Schatten-KI
Schatten-KI wird zum Security-Problem
Mitarbeitende nutzen immer häufiger KI-Tools, ganz egal, ob diese vom Unternehmen bereitgestellt werden oder nicht. Eine Untersuchung von Cyberhaven fand heraus, dass 75 Prozent der ChatGPT-Nutzung am Arbeitsplatz nicht über Firmen-Accounts läuft und sogar 90 Prozent der Gemini (ehemals Bard)-Nutzung über solche Konten läuft.
Welche Gefahren sich hieraus ergeben, erklärt Volker Sommer, Regional Sales Director DACH von Varonis Systems .
Worin liegen die Probleme bei der Verwendung von KI-Tools am Arbeitsplatz, die nicht vom Unternehmen sanktioniert sind?
Die Risiken dieser Schatten-KI sind momentan noch schwer zu quantifizieren, aber man sollte sie auf jeden Fall ernst nehmen. Werden OpenAI oder Google sensitive Daten wie Quellcode oder ähnliches stehlen, wenn sie dort eingegeben werden? Höchstwahrscheinlich nicht, aber die Eingabe sensitiver Daten in nicht zugelassene KI-Tools ist niemals unproblematisch. IT-Abteilungen haben keinen Überblick darüber, welche KI-Tools von den Mitarbeitenden überhaupt eingesetzt werden, und wie sicher und legitim diese sind. Die Erfahrung zeigt, dass Nutzer KI-Assistenten nutzen wollen und hier bereitwillig sensitive Daten herausgeben. Je mehr KI-Tools von Start-ups entwickelt und eingesetzt werden, desto höher ist das Risiko, dass Daten und Code gestohlen und missbraucht werden.
Es ist nur eine Frage der Zeit, bis die ersten KI-unterstützten Datenvorfälle bekannt werden. Und es ist nicht unwahrscheinlich, dass es sich dabei eher um die freiwillige Weitergabe von Code oder digitalen Geheimnissen durch einen Nutzer handeln wird, als um einen hochqualifizierten digitalen Raubüberfall mit KI-Tools.
Erscheinen Ihnen die doch recht hohen Zahlen aus der Umfrage plausibel?
Absolut. Die Nutzer wollen ihre Arbeit so schnell und einfach wie möglich erledigen und generative KI hilft ihnen dabei. Wir stehen hier vor einer großen Herausforderung, vergleichbar mit der Situation vor ein paar Jahren, als die Schatten-IT zum Thema wurde. Sanktionen und Verbote helfen in aller Regel nicht weiter, da Nutzer immer Wege finden werden, um die Tools zu nutzen, die sie für ihre Arbeit benötigen oder die ihnen die Arbeit erleichtern. Entsprechend liegt eine Lösung darin, KI-Tools wie Microsoft Copilot anzubieten, die den Mitarbeitenden die Funktionalität von ChatGPT bieten, allerdings in einem von der IT-Abteilung sanktionierten und überwachbaren Bereich, wodurch die eigegebenen Daten besser geschützt sind.
Lassen sich die Daten beim Einsatz von KI-Tools überhaupt schützen?
Durchaus. Allerdings muss im Rahmen einer umfassenden Datensicherheitsstrategie auch die Nutzung von KI-Tools überwacht werden. Sicherheitsverantwortliche müssen in der Lage sein, riskante Eingabeaufforderungen, Antworten und Verweise auf sensitive Dateien zu überwachen und zu untersuchen. „Prompt Hacking“ wird zunehmend zu einer ernsten Cyber-Bedrohung, die entschärft werden muss. Sonst sind KI-Projekte zum Scheitern verurteilt, da die Cyber-Risiken die Produktivitätsgewinne überlagern.
