robsonphoto - stock.adobe.com
Schatten-KI: Die stille Gefahr
Immer mehr Mitarbeiter nutzen KI ohne Freigabe. Das erhöht Datenschutz- und Sicherheitsrisiken. Unternehmen sollten KI nicht verbieten, sondern klare Regeln und Kontrollen schaffen.
Eine aktuelle Bitkom-Untersuchung zeigt, dass mittlerweile 41 Prozent der deutschen Unternehmen ab 20 Beschäftigten KI nutzen. Vor zwölf Monaten lag die Nutzung noch bei 17 Prozent. Mit dem rasanten Anstieg von KI-Lösungen in der Unternehmens-IT nimmt auch das Phänomen der Schatten-KI, also der ungenehmigten Nutzung von KI-Tools im Unternehmenskontext, massiv zu. Damit einher gehen hohe Datenschutz- und Sicherheitsrisiken.
Hohe KI-Nutzung, wenig Aufsicht
In zahlreichen Unternehmen setzen die Mitarbeiter künstliche Intelligenz (KI) ein, ohne dass es eine festgelegte Strategie des Unternehmens oder eine Zustimmung zur Nutzung gibt. Typische unautorisierte Anwendungsbereiche sind zum Beispiel die Texterstellung oder die KI-Recherche. Selbst Google blendet inzwischen KI-generierte Antworten ein, ohne dass sich viele Nutzer darüber im Klaren sind.
Die KI-Tools sind auch deshalb so weit verbreitet und verlockend, weil sie hohen Komfort und geringen Aufwand für gute Resultate bieten. Allerdings schafft die Schatten-KI inakzeptable Geschäftsrisiken für die Unternehmen.
Wenn generative KI (GenAI) für geschäftliche Zwecke genutzt wird, sind die grundsätzliche Preisgabe von Daten, Datenschutz und Sicherheit die größten Risikofaktoren. Mitarbeiter geben oft sensible und vertrauliche Unternehmensinformationen wie Finanzdaten oder E-Mail-Verläufe zum Generieren von Texten, Erstellen von Zusammenfassungen oder Präsentationen an die KI weiter. Geraten diese Informationen in die falschen Hände, kann dies zu erheblichen Schäden führen.
„Mit der wachsenden Verbreitung von Agentic AI im Unternehmenskontext ist aber davon auszugehen, dass sie leichter zu kontrollieren sein wird. In der Regel konfigurieren oder verwalten IT-Teams diese Anwendungen. Dadurch erhalten Unternehmen einen besseren Überblick über die Nutzung.“
Michael Hon-Mong, Kaseya
Wenn Cyberkriminelle beispielsweise Zugriff auf die E-Mails eines Unternehmens erhalten, gewinnen sie Einblicke in das Nutzerverhalten, den Schreibstil und Kommunikationsmuster. Indem sie sich auf Basis der Informationen als Geschäftskontakte ausgeben oder auf echte Unterhaltungen antworten, können sie überzeugende Phishing E-Mails erstellen oder ausgefeilte Ransomware-Angriffe durchführen.
Agentic AI erhöht das Risiko
Ein Unternehmen, das nicht weiß, auf welche KI-Tools seine Mitarbeiter zugreifen oder welche Daten sie teilen, hat keine Möglichkeit, mithilfe von Kontrollmechanismen die Risiken zu minimieren. Agentic AI, die autonome Entscheidungen trifft und diese dann umsetzt, verschärft das Problem. Sobald die Agentic AI in Arbeitsprozesse eingebettet ist und unabhängig arbeiten darf, könnte sie noch schwerwiegendere Schäden als die gängigen KI-Tools verursachen.
Um Aufgaben ohne menschliche Interaktion auszuführen, benötigt Agentic AI direkten Zugriff auf Daten, Unternehmenssysteme und andere Anwendungen über Protokolle wie MCP (Model Context Protocol). Über diese Schnittstellen wäre die autonom agierende KI in der Lage, Änderungen an den Systemen eines Unternehmens vorzunehmen. So könnte sich ein KI-Tool mit einer Datenbank verbinden, um erweiterte Business-Intelligence-Abfragen zu ermöglichen und dabei große Datenmengen weiterleiten, die weit über das hinausgehen, was der Nutzer eigentlich teilen wollte.
Mit der wachsenden Verbreitung von Agentic AI im Unternehmenskontext ist aber davon auszugehen, dass sie leichter zu kontrollieren sein wird. In der Regel konfigurieren oder verwalten IT-Teams diese Anwendungen. Dadurch erhalten Unternehmen einen besseren Überblick über die Nutzung.
KI nicht verbieten, sondern steuern
Die KI wird nicht verschwinden. Ganz im Gegenteil: Der immer häufigere Einsatz von KI-Anwendungen steigert die Risiken. Um diese zu mindern, sind die Einführung autorisierter Anwendungen und die Überwachung ihrer Nutzung sowie die Gewährleistung menschlicher Aufsicht notwendig.
Daher wird ein Verbot von KI-Lösungen nicht funktionieren. Stattdessen sollten Unternehmen den umgekehrten Ansatz verfolgen und ihren Mitarbeitern sicheren Zugriff auf genehmigte Tools sowie kontrollierbare Richtlinien und Benutzerschulungen bieten.
Um diesen Ansatz erfolgreich umzusetzen, ist es wichtig, folgende Punkte zu berücksichtigen:
- Jedes KI-Tool erfordert vor der Einführung eine gründliche Prüfung und Abwägung des Risikos, um die Übereinstimmung mit den Sicherheitsstandards des Unternehmens sicherzustellen und die Einschränkungen zu kennen.
- Unternehmen müssen sich mit den gesetzlichen Anforderungen rund um KI vertraut machen, den Datenfluss berücksichtigen und sicherstellen, dass er mit der DSGVO und anderen relevanten Vorgaben konform ist.
- Ausschließlich genehmigte Tools unter Kontrolle des Unternehmens einsetzen und deren Nutzung kontinuierlich überwachen.
- Klare Zugriffskontrollen einsetzten und starke Authentifizierungsverfahren durchsetzen. Laut einer IBM-Untersuchung geben 97 Prozent der Unternehmen, die von einem KI-bezogenen Sicherheitsvorfall betroffen waren, an, keine angemessenen KI-Zugriffskontrollen eingerichtet zu haben.
- Klare interne Richtlinien für die Nutzung genehmigter KI-Anwendungen veröffentlichen. Bei Bedarf Maßnahmen ergreifen, um den Zugriff auf nicht genehmigte Tools zu verhindern. Da sich KI schnell weiterentwickelt, sollten Unternehmen ihre Richtlinien regelmäßig überprüfen und aktualisieren.
- Regelmäßige Schulungen für die Angestellten sind essenziell. Im Mittelpunkt sollte der sichere, verantwortungsvolle und effektive Umgang mit KI und sensiblen Daten sowie potenzielle Risiken stehen.
Schatten-KI ist eine stille Bedrohung. Die Risiken reichen von Cyberangriffen und Compliance-Problemen bis hin zur Gefährdung der Wettbewerbsfähigkeit. Mithilfe autorisierter Tools, Richtlinien und Schulungen können Unternehmen das Potenzial der KI effektiv nutzen und gleichzeitig die Risiken steuern. Proaktive Kontrollmaßnahmen sind hier die Lösung, nicht das Verbot von KI. Klare Strukturen und eine offizielle, sichere Nutzung erhöhen die Wahrscheinlichkeit, dass Mitarbeiter keinen anderen Weg wählen. Genau darin liegt der Schlüssel für einen sicheren und erfolgreichen KI-Einsatz.
Über den Autor:
Michael Hon-Mong ist für die Go-to-Market-Strategie und das Wachstum von Kaseya in Deutschland, Österreich und der Schweiz verantwortlich. Als ausgewiesener Experte in der europäischen IT-Branche verfügt er über langjährige Führungserfahrung auf DACH- und Europaebene, unter anderem bei TEHTRIS, Acronis und Unitrends, das heute zu Kaseya gehört.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
