private Geräte oder nutzen Browser-Erweiterungen, die sich der Unternehmenskontrolle entziehen.
Eine Richtlinie, die die Benutzerfreundlichkeit außer Acht lässt, ist keine gute Richtlinie. Das Ziel besteht nicht darin, die Nutzung von KI zu verhindern. Das Ziel besteht darin, die Nutzung von KI grundsätzlich sicher zu gestalten.
Künstliche Intelligenz in 30 Tagen unter Kontrolle
CISOs müssen nicht über Nacht ein rundum perfektes KI-Sicherheitsprogramm entwickeln. Es geht vielmehr um einen Prozess, der dem tatsächlichen Einsatz der Technologie entspricht. Und dieser Prozess beginnt mit Transparenz. Unternehmen benötigen eine kontinuierliche Identifizierung auf mehreren Ebenen:
- Welche Modelle werden verwendet und wo werden sie eingesetzt? Welche standort- oder anbieterbezogenen Einschränkungen gelten?
- Welche Anwendungen, Dienste und Agenten senden Anfragen an die Modelle? Wird der Datenverkehr über zugelassene Gateways geleitet?
- Auf welche Daten darf die KI zugreifen? Zu den Kategorien, die nicht offengelegt werden dürfen, gehören personenbezogene Daten, Quellcode, Anmeldedaten, API-Schlüssel, Verträge, Preisinformationen, Kundenprotokolle und Gesprächsmitschriften.
- Auf welche Tools kann die KI zugreifen und was kann sie verändern?
Alle diese Fragen lassen sich nach einem gezielten 30-Tage-Sprint beantworten. In den ersten zwei Wochen wird zunächst die Nutzung über alle Benutzer und Workloads hinweg erfasst. Besonderes Augenmerk gilt dabei nicht gemanagten Tools.
In der dritten Woche wird der Zugriff auf die Tools erfasst, insbesondere auf solche mit Schreibberechtigungen.
In der vierten Woche werden schließlich durchsetzbare Kontrollen für die Kategorien mit dem höchsten Risiko eingerichtet: Anmeldeinformationen, regulierte Daten, Quellcode und System-Konnektoren mit Schreibzugriff. Das Ziel ist keine makellose Richtlinie, sondern ein erster bedeutender Schritt in Richtung KI-Sicherheit.
Verfügt man nun über Transparenz der KI-Nutzung, so sollte auch hier das Least-Privilege-Prinzip angewendet werden. Hierbei muss man zwischen generativer KI und Agenten unterscheiden, zwischen dem Entwurf von Content und der Ausführung: Ein Mitarbeitender, der eine E-Mail verfasst, stellt ein eher geringes Risiko dar. Ein Mitarbeitender, der Kundendaten bearbeitet, Code in die Produktivumgebung überträgt oder finanzielle Workflows auslöst, birgt jedoch ganz andere Gefahren. Entsprechend sollten Maßnahmen mit erheblichen Auswirkungen eine menschliche Genehmigung, segmentierte Berechtigungen und aussagekräftige Prüfprotokolle erfordern, die mit Identitäts- und Richtlinienentscheidungen verknüpft sind.
Der erste große KI-Sicherheitsvorfall wird kommen. Die Debatte wird sich dann von „Sollen wir KI zulassen?“ zu „Warum haben wir sie nicht reguliert?“ verschieben. Denn eins ist sicher: Schatten-KI wird es immer geben. Sie muss ans Licht gebracht und reguliert werden. Unternehmen, die jetzt handeln, können KI zu ihrem Vorteil nutzen. Diejenigen, die abwarten, könnten unter dem Druck von Vorschriften und Reputationsrisiken zu unnötigen, reaktiven Schadensbegrenzungsmaßnahmen gezwungen sein.
Im Kontext der KI geht es bei der Sicherheit nicht darum, die Zukunft aufzuhalten. Es geht darum, sicherzustellen, dass die Zukunft nicht mit unkontrollierten Zugriffsrechten einhergeht.
Von Pantelis Astenburg, Vice President of Sales DACH bei Versa Networks
