Connect with us

Vordenker

Wie sollten Unternehmen den Überlastung von KI-Anwendungen angehen?

mm
Published
Updated

Kein so persönlicher Computer

Für Jahre wurde die technologische Entwicklung von dem Wunsch getrieben, das Computing zugänglicher zu machen. Von Smartphones bis hin zu Tablets, Laptops und Wearable-Technologie gibt es einen allgemeinen Trend, Computer und ihre Fähigkeiten zunehmend persönlicher zu machen. Man denke nur an die Nomenklatur von Brancheneckpfeilern: den “Personal Computer”, oder PC; den “i”-Pod, Pad, Phone und darüber hinaus. Jedes dieser Geräte soll als persönlicher Begleiter dienen, um die digitale Erfahrung des Benutzers und damit sein Leben zu optimieren.

Die Entwicklung von künstlicher Intelligenz (KI) – insbesondere von großen Sprachmodellen (LLMs) und agentischen Lösungen – verläuft größtenteils in die gleiche Richtung. Wie der PC und das iPhone haben KI-Tools wie ChatGPT Computertätigkeiten wie Suchen, Bearbeiten und Brainstorming für die breite Öffentlichkeit zugänglicher gemacht. Doch während diese Zugänglichkeit die Nutzung erhöht hat, hat sie auch das Risiko erhöht.

Ob durch vergiftete Konnektoren oder unbeabsichtigte Suchmaschinen-Indexierung, die Bedrohungen für die private KI-Nutzung werden zunehmend schwieriger zu schützen. Wenn man die Unsicherheiten hinzufügt, wer welche Tools nutzt, stehen Unternehmen vor einem perfekten Sturm aus wachsenden Bedrohungen und unzureichendem Schutz. Angesichts des Versprechens von KI-Tools und der Unsicherheit, wie man sie sichern kann, was soll ein technologisch fortschrittliches Unternehmen tun?

Das Wachstum von nicht genehmigten KI-Apps

Mit über 700 Millionen täglichen Nutzern im Jahr 2025 ist die Nutzung von ChatGPT um mehr als 4x im Vergleich zum Vorjahr gestiegen. Selbst so sind nur fünf Millionen dieser Nutzer zahlende Geschäftskunden. Das bedeutet, dass die anderen 695 Millionen oder so Mitglieder ihrer Nutzerbasis entweder persönliche oder nicht genehmigte Geschäftsnutzer sind. Diese Zahl erscheint groß, bis man sich daran erinnert, dass ChatGPT nicht die einzige KI-Lösung auf dem Markt ist. Tatsächlich ist es weit davon entfernt – die zeitgenössische Explosion von KI- und Machine-Learning-Fortschritten hat Hunderttausende neuer Modelle und Lösungen, sowohl öffentliche als auch private, generiert.

Für Unternehmen hat das exponentielle Wachstum von KI-Lösungen zu einer neuen Dimension der Cyber-Bedrohungslandschaft geführt, die als “Shadow AI” bezeichnet wird. Wie das Phänomen von “Shadow IT” basiert dieses Konzept auf der Nutzung von KI-Lösungen durch Mitarbeiter ohne vorherige Überprüfung und ausdrückliche Genehmigung ihrer Organisation. Dies umgeht alle IT- und Sicherheitsüberwachung vollständig, was zu Szenarien führt, in denen Mitarbeiter möglicherweise gefährliche oder unsichere Lösungen für sensible Arbeiten nutzen.

Die Nutzung von Shadow AI ist sowohl allgegenwärtig als auch expandierend. Ein Bericht fand heraus, dass über 320 nicht genehmigte KI-Apps im Durchschnitt pro Unternehmen genutzt werden. Jede dieser nicht genehmigten Apps und ihre Nutzung durch Mitarbeiter erweitert die Bedrohungslandschaft weiter.

Die inhärenten Risiken von KI-Überlastung

Die mit KI-Überlastung verbundenen Bedrohungen sind vielfältig und, leider, kontinuierlich expandierend. Einige, wie Datenvergiftung, Prompt-Injektion, Modell-Manipulation und Daten-Scraping, sind allgemein bekannt. Diese direkten Versuche, KI zu manipulieren und auszunutzen, können böswilligen Akteuren den Zugriff auf sensible Unternehmensdaten und interne Systeme ermöglichen. Angesichts dieses Risikos beginnen Unternehmen, sich aktiv gegen solche Angriffe zu schützen.

Aber Unternehmen können sich nur gegen die Bedrohungen schützen, die sie kennen. Man denke an die Sicherung einer mittelalterlichen Burg. Mauern, Wachtürme, Tore, Gräben und mehr helfen, die Burg gegen äußere Feinde und Eindringlinge zu sichern. Aber was, wenn das Küchenpersonal einen geheimen Gang hat, der die äußeren Mauern umgeht? Oder ein lautmundiger Wächter wird im lokalen Wirtshaus über Schichtwechsel gehört? Jede dieser unbekannten Bedrohungen könnte Helfern helfen, die Sicherheit zu umgehen und die inneren Mauern zu durchbrechen.

Shadow AI hat den gleichen Effekt auf die Unternehmensdatensicherheit. Selbst die gut gemeinte Nutzung von nicht genehmigten LLMs und Copiloten kann für den Schutz sensibler Daten zu einer Katastrophe führen, da jede unsichere Lösung als Tor für böswillige Akteure dienen kann. Jede Nutzung von LLMs erhöht inhärent das Risiko von Problemen wie Datenretention, Prompt-Injektion oder Modell-Verzerrung, von denen jedes seine eigenen relevanten Sicherheitsmaßnahmen erfordert. Dies erhöht die Risiken von Datenlecks, Compliance-Verletzungen und Betriebsfehlern, die oft erst nachdem der Schaden bereits angerichtet wurde, identifiziert werden.

Die Kontrolle über KI-Lösungen etablieren

Da die KI-Nutzung auf beiden Ebenen, persönlich und unternehmensweit, weiter wächst, ist es entscheidend, dass Organisationen die Kontrolle über diese Lösungen etablieren, bevor die Adoption außer Kontrolle gerät. Die Sicherung von Unternehmens-KI und der Schutz vor nicht genehmigten KI-Risiken umfasst:

  1. Umfassende Sichtbarkeit gewinnen. Wie bereits erwähnt, kann man seine Daten nicht gegen Bedrohungen schützen, die man nicht kennt. Die Sicherheit beginnt mit der Überwachung aller KI-Lösungen, die die Mitarbeiter nutzen – sowohl genehmigte als auch nicht genehmigte. Dies ist leichter gesagt als getan, aber eine Cloud-Access-Security-Broker-(CASB)-Lösung kann helfen, eine kontinuierliche Sichtbarkeit in die Anwendungsnutzung der Mitarbeiter zu etablieren.
  2. Gründliche Risikobewertungen durchführen. Teams sollten TPRM-Bemühungen unternehmen, um sicherzustellen, dass alle KI-Lösungen auf ihre Sicherheit und potenziellen Risiken bewertet werden. Diese Bemühungen sollten sich auch auf die vierte Ebene erstrecken, da sogar genehmigte Anwendungen wie CRM- oder Produktivitätsplattformen beginnen, externe LLM-Fähigkeiten in ihre Plattformen zu integrieren. Diese vierten Lösungen müssen den gleichen Sicherheitsstandards wie jede intern genehmigte Anwendung entsprechen.
  3. Regierungsrahmen etablieren. Mit dieser Überwachung und dem Verständnis ihrer Lösungen können Organisationen konsistente KI-Regierungsrichtlinienframeworks in ihrem Anwendungsumfeld entwickeln und bereitstellen. Wie bei dem Zugriff auf Daten können diese Regierungsrichtlinien helfen, die Arten von KI-Lösungen zu kontrollieren, auf die Mitarbeiter zugreifen können, die Informationen, die sie mit ihnen teilen können, und die Transparenz ihrer täglichen Nutzung.
  4. Risikenerkennung automatisieren. Das exponentielle Wachstum der KI-Adoption macht die manuelle Risikenerkennung und -reaktion nahezu unmöglich. Die Automatisierung dieser Prozesse basierend auf Regierungsrichtlinien und erwartetem Benutzerverhalten kann helfen, proaktiv Anomalien zu identifizieren und ihre breitere Sicherheitsauswirkung zu begrenzen.
  5. Mitarbeitererwartungen erklären. Der wichtigste Teil der sicheren KI-Adoption und -Nutzung sind die Mitarbeiter. Die Bereitstellung angemessener Schulung und die Festlegung klarer Erwartungen können helfen, gleichzeitig die riskante KI-Nutzung zu verhindern und die sichere, geschäftsfördernde Nutzung von genehmigten und geschützten Lösungen durchzusetzen.

Die sichere KI-Adoption aufrechterhalten

Durch die Etablierung dieser proaktiven Sicherheitsmaßnahmen gewinnen Unternehmen eine umfassendere Sicht auf die Weise, wie sie KI-Lösungen nutzen – sowohl genehmigte als auch im “Schatten”. Dies hat einen sofortigen Einfluss auf die Sicherheit, indem Teams bestehende Risiken und Bedrohungsvektoren identifizieren und Maßnahmen ergreifen können, um sie zu beheben.

Wichtiger jedoch ist, dass es diese Unternehmen auf langfristigen KI-Erfolg vorbereitet. Durch die Schaffung der technischen Grundlage für die sichere KI-Adoption und einer Sicherheitskultur unter KI-Nutzern hilft dieser mehrschichtige Ansatz, ein nachhaltiges Modell für zukünftige KI-Tools zu schaffen. Mit technischer Unterstützung und angemessener Schulung können Mitarbeiter die Vorteile von KI nutzen, ohne von ihren inhärenten Risiken belastet zu werden.

Organisationen, die diese Änderungen früher vornehmen, werden am besten darauf vorbereitet sein, die Zukunft von KI-Lösungen zu meistern, was auch immer sie bringen mag. Durch die vorherige Erstellung einer starken Grundlage – anstatt einfach nur das Feld der KI-Adoption abzuhaken – werden Teams in die beste mögliche Position für anhaltenden KI-getriebenen Erfolg gebracht.

Related Topics:
mm

Thyaga Vasudevan ist ein hochenergetischer Software-Experte, der derzeit als Executive Vice President, Product bei Skyhigh Security tätig ist, wo er das Produktmanagement, Design, Produktmarketing und GTM-Strategien leitet. Mit einer Fülle von Erfahrungen hat er erfolgreich dazu beigetragen, Produkte in beiden SAAS-basierten Unternehmenssoftware (Oracle, Hightail - früher YouSendIt, WebEx, Vitalect) und Consumer-Internet (Yahoo! Messenger - Voice und Video) aufzubauen.

Er ist dem Prozess der Identifizierung von zugrunde liegenden Endbenutzerproblemen und Anwendungsfällen gewidmet und fühlt sich dabei wohl, die Spezifikation und Entwicklung von High-Tech-Produkten und -Dienstleistungen zu leiten, um diese Herausforderungen anzugehen, einschließlich der Unterstützung von Organisationen bei der Navigation des zarten Gleichgewichts zwischen Risiken und Chancen. Thyaga liebt es, zu unterrichten und zu mentorieren, und hatte das Privileg, auf angesehenen Veranstaltungen wie RSA, Trellix Xpand, MPOWER, AWS Re:invent, Microsoft Ignite, BoxWorks und Blackhat zu sprechen. Er gedeiht an der Schnittstelle von Technologie und Problemlösung, mit dem Ziel, Innovationen voranzutreiben, die nicht nur aktuelle Herausforderungen angehen, sondern auch zukünftige Bedürfnisse antizipieren.