Was ist Schatten-KI?

• Für Ihr Unternehmen besteht ein unmittelbares Risiko von Datenverlusten, wenn Benutzer vertrauliches geistiges Eigentum oder personenbezogene Daten in öffentliche KI-Modelle einfügen.
• Verbote von KI-Werkzeugen funktionieren selten. Sicherheitsverantwortliche sind erfolgreich, wenn sie als Vermittler fungieren, die eine sichere KI-Nutzung ermöglichen.
• Ihr Unternehmen muss als ersten Schritt zur Governance Transparenz schaffen und mit Tools wie Tenable AI Exposure einen Sicherheitsstandard für KI einführen.

Schatten-IT entsteht, wenn Ihre Mitarbeiter nicht genehmigte Tools für künstliche Intelligenz für ihre Arbeit nutzen, etwa wenn Mitarbeiter generative KI-Anwendungen wie große Sprachmodelle (LLMs) verwenden, um Inhalte zu entwerfen, Bilder zu generieren, Code zu schreiben oder Daten zu analysieren, ohne dafür die Genehmigung Ihres IT-Teams zu haben.

Während das Konzept der Schatten-IT die herkömmliche Schatten-IT widerspiegelt (die Verwendung von nicht genehmigter Software oder Hardware), beschleunigt die Schatten-KI Ihr Cyberrisiko. Stellen Sie sich Schatten-KI als Schatten-IT auf Steroiden vor. 

Die herkömmliche Schatten-IT erfordert häufig eine Installation oder Beschaffung, was zu Reibungsverlusten führt. Im Gegensatz dazu können Ihre Nutzer sofort auf browserbasierte, kostenlose KI-Tools zugreifen. Durch den schnellen und einfachen Zugriff kann sich die KI viral in Ihrer Belegschaft verbreiten, bevor Ihre Security-Teams sie überhaupt entdecken können.

Der Datenfluss ist ein entscheidendes Unterscheidungsmerkmal zwischen Schatten-KI und Schatten-IT. Während sich herkömmliche Risiken in der Regel auf nicht zugelassene Software als Schwachstelle konzentrieren, führt Schatten-IT das Risiko durch die Daten ein, die Sie ihr zuführen.

Wenn Mitarbeiter proprietären Code, sensible Kundeninformationen oder interne Strategiedokumente in öffentliche KI-Modelle einfügen, geben sie die Kontrolle über Ihre Daten ab. Die Übermittlung dieser Daten trainiert das Modell, um bessere Ergebnisse zu erzielen, aber sie setzt Ihr Unternehmen auch dem Risiko von Datenverlusten aus. Die KI kann Ihr geistiges Eigentum erlernen und später auf Anfragen von außen genau preisgeben.

Als Best Practice sollten Sie Ihre KI-Tools nach Funktionalität und Risiko kategorisieren:

• Sanktionierte KI ist im Allgemeinen risikoarm. Denken Sie an unternehmensverwaltete Instanzen von ChatGPT Enterprise, bei denen Sie die Datenspeicherung und die Datenschutzeinstellungen kontrollieren.
• Schatten-KI birgt ein variables bis hohes Risiko. Diese nicht verwalteten KI-Tools lassen Daten aus Ihrem Umkreis heraus. Einige sind seriös, wie die kostenlose Version von ChatGPT. Andere, wie z. B. DeepSeek, sind undurchsichtiger und lassen möglicherweise Transparenz oder solide Sicherheitskontrollen vermissen.
• KI-Agenten und autonome KI-Tools stellen ein kritisches Risiko dar. Im Gegensatz zu einfachen Chatbots, die in der Regel nur Fragen beantworten, können Agenten und autonome Tools Aufgaben ohne menschliche Aufsicht erledigen.

Erfahren Sie, wie Sie die KI-Schattensicherheit in Ihre Strategie für das Exposure Management integrieren können: Sicherheit für KI vs. KI für die Sicherheit.

Schatten-KI birgt unmittelbare Risiken für Ihr geistiges Eigentum und Ihre Compliance. Während es bei herkömmlichen Software-Schwachstellen in der Regel einige Zeit dauert, bis Angreifer sie ausnutzen können, können generative KI-Sicherheitslücken auftreten, sobald ein Mitarbeiter die Eingabetaste auf einer Tastatur drückt.

Ihr Hauptanliegen sollten Datenverluste sein. 

Wenn Ihre Teams firmeneigenen Code, Finanzprognosen oder sensible Kundendaten in einen öffentlichen KI-Chatbot einfügen, geben sie diese Informationen im Wesentlichen an den Modellanbieter weiter. 

Leider erlauben die meisten öffentlichen Geschäftsbedingungen diesen KI-Anbietern, Eingaben für das Modelltraining zu verwenden. Das bedeutet, dass Ihre Geschäftsgeheimnisse später in der Antwort eines Konkurrenten landen könnten.

Wenn sich Ihr Unternehmen auf nicht verwaltete Modelle verlässt, birgt Schatten-KI auch das Risiko schädlicher oder unethischer KI-Ergebnisse, die zu Reputationsschäden oder Betriebsausfällen führen können.

Abgesehen von Datenverlusten birgt das Vertrauen in nicht überwachte Verbrauchertools ein Risiko für die Qualität und Zuverlässigkeit von KI-Ergebnissen, was sich möglicherweise auf den Kerngeschäftsbetrieb auswirkt.

Sie sind auch mit einer neuen Art von versteckten Risiken konfrontiert: autonome KI-Agenten. 

Wie CIO.com feststellt, sind "versteckte Agenten" mehr als einfache Chatbots. Sie können komplexe Aufgaben ohne Aufsicht durchführen. Diese KI-Tools umgehen die traditionelle Cybersecurity Governance oft vollständig. 

Wenn Mitarbeiter sanktionierte KI umgehen, arbeiten sie außerhalb Ihrer Sichtweite. Der Bericht "Access-Trust Gap" von 1Password ergab, dass 33 % der Mitarbeiter zugeben, dass sie die KI-Richtlinien nicht immer befolgen. 

Diese unkontrollierten Datenströme lähmen auch Incident Response. Ihr Team kann keine Risikominderung für ein Datenleck vornehmen oder die Einhaltung von Vorschriften für einen Datenschutzvorfall erfüllen, den es nicht sehen kann. 

Um Schatten-IT effektiv zu regeln, müssen Sie erkennen, wo sie sich versteckt. Ohne Ihr Wissen kann sie in allen Bereichen Ihres Unternehmens auftreten. Der Wunsch der Mitarbeiter, schneller zu arbeiten, ist ein häufiger Antrieb.

• Softwareentwickler fügen oft eigene Codeblöcke in LLMs ein, um Fehler zu beheben oder Dokumentation zu erstellen. In einem viel beachteten Vorfall haben Samsung-Mitarbeiter versehentlich vertraulichen, geschützten Code auf einen öffentlichen KI-Assistenten hochgeladen. Außerdem richten Entwickler häufig nicht autorisierte Cloud-Instanzen ein, um ihre eigenen Open-Source-KI-Modelle zu hosten, was zu Schwachstellen in der nicht verwalteten Infrastruktur führt.
• Marketing- und Vertriebsteams nutzen häufig KI, um E-Mails zu verfassen oder Interessenten zu analysieren. Sie könnten Tabellenkalkulationen mit Kundenlisten oder Umsatzzahlen in öffentliche Tools hochladen, um Zusammenfassungen zu erstellen und versehentlich personenbezogene Daten und Finanzdaten an den KI-Modellanbieter weitergeben.

Selbst risikobewusste Abteilungen wie die Rechtsabteilung und die Personalabteilung können diese Fehler machen. Ein juristischer Mitarbeiter könnte einen vertraulichen Vertrag hochladen, um komplexe Bedingungen zusammenzufassen, oder ein Personalleiter könnte Leistungsbewertungen einfügen, um ein Feedback zu verfassen. In beiden Fällen gelangen hochsensible interne Daten in die Public Domain.

Die Führungsebene Ihres Unternehmens könnte versucht sein, generative KI ganz zu verbieten. Es scheint die einfachere Option zu sein, aber tun Sie es nicht. 

Strenge KI-Verbote funktionieren selten. Sie treiben die KI-Nutzung in den Untergrund. Mitarbeiter, die glauben, dass KI sie produktiver macht, werden Umgehungsmöglichkeiten finden. Sie verwenden ihre eigenen Geräte oder netzfremde VPNs, so dass Sie keinen Einblick haben.

Das bedeutet, dass Sie den Zugang zu den KI-Tools ermöglichen, die Ihr Unternehmen benötigt, und gleichzeitig die notwendigen Sicherheitsvorkehrungen treffen, um die Daten zu schützen. Sie validieren, welche Tools den Sicherheitsstandards entsprechen, und stellen einen genehmigten Pfad für die Nutzung bereit.

Beginnen Sie mit einer klaren AI-Richtlinie zur akzeptablen Nutzung. Ihre KI-AUP sollte klarstellen, welche Datenklassifizierungen für KI sicher sind und welche tabu sind. 

Indem Sie die Regeln klarstellen, anstatt die Möglichkeit zu blockieren, schaffen Sie Vertrauen und ermutigen die Nutzer, sich in einer sichtbaren, überwachten Umgebung aufzuhalten.

Benötigen Sie Hilfe bei der Einführung von AI Governance? Lesen Sie unseren Leitfaden auf Was ist eine KI-Nutzungsrichtlinie?

Um KI-Innovationen zu ermöglichen und gleichzeitig Ihre Daten zu schützen, benötigen Sie ein kontinuierliches, fünfstufiges KI-Governance-Framework. Tenable ist davon überzeugt, dass die Sichtbarkeit die Grundlage für diese Governance ist. Nur durch eine einheitliche Sichtbarkeit von IT, Cloud, Identität, OT, KI und dem Rest Ihrer Angriffsfläche können Sie das Risiko effektiv reduzieren.

1. Entdecken Sie Ihre AI-Exposition

Sichtbarkeit ist Ihr grundlegender Schutz gegen AI-Schattenrisiken. Sie sollten jedes in Ihrer Umgebung verwendete KI-Tool identifizieren, von autorisierten Unternehmensinstanzen bis hin zu nicht autorisierten öffentlichen Anwendungen, die in den Browsern der Mitarbeiter laufen. 

Viele Unternehmen verlassen sich zwar auf herkömmliche Tools wie Data Loss Prevention (DLP), Cloud Access Security Broker (CASB), Endpoint Detection & Response (EDR) oder Cloud-native Sicherheitskontrollen, doch reichen diese oft nicht aus. Sie haben keinen spezifischen Kontext, um KI-Modelle und ihre einzigartigen KI-Datenströme zu verstehen. 

Um die Schattennutzung zu finden, die Sie übersehen, brauchen Sie eine automatische Erkennung, die speziell für KI entwickelt wurde:

AI Aware unterstützt Sie bei der Inventarisierung der KI-Nutzung, indem es Anwendungen auf Endgeräten und in Netzwerken aufzeigt.

AI-SPM-Funktionen ermöglichen es Ihnen, KI in Entwicklungsumgebungen zu inventarisieren, um Schatten-KI-Entwicklungen aufzudecken, bevor sie live gehen. Um diesen Arbeitsablauf abzusichern, verwenden Sie Belastbare KI-Belastung. um das Risiko vor der Bereitstellung zu validieren und während der Laufzeit kontinuierlich auf Schwachstellen zu überwachen.

2. Bewertung des AI-Risikos

Sobald Sie die KI-Tools sehen, bewerten Sie sie. Lesen Sie die Nutzungsbedingungen für jede Anwendung. 

• Beansprucht der KI-Anbieter das Eigentum an Ihren Eingaben?
• Werden Ihre Daten verwendet, um öffentliche KI-Modelle zu trainieren?
• In welcher Region speichert das System Ihre Daten (z. B. in der EU oder in China)?
• Welche Arten von Branchenvorschriften hält der KI-Anbieter ein?

Klassifizieren Sie dann jedes Werkzeug auf der Grundlage dieser Ergebnisse als "sicher", "eingeschränkt" oder "verboten".

Tenable AI Exposure überwacht diese Schatten-KI-Agenten kontinuierlich, um Ihnen genau zu zeigen, wie sie arbeiten und welche KI-Risiken sie darstellen.

3. Regieren mit Politik

Formalisieren Sie Ihre Entscheidungen in einer klaren AI Governance-Richtlinie. Sie sollten genau festlegen, wer KI nutzen darf, welche KI-Tools er verwenden darf und welche Daten er eingeben darf. 

Ihre Richtlinie sollte auch klare Rechenschaftskriterien für den Vorstand und den CEO festlegen, um zu überprüfen, ob die KI sicher ist und den erwarteten Geschäftswert liefert. Als Ausgangspunkt sollten Sie Ihre Governance-Strategie für KI mit dem NIST AI Risk Management Framework abstimmen.

Um den ROI nachzuweisen, sollten Sie Ihre Metriken über die Risikominderung hinaus auf die geschäftlichen Auswirkungen ausdehnen, z. B. indem Sie die Akzeptanz von genehmigten KI-Tools im Vergleich zu nicht genehmigten Tools verfolgen und die betriebliche Effizienz abschätzen, die Ihr Unternehmen durch die Umstellung der Benutzer auf sichere KI-Modelle der Unternehmensklasse gewinnt.

4. Informieren Sie Ihre Arbeitskräfte

Ohne Ausbildung ist die Politik bedeutungslos. Erklären Sie Ihren Mitarbeitern , warum es diese KI-Leitplanken gibt. Erläutern Sie die spezifischen Risiken von Datenlecks, die KI-Tools mit sich bringen, damit die Mitarbeiter verstehen, dass Sie die Geheimnisse des Unternehmens schützen und nicht nur willkürliche Regeln durchsetzen.

5. Kontinuierliche Überwachung und Prüfung der KI-Nutzung

Die KI-Landschaft verändert sich täglich. Neue Tools tauchen auf, und sichere Tools ändern ihre Nutzungsbedingungen. Sie müssen eine kontinuierliche Prüfschleife einrichten, um nicht autorisierte Tools aufzuspüren. Wie ISACA hervorhebt, ist die Prüfung dieser nicht autorisierten KI-Tools von entscheidender Bedeutung für die Aufrechterhaltung eines konformen Unternehmens angesichts der schnellen KI-Einführung.

Letztlich bietet generative KI einen immensen Wert, aber Ihr Unternehmen muss sie sicher und durchdacht einsetzen. Lassen Sie nicht zu, dass die Verwendung von AI-Schatten Ihre versteckten Belichtungen beeinflusst. Durch die Schaffung einer klaren Sichtbarkeit und Governance können Sie Ihre Mitarbeiter zu Innovationen befähigen, ohne Ihre Daten der öffentlichen AI Domain zu überlassen.

Sehen, sichern und verwalten Sie Ihr KI-Ökosystem mit Tenable AI Exposure.

• Wenden Sie sich an Tenable für ein Security for AI Consulting oder eine Demo.
• Sehen Sie sich Tenable-Webinare zu KI-Themen an oder nehmen Sie daran teil.
• Überprüfen Sie die Tenable-Plug-ins-Seite für die AI-Erkennung.

Mit dem Aufkommen und der zunehmenden Verbreitung von KI wächst auch die Zahl der Fragen in gleichem Maße. Im Folgenden haben wir einige der am häufigsten gestellten Fragen zusammengestellt und versuchen, die dringendsten zu beantworten.

Was ist der Unterschied zwischen Schatten-KI und Schatten-IT? 

Schatten-IT bezieht sich auf jegliche nicht autorisierte KI-Software oder -Hardware. Schatten-KI ist eine spezielle Untergruppe, die Werkzeuge der künstlichen Intelligenz umfasst. Der entscheidende Unterschied liegt im Risikoprofil. Schatten-IT gefährdet Ihre Infrastruktur, während Schatten-KI in erster Linie die Daten gefährdet, die Sie ihr zuführen.

Gilt ChatGPT als Schatten-KI? 

Wenn ChatGPT auf Ihrer Liste der zugelassenen KI steht, ist es genehmigt; andernfalls handelt es sich um Schatten-IT.

Wie kann ich die Verwendung von Schatten-KI erkennen? 

Sie können sich nicht auf manuelle Erhebungen verlassen, um den Einsatz von Schatten-AI zu erkennen. Tenable One Exposure Management vereint Daten von AI Aware, AI-SPM und Tenable AI Exposure, um KI-Engagements von Endgeräten, Netzwerk, Cloud und Identität aufzudecken.

Verschaffen Sie sich vollständigen Einblick in die KI-Anwendungen und schließen Sie Ihre KI-Exposure-Lücke mit der Exposure Management-Plattform Tenable One.