Schatten KI gefährdet Unternehmen

Tatsächlich bergen grundsätzlich alle generativen KI-Modelle Risiken, insbesondere wenn Unternehmen keinen vollständigen Überblick darüber haben, wie häufig, wo und zu welchem Zweck sie eingesetzt werden  Weil die Nutzung vieler dieser Tools lediglich einen Webbrowser erfordern, wird es zunehmend schwieriger nachzuvollziehen, welche Informationen zwischen Mitarbeitenden und unterschiedlichsten Anwendungen ausgetauscht werden. Der rasante Aufstieg von DeepSeek zeigt deutlich, wie schnell leistungsfähige KI-Anwendungen breite Akzeptanz finden können. Ohne Kontrollmechanismen sind Unternehmen einer Vielzahl von Risiken ausgesetzt, die im Verborgenen lauern.

Unkontrollierte KI-Nutzung

Shadow AI wird außerhalb der offiziellen Freigabe- und Kontrollprozesse eines Unternehmens genutzt – häufig ohne Wissen von IT- oder Compliance-Verantwortlichen. Manche Mitarbeitende verbergen die Nutzung solcher Tools bewusst und gezielt. Andere verwenden sie offen und in gutem Glauben, ohne sich der damit verbundenen Risiken bewusst zu sein. Bekannte Anwendungen wie ChatGPT, Microsoft Copilot, Google Gemini, Claude, Grammarly, Otter oder Funktionen von Canva und GitHub sind längst Teil des Büroalltags. Deshalb ist es wichtig, Transparenz über den Einsatz dieser Tools zu schaffen und die Mitarbeitenden für deren Funktionsweise und Risiken zu sensibilisieren.

Die zunehmende Verbreitung von Shadow AI birgt zahlreiche Gefahren:

• Sicherheitslücken
  Werden Informationen an nicht autorisierte Dritte weitergegeben, bleibt oft unklar, wie diese gespeichert, verarbeitet oder genutzt werden. Selbst scheinbar harmlose Anfragen an ein LLM – etwa zur Erstellung von E-Mails oder Zusammenfassungen – können vertrauliche Daten preisgeben.
• Datenintegrität
  KI-Systeme sind nicht fehlerfrei. Wer ihnen ungeprüft vertraut, läuft Gefahr, falsche Inhalte als korrekt zu übernehmen – mit negativen Folgen für Servicequalität und Reputation.
• Compliance-Verstöße
  Das Teilen von Daten über inoffizielle Kanäle kann gegen Datenschutzbestimmungen wie die DSGVO oder interne NDAs verstoßen.
• Interne Bedrohungen
  Das Kopieren und Einfügen von Code, Texten oder Bildern aus nicht autorisierten Tools kann Schwachstellen, Malware und mehr in die Systeme der eigenen Organisation einschleusen.
• Vertrauensverlust
  Wird die Nutzung von Shadow-AI-Diensten öffentlich, droht ein nachhaltiger Vertrauensverlust bei Kunden, Partnern und Investoren.

Data Loss Prevention

Es gibt keine Patentlösung für den sicheren Umgang mit Shadow AI. Eine wirksame Cyberabwehr muss auf mehreren Ebenen ansetzen und Menschen, Prozesse sowie Technologien miteinander verknüpfen. Dazu gehören nutzerzentrierte Zugriffs- und Datenkontrollen ebenso wie robuste interne Richtlinien und Gremien zur KI-Governance für Überwachung und Orientierung.

Mithilfe spezieller DLP-Tools (Data Loss Prevention) können IT-Verantwortliche die Nutzung von über 600 GenAI-Websites nach Benutzer, Gruppe oder Abteilung verfolgen und feststellen, welche Benutzer Zugriff auf Cloud-, E-Mail- und Kalenderdaten haben. Darüber hinaus können sie Nutzung von Anwendungen im Kontext des Benutzerrisikos überwacht werden.

Eine umfassende Lösung ermöglicht es den Security-Teams, Richtlinien für die zulässige Nutzung von GenAI durchzusetzen, das Hochladen oder Einfügen sensibler Daten zu blockieren, sensible Begriffe aus KI-Eingaben zu entfernen und Metadaten sowie Screenshots vor und nach der Nutzung von GenAI-Anwendungen zu erfassen.

Diese Kontrollen müssen durch kontinuierliche und wirksame Schulungen zur Sensibilisierung des Personals ergänzt werden. Jeder im Unternehmen sollte die potenziellen Risiken von Shadow AI sowie die genehmigten Prozesse für die Beantragung und Nutzung neuer Technologien kennen.

Miro Mitrovic

ist Area Vice President DACH bei Proofpoint.