Vernetzen Sie sich mit uns

Vordenker

GenAIs weitreichender Schatten gefährdet Ihre Unternehmensdaten

mm
Veröffentlicht
Eine konzeptionelle Breitbildvisualisierung von Schattendaten generativer KI (GenAI) zeigt einen leuchtenden Strom digitaler Partikel, der von einem Laptop ausgeht. Dieser Strom teilt sich: Ein Teil der Daten fließt zu einem autorisierten Unternehmensserver, während andere, voneinander getrennte Ströme zu einem unkontrollierten privaten Mobilgerät treiben. Dies verdeutlicht eine Lücke in der Datentransparenz und -verwaltung im modernen Büro.

Generative künstliche Intelligenz (GenAI) wird von Mitarbeitern in Unternehmen nicht länger nur „ausprobiert“. Sie wird zunehmend schneller eingeführt und in den Arbeitsalltag integriert. Laut einem Bericht nutzen bereits 40 % der Unternehmen diese Technologie. berichteten über die Nutzung von GenAI in täglichen Arbeitsabläufen. im vergangenen Jahr gaben mehr als 80 % an, dass die Nutzer diese Tools wöchentlich nutzten.

Doch während die Nutzung von KI zunimmt, halten Transparenz und Kontrolle nicht Schritt. Mit der zunehmenden Integration von GenAI in E-Mail-PosteingängeDurch Code-Editoren, Kollaborationssuiten, virtuelle Assistenten und mehr erhält es Zugriff auf immer größere Mengen sensibler Daten durch Aufforderungen, Uploads und Kopier- und Einfügeaktionen – die alle wahrscheinlich herkömmliche Kontrollmechanismen umgehen.

Das Ergebnis ist ein stetig wachsender Pool an Schattendaten: geschäftskritische Informationen fließen zwischen SaaS-, Cloud- und On-Premise-Diensten hin und her, ohne dass ausreichende Sicherheitsvorkehrungen für Transparenz, Governance oder Aufbewahrung getroffen werden. Um mit KI-Lösungen nachhaltig und sicher Innovationen voranzutreiben, ist es für moderne Unternehmen unerlässlich, diese Lücke zwischen Einführung und Kontrolle zu erkennen und Schattendaten zu adressieren, bevor sie außer Kontrolle geraten.

GenAIs breiter, trüber Schatten

Die zentrale Herausforderung von Schattendaten liegt im fehlenden Kontext. Während sich die Herausforderungen der Schatten-IT auf ruhende Dateien, genehmigte Anwendungen und bekannte Austrittspunkte beschränken, sind die Grenzen KI-gesteuerter Schattendaten deutlich weniger klar definiert. Teams können nicht nur unbekannte Tools aufspüren und absichern, sondern müssen auch KI-Modelle überwachen, die in genehmigte Anwendungen wie E-Mail-Plattformen, Cloud-Speicherlösungen und CRM-Systeme integriert sind. Dies stellt die bisher verwendeten und überwachten „sicheren“ Lösungen infrage und erweitert das Bedrohungsspektrum.

GenAI verändert auch den Umgang mit sensiblen Daten in der Unternehmensarchitektur. Anders als die anwendungs- und dateibasierten Workflows herkömmlicher SaaS-Lösungen arbeitet es auf einer kontinuierlichen, dialogorientierten Ebene, die Nutzer dazu anregt, Kontextinformationen auszutauschen, um bessere Ergebnisse zu erzielen. Dies führt dazu, dass Nutzer routinemäßige Kopier- und Einfügeaktionen durchführen und Dateien hochladen, die Quellcode-Ausschnitte, Kundendatensätze, interne Dokumente und vieles mehr enthalten können – Daten, für die es bisher keine angemessene Datenfreigabe-Richtlinie für ihre jeweiligen Sensibilitätsstufen gab.

Hinzu kommt, dass die Einführung von GenAI oft keinem klaren, zentralisierten Muster folgt. Kein Datennutzer in einem Unternehmen gleicht dem anderen, und ihr Streben nach optimierten Arbeitsabläufen und zeitsparender Automatisierung kann dazu führen, dass sie zahlreiche KI-Lösungen einsetzen, was wiederum die Datenfragmentierung weiter verstärkt. Multipliziert man dies mit der gesamten Belegschaft eines Unternehmens, wird das Problem enorm weitläufig.

Warum das Blockieren von GenAI nicht funktionieren wird

Angesichts dieser Bedrohungen reagieren viele Organisationen reflexartig mit der kompletten Blockierung oder starken Einschränkung des Zugangs zu GenAI-Tools. Obwohl dies verständlich ist, ist es oft nicht so effektiv, wie Unternehmen es sich erhoffen. Ist GenAI erst einmal im Einsatz, lässt es sich nur schwer wieder eindämmen. Viele Mitarbeiter nutzen diese Tools, um ihre täglichen Arbeitsabläufe zu optimieren und GenAI in ihre Aufgabenplanung und -ausführung zu integrieren.

Wird der Zugriff von oben eingeschränkt, wird die Nutzung wahrscheinlich nicht aufhören; sie verlagert sich lediglich in den Hintergrund. Wechseln Mitarbeiter zu privaten oder nicht verwalteten Konten, verlieren Unternehmen jeglichen Überblick darüber, welche Daten von Anwendungen geteilt und gespeichert werden. Tatsächlich ergab eine Studie, dass 44% der Mitarbeiter haben KI bereits auf eine Weise eingesetzt, die gegen Richtlinien und Vorgaben verstößt, während eine andere Studie berichtete, dass 75% der Mitarbeiter Diejenigen, die nicht genehmigte KI-Tools verwenden, gaben zu, potenziell sensible Informationen mit ihnen geteilt zu haben. Wenn gutmeinende Mitarbeiter unwissentlich Sicherheitsvorkehrungen umgehen und so Möglichkeiten schaffen, dass sensible Daten aus kontrollierten Umgebungen in Systeme mit unklaren Kontrollen gelangen, entsteht ein erhebliches Insiderrisiko, das ein Unternehmen teuer zu stehen kommen kann. durchschnittlich 19.5 Millionen Dollar jährlichIndem Unternehmen die Benutzeraktivitäten weiter in nicht verwaltete Browser, persönliche Cloud-Konten oder Nischen-KI-Tools verlagern, schaffen sie mehr Bedrohungsvektoren, die Sicherheitsteams möglicherweise nie entdecken werden.

So entstehen Schattendaten nicht allein durch leichtsinnigen Umgang von Mitarbeitern mit KI-Tools. Sie sind vielmehr eine strukturelle Folge des zugänglichen Designs von GenAI, des Kontextbedarfs und der allgemeinen Verbreitung. Solange Unternehmen nicht wieder Einblick in die Datenflüsse ihrer Schattendaten erhalten, wird die Einführung von GenAI weiterhin schneller voranschreiten als ihre Fähigkeit, die damit verbundenen Risiken zu managen.

Eliminierung von Schattendaten durch Transparenz und Schutz

Auch wenn eine vollständige Blockierung von GenAI-Lösungen wahrscheinlich nicht funktionieren wird, können Unternehmen KI-Innovationen fördern und gleichzeitig die Verbreitung von Schattendaten eindämmen, indem sie drei zentrale Maßnahmen ergreifen:

1. End-to-End-Transparenz herstellen

Unternehmen müssen genau wissen, womit sie es zu tun haben, um ihre Datenökosysteme effektiv schützen zu können. Dies beginnt mit einem umfassenden Überblick darüber, welche KI-Anwendungen von ihren Mitarbeitern genutzt werden, einschließlich derjenigen, die in genehmigten Tools integriert sind. Dazu gehört auch, die Arten von Daten – Finanzdaten, geistiges Eigentum, personenbezogene Daten, Gesundheitsdaten oder andere regulierte Informationen – zu erfassen, die mit diesen Anwendungen geteilt werden, sowie den Datenfluss innerhalb von On-Premise-, SaaS- und Cloud-Netzwerken nachzuvollziehen. Ohne diese entscheidenden Informationen müssen Sicherheits- und Compliance-Teams Annahmen treffen, anstatt das tatsächliche Verhalten der Mitarbeiter präzise zu analysieren.

2. Kontextbezogene Datenschutzrichtlinien anwenden

Transparenz allein reicht nicht aus, wenn sich die Kontrollmechanismen nicht an die Nutzung von GenAI anpassen. Klassische „Zulassen oder Blockieren“-Richtlinien sind zu starr für KI-Workflows, die einen kontinuierlichen, dialogorientierten Datenaustausch erfordern. Um diese Lösungen effektiv zu schützen, müssen Teams kontextsensitive Richtlinien erstellen, die Benutzer, Daten und Ziele in Echtzeit analysieren. So können realistische und angemessene Maßnahmen auf das Benutzerverhalten ergriffen werden, beispielsweise riskante Uploads blockiert, sensible Informationen vor dem Verlassen des Systems geschwärzt oder Mitarbeiter angewiesen werden, sicherere Alternativen zu nutzen. Diese automatisierten Schutzmechanismen lassen sich effektiver in den Arbeitsalltag integrieren als vollständige Unterbrechungen oder manuelle Eingriffe. Dadurch wird die Nutzung von GenAI sicherer, ohne die Produktivität zu beeinträchtigen.

3. Gewährleistung einer einheitlichen Durchsetzung der Richtlinien

Unternehmen müssen einheitliche Datenschutzrichtlinien überall dort durchsetzen, wo gearbeitet wird, ohne Teams zu zwingen, auf bewährte Tools zu verzichten. Ein kompletter Austausch etablierter Tools sollte vermieden werden, da dies die Produktivität erheblich beeinträchtigen würde. Stattdessen sollten einheitliche Richtlinien etabliert werden, die Daten und Nutzer über Cloud-Speicher, Kollaborationsplattformen, SaaS-Anwendungen und KI-Assistenten hinweg begleiten. Diese Einheitlichkeit reduziert Risiken und Reibungsverluste, ermöglicht es Sicherheitsteams, fragmentierte Kontrollen zu vermeiden, und Mitarbeitern, innerhalb vorhersehbarer Rahmenbedingungen zu arbeiten, anstatt unerwarteten Sperrungen ausgesetzt zu sein. Letztendlich ist eine proaktive und konsistente Reaktion deutlich effektiver als eine reaktive und fragmentierte.

Unterstützung einer sicheren und nachhaltigen Adoption

GenAI-Tools sind so schnell in die alltäglichen Arbeitsabläufe integriert worden, dass Unternehmen sie nicht länger als Nischenprodukt oder experimentelles Risiko betrachten können. Sie lassen sich weder ignorieren noch vollständig abschaffen. Stattdessen müssen Unternehmen einen Weg finden, der innovative KI-Nutzung ermöglicht und gleichzeitig den ungeschützten und intransparenten Transfer sensibler Daten in verschiedenen Datenökosystemen verhindert. Der Erfolg liegt nicht in der Unterdrückung der Einführung, sondern in ihrer sicheren Ermöglichung durch kontinuierlichen, kontextbezogenen und konsistenten Datenschutz – unabhängig davon, wo die Daten fließen.

Verwandte Themen:
mm

Jesse Grindeland blickt auf über zwei Jahrzehnte innovative Führungserfahrung in den Bereichen globaler Vertrieb, Vertriebskanäle und Marktstrategien zurück und ist damit eine anerkannte Führungspersönlichkeit in der sich ständig wandelnden Branche. Derzeit ist er als VP of Global Channels Alliances tätig bei Skyhigh SicherheitJesse treibt die Weiterentwicklung des Partnernetzwerks des Unternehmens voran, um die Markteinführung und den Kundenerfolg weltweit zu beschleunigen. Zuvor war Jesse bei Microsoft, VMware und Zscaler tätig, wo er globale Teams in den Bereichen Marketing, Vertrieb, Entwicklung und Allianzen leitete.