Das Risiko Cloud-basierter Schatten-KI in den Griff bekommen

Die Herausforderungen bei Cloud-basierter Schatten-KI

Ähnlich wie Schatten-IT in früheren Phasen der Cloud-Einführung bezieht sich Schatten-KI auf die unbefugte oder unkontrollierte Nutzung von KI-gestützten Tools. Im Zusammenhang mit Cloud-basierter Schatten-KI bedeutet dies Cloud-basierte KI-Dienste und die Nutzung von KI in Cloud-Workloads, darunter große Sprachmodelle (LLMs) wie ChatGPT, öffentliche Chatbots, die in Cloud-SaaS-Bereitstellungen gehostet werden, die Speicherung von Trainingsdaten, KI-APIs und KI-gestützte Codierungsplattformen.

Mitarbeitende nutzen KI-fähige Tools oft nicht in böswilliger Absicht. Vielmehr setzen Anwender wie Entwickler, Marketingteams und Datenexperten sie ein, um ihre Produktivität zu steigern, ohne sich über die Sicherheitsrisiken im Klaren zu sein.

Zu den Risiken dieser Tools gehören unter anderem:

• Benutzer können sensible Informationen wie Quellcode, sensible Daten oder geistiges Eigentum hochladen, was zu Datenlecks, Verstößen gegen Compliance-Vorschriften und langfristigen Reputationsschäden führen kann.
• KI-Tools könnten Mitarbeitern falsche Informationen liefern, die diese dann für schlechte Entscheidungen verwenden, die sich negativ auf das Geschäftsergebnis des Unternehmens auswirken (siehe auch LLMs: Das Risiko unsicherer Umgang mit den KI-Ausgabedaten).
• Unternehmen können unerwartete Kosten entstehen, wenn sie neben verwalteten KI-Tools nicht genehmigte KI einsetzen oder Workloads von nicht genehmigten Schatten-KI-Tools auf offizielle Tools umstellen.

Die Tools selbst bringen ebenfalls Herausforderungen mit sich. Laut dem Bericht von Tenable haben 14 Prozent der Unternehmen, die Amazon Bedrock nutzen, den Dienst öffentlich zugänglich gelassen, während 77 Prozent der Unternehmen mindestens ein Konto für den Google Vertex-AI-Workbench-Notebook-Dienst mit übermäßigen Berechtigungen hatten. Auch andere Cloud-basierte KI-Dienste waren betroffen.

Da Sicherheitsteams keinen Überblick darüber haben, welche KI-fähigen Tools wo eingesetzt werden, befinden sich diese Tools außerhalb des Wirkungsbereichs von Datensicherheits- und Patch-Prozessen, Überwachungsmaßnahmen und Richtlinien.

Wie man Cloud-basierte KI-Tools absichert

Um die Risiken von Cloud-basierter Schatten-KI anzugehen, ist eine Kombination aus klaren, durchsetzbaren Richtlinien für den Einsatz von KI und angemessenen Sicherheitstechnologien und -kontrollen erforderlich.

Richtlinien für die sichere Nutzung von KI

Zwei wichtige Richtlinien zur Sicherung der KI sind Richtlinien zur akzeptablen Nutzung und Allowlist-Richtlinien.

Erstellen Sie eine Richtlinie für die akzeptable Nutzung von KI im Unternehmen, insbesondere in Cloud-Umgebungen, in denen Skalierung und Dezentralisierung das Risiko erhöhen. Diese Richtlinie sollte Folgendes festlegen:

• Wer darf KI-Tools verwenden?
• Unter welchen Bedingungen ist die Verwendung von KI zulässig?
• Welche Datenkategorien dürfen von KI-Tools verarbeitet werden – und welche sind davon ausgeschlossen?

Stellen Sie sicher, dass Richtlinien Vorschriften wie DSGVO, KI-Verordnung (AI Act), NIS2 und HIPAA berücksichtigen, die sich darauf auswirken können, ob Daten an bestimmte LLMs oder Dienste von Drittanbietern übertragen werden dürfen. Legen Sie außerdem Unterschiede zwischen internen und externen KI-Systemen fest, geben Sie Leitlinien für zulässige Tools vor und führen Sie eine Risikoprüfung durch, bevor neue KI-Dienste eingeführt werden. Wenn Unternehmen KI einsetzen, müssen sie ohne verpflichtend Datenschutzmaßnahmen festlegen, dokumentieren und überprüfen.

Beispielsweise könnte eine Richtlinie das Hochladen von Kundendaten in öffentlich zugängliche LLMs verbieten, aber interne Experimente mit selbst gehosteten Modellen in einer geschützten Cloud-Umgebung zulassen. Die Durchsetzung Cloud-nativer Richtlinien – mithilfe von Azure Policy, AWS Service Control Policies oder Google Cloud Organization Policy Service – kann dabei helfen, diese Grenzen zwischen verschiedenen Teams zu automatisieren.

Eine weitere effektive Methode zur Bewältigung von KI-Risiken ist die Einführung eines auf einer Positivliste basierenden Ansatzes. Autorisieren Sie bestimmte, geprüfte KI-Tools – wie Microsoft Copilot, Google Gemini oder unternehmensintern gehostete LLMs – und beschränken Sie den Zugriff auf alle anderen.

Integrieren Sie Zugriffskontrollen über Identitätsanbieter und Cloud Access Security Broker (CASBs), um sicherzustellen, dass nur autorisierte Benutzer mit diesen Tools interagieren können und dass die Nutzung protokolliert und überwacht werden kann. Über allgemeine Produktivitätsplattformen hinaus verwenden Entwicklungs- und DevOps-Teams häufig KI-gestützte Codierungswerkzeuge wie GitHub Copilot oder Tabnine. Bewerten Sie solche Tools hinsichtlich ihrer Sicherheitslage, Datenaufbewahrungsrichtlinien und Auswirkungen auf das Modelltraining, bevor Sie ihre Nutzung genehmigen. In einigen Fällen können lokale oder private Instanzen aus Gründen der Vertraulichkeit vorzuziehen sein.

Tools und Kontrollen für die sichere Nutzung von KI

Um Cloud-basierte KI-Tools sicher einzuführen, sollten Sie die folgenden zentralen Sicherheitskontrollen implementieren:

• Verhinderung von Datenverlusten. Setzen Sie DLP-Richtlinien (Data Loss Prevention) an Endpunkten und Cloud-Gateways durch, um zu verhindern, dass sensible Daten an nicht autorisierte KI-Tools übermittelt werden.
• CASB-Integration. Verwenden Sie CASBs, um die Nutzung von Schatten-KI aufzudecken, Zugriffsrichtlinien durchzusetzen und riskante oder nicht genehmigte Dienste zu blockieren.
• Zero-Trust-Zugriff. Wenden Sie Zero-Trust-Prinzipien auf KI-Dienste an, um den Zugriff basierend auf der Identität des Benutzers, dem Zustand des Geräts und dem kontextbezogenen Risiko zu beschränken.
• Modell- und API-Härtung. Unternehmen, die ihre eigenen KI-Modelle hosten, sollten sichere API-Gateways, Authentifizierungskontrollen und Ratenbegrenzungen verwenden, um Missbrauch oder Prompt Injection zu verhindern.
• Auditing und Protokollierung. Führen Sie umfassende Protokolle darüber, wer KI-Tools zu welchem Zweck verwendet und welche Daten ausgetauscht werden. Dies unterstützt forensische Analysen, Compliance und Audits.

Die Nutzung Cloud-basierter KI-Nutzung eindämmen

Die Einführung von Cloud-basierter KI in Unternehmen ist unvermeidlich, aber die unkontrollierte Nutzung von Cloud-basierter KI stellt ein wachsendes Risiko dar. Konzentrieren Sie sich darauf, Schatten-KI zu erkennen und zu unterbinden, sichere Nutzungsrichtlinien zu definieren und Benutzern zugelassene Tools zur Verfügung zu stellen, die den Sicherheitsstandards entsprechen. Durch die Einrichtung von Schutzmaßnahmen in Form von Richtlinien, Kontrollen und Transparenz können Sicherheitsteams Innovationen unterstützen, ohne dabei Vertrauen oder Compliance zu beeinträchtigen.

Der erste Schritt besteht darin, eine Bestandsaufnahme der aktuellen – sowohl genehmigten als auch nicht genehmigten – Cloud-KI-Nutzung durchzuführen, die Beteiligten aus allen Geschäftsbereichen einzubeziehen und ein formelles KI-Sicherheitsframework zu implementieren. Mit den richtigen Grundlagen können Unternehmen die Leistungsfähigkeit der KI verantwortungsbewusst und sicher nutzen.