Vordenker

Schatten-AI war das einfache Problem: Die wahre Gefahr sind versteckte Agenten in genehmigter Software

mm
Veröffentlicht am

Vor zwei Jahren bedeutete Schatten-AI, dass Mitarbeiter Kundendaten in ChatGPT einfügten. Die Lösung war im Großen und Ganzen machbar: die Tools entdecken, die guten sanktionieren, die schlechten blockieren und die Menschen schulen. Die meisten Organisationen sind irgendwo in der Mitte der Umsetzung dieses Playbooks, wo 61% bereits Schatten-AI in ihren Umgebungen erlebt haben und das Playbook größtenteils funktioniert.

Allerdings beschreibt diese Beschreibung das Problem nicht mehr. Schatten-AI hat sich von einem Verhaltensproblem zu einem architektonischen Problem verschoben. Traditionelle Governance kann nicht mit der modernen Landschaft Schritt halten, einschließlich von vendor-embedded und employee-wired AI-Agents, die innerhalb von genehmigten Systemen mit vererbten Credentials operieren, was die Identität zum einzigen realen Kontrollpunkt macht.

Die zwei Schatten, die Sie nicht beobachten

Die interessante Frage im Jahr 2026 ist nicht, welches AI-Tool ein Mitarbeiter geöffnet hat. Es ist, welcher AI-Agent Ihr genehmigter Vendor stillschweigend in das letzte Quartals-Produktupdate eingeschleust hat und welche Berechtigungen er von dem Menschen, der es installiert hat, geerbt hat.

Schatten-AI war früher eine Frage des Verhaltens. Sie konnten es sehen, benennen und eine Richtlinie dagegen erstellen. Die Version, die sich jetzt ausbreitet, ist strukturell. Sie kommt durch Software, die Sie bereits genehmigt haben, unter Credentials, die Sie bereits ausgegeben haben, in Workflows, die Sie bereits auditiert haben. Der Schatten ist nicht mehr verhaltensmäßig, er ist architektonisch. Mitarbeiter sind immer noch im Bild, aber sie haben sich von der Nutzung von AI zur Bereitstellung von AI bewegt: sie verbinden Agenten mit den Systemen, auf die sie bereits Zugriff haben, und tun dies durch Schnittstellen, die dafür designed sind, dies einfach zu machen. Die Richtlinien, die für das erste Verhalten erstellt wurden, erreichen das zweite nicht.

Dies ist der Grund, warum “verbieten” nie die wahre Debatte war. Die CISOs, die Schatten-AI durch die Sanktionierung von Unternehmens-Tools und die Förderung von Mitarbeitern zu regulierten Alternativen im Voraus waren, haben diese Runde gewonnen und entdeckten, dass die nächste bereits im Gange war und dass sie zwei Vektoren hatte, nicht einen. Der erste ist, was genehmigte Vendor in Produkte einbringen, die bereits in Produktion sind: eingebettete Modelle, agentische Modi, neue Integrationen, die in einer Versionshinweiszeile angekommen sind, die niemand gelesen hat. Der zweite ist, was Mitarbeiter selbst verbinden: ein LLM, das mit dem CRM über eine no-code-Automatisierung verbunden ist, ein Custom GPT, das einen API-Schlüssel zur Datenbank erhalten hat, eine MCP-Verbindung von einem Desktop-Assistenten zu einem Produktions-System. Beide erzeugen das gleiche Ergebnis, das Agents unter genehmigten Credentials, gegen genehmigte Systeme, in Workflows, die nie einer Überprüfung unterzogen wurden, die sie erfassen sollten. Beschaffung kann den ersten Vektor sehen und den zweiten vollständig verpassen.

Es lohnt sich, ehrlich zu sein, wie ungleich die erste Runde tatsächlich gewonnen wurde. Neun von zehn Organisationen planen AI-bezogene IT-Budgeterhöhungen, wobei viele eine breitere Expansion über IT-Operationen in den nächsten 6-24 Monaten planen. Der Ausgabenfluss fließt in intelligente Fähigkeiten. Kontrollen holen auf, Zoll für Zoll. Diese Ungleichheit ist das Problem, nicht eine Nebenwirkung davon.

Die Perimeter war immer menschlich

Das mentale Modell, das für die erste Welle funktioniert hat, funktioniert nicht für diese. Schatten-AI als Mitarbeiterverhalten nahm an, dass ein Mensch in der Schleife eine Wahl traf, die das Sicherheitsteam beeinflussen konnte. Schatten-AI als Vendor-Architektur entfernt die Wahl. Das Modell, das die E-Mail erstellte, der Agent, der das Meeting geplant hat, der Assistent, der das Dokument zusammengefasst und weitergeleitet hat. Keines davon erforderte, dass ein Mitarbeiter etwas anderes tat, als weiterhin Software zu verwenden, die er verwenden sollte.

Die ehrliche Antwort ist, dass die Perimeter, die die meisten Sicherheitsprogramme immer noch verteidigen, eine Perimeter menschlichen Handelns war. Mitarbeiter, die Tools öffnen, Mitarbeiter, die Zugriff gewähren, Mitarbeiter, die Entscheidungen treffen, die das Sicherheitsteam beobachten und beeinflussen kann. Diese Perimeter löst sich in zwei Richtungen gleichzeitig auf. Von oben herab bringen Vendor Agenten in genehmigte Produkte ein, schneller als jedes Überprüfungsverfahren nachkommen kann. Von unten herauf treten Mitarbeiter aus der Rolle des Benutzers in die Rolle des Integrators ein, indem sie Agenten in Systeme über Schnittstellen einbinden, die dafür designed sind, selbstbedienend zu sein und nie für Governance instrumentiert wurden. Die Ersatzperimeter, die um das identifiziert, was Identitäten tun, unabhängig davon, ob diese Identitäten Menschen sind oder nicht, und unabhängig davon, wer sie bereitgestellt hat, erfordert ein Kontrollgewebe, das die meisten Organisationen noch nicht haben.

Der einzige Ort, an dem man noch suchen kann

Identität ist der richtige Kontrollpunkt, aber die Ausrichtung muss sich ändern. Die konventionelle Formulierung sagt “Identität ist die neue Perimeter”, weil Benutzer überall sind und Geräte überall sind und SaaS überall ist. Das war vor einem Jahrzehnt wahr, heute ist es ein Muss. Die Version, die 2026 zählt, ist anders: Identität ist der einzige Ort, an dem man sehen kann, was AI tatsächlich tut, weil sie, wenn sie es tut, die Tool-Grenze bereits überschritten hat. Der Agent handelt unter den Credentials einer Person. Wessen, mit welchem Umfang, gegen welche Daten, auf wessen Autorisierung sind die einzigen Fragen, die einen nützlichen Audit-Trail erzeugen. Tool-Level-Governance kann diese Fragen nicht beantworten, weil das Tool nicht mehr die Analyseeinheit ist.

Fast 90% der IT-Führer erkennen bereits, dass Unifizierung einen direkten Einfluss auf ihre Fähigkeit hat, AI sicher umzusetzen und zu skalieren. Die schwierigere Frage ist, was Unifizierung tatsächlich auf der KontrollEbene bedeutet. Es kann nicht nur weniger Dashboards bedeuten. Es bedeutet ein einziges Identitäts-Gewebe, in dem jeder Akteur, sei er menschlich, Dienstkonto, Agent, eingebettetes Modell, über die gleichen Mechanismen bereitgestellt, umfasst, überwacht und zurückgezogen wird. Alles, was weniger ist, gibt Ihnen das Aussehen konsolidierter Governance, wenn es tatsächlich nur fragmentierte Durchsetzung ist.

Ihre Vendor-Überprüfung hat ein Ablaufdatum

Leider ist eine Vendor-Überprüfung nur für eine bestimmte Zeit gültig. Dies hat unangenehme Auswirkungen auf die Struktur von Sicherheitsprogrammen. Die meisten AI-Governance-Komitees sind um Tool-Überprüfung organisiert, wobei Vendor hereinkommen und bewertet, sanktioniert oder abgelehnt werden, um in das Register aufgenommen zu werden. Dieser Prozess geht davon aus, dass das Verhalten des Tools zum Zeitpunkt der Sanktion das Verhalten in der Produktion ist. Für AI-eingebettete Software ist diese Annahme gebrochen, bevor die Tinte trocknet. Der Vendor wird ein neues Modell, einen neuen Agenten-Modus, eine neue Integration ausliefern, und die Governance-Überprüfung, die vor sechs Monaten genehmigt wurde, beschreibt jetzt ein Produkt, das nicht mehr existiert.

Vom Tool zur Identität

Die Programme, die halten werden, sind diejenigen, die Governance vom Tool auf die Identität verlagern. Jede Aktion gegen Ihre Daten, durch jeden Akteur, ist auf eine Identität mit einem bekannten Besitzer, einem umfassten Berechtigungssatz und einer definierten Lebensdauer zurückzuführen. Ob es sich um einen Menschen oder eine nicht-menschliche Entität handelt, um einen Mitarbeiter oder einen Agenten, um ein sanktioniertes Tool oder einen eingebetteten Modus, die Frage ist dieselbe: Wer ist das, was sind sie erlaubt, und wie wissen wir, wann das aufhören sollte, wahr zu sein? Programme, die diese Fragen beantworten können, müssen nicht den Tool-Sanktions-Wettlauf gewinnen. Programme, die es nicht können, werden hinter Vendor und Mitarbeitern herlaufen, die schneller liefern als jedes Überprüfungsverfahren.

Schatten-AI als Kategorie wird nicht verschwinden. Insbesondere mit dem neuen Zeitalter der agentischen Arbeitskräfte haben 72% der Organisationen bereits AI-Agents in der Produktion. Stattdessen wird es zu einem kleineren Teil eines größeren Problems. Die Organisationen, die in der nächsten Budgetrunde Tool-Entdeckung und Sanktionsrichtlinien ausgeben, lösen das Problem von 2024 auf einem 2026-Timeline. Diejenigen, die es für Identitäts-Schicht-Instrumentierung für Menschen, für Agenten, für die unsaubere Kontinuität zwischen ihnen ausgeben, lösen das Problem, das sie tatsächlich haben werden.

Die erste Welle von Schatten-AI hat Sicherheitsteams gelehrt, dass sie nicht der Neugier der Mitarbeiter entkommen können. Die zweite Welle wird ihnen beibringen, dass sie nicht der Vendor-Geschwindigkeit oder der Mitarbeiter-Erfindungsreichheit entkommen können. Beide Lektionen weisen auf die gleiche Schlussfolgerung hin. Die Einheit der Governance war nie das Tool. Es war immer die Identität, die durch es handelt.

mm

Roland Palmer ist der Chief Information Security Officer (CISO) und Vice President of Security bei JumpCloud.

Ein anerkannter Experte im Bereich der Skalierung globaler Risiko- und Compliance-Rahmenwerke, überwacht Roland die globale Sicherheitsstrategie von JumpCloud und stellt sicher, dass die Plattform eine widerstandsfähige Grundlage für intelligente und sichere IT bleibt. Mit über 20 Jahren Erfahrung hat Roland eine bewährte Erfolgsbilanz bei der Umwandlung komplexer Risikolandschaften in greifbaren Geschäftswert. Bevor er zu JumpCloud kam, verbrachte er acht Jahre als VP of Security and Compliance bei Sumo Logic, wo er das Global Security Operations Center von Grund auf aufbaute und wichtige Zertifizierungen wie FedRAMP, ISO 27001 und HIPAA erlangte.

Roland ist bekannt für seinen pragmatischen, hands-on-Führungsstil - gleichzeitig komfortabel, wenn er dem Vorstand berichtet, wie wenn er seine Ärmel im SOC aufrollt. Er betrachtet Sicherheit nicht als Hindernis, sondern als strategischen Vorteil, der, wenn er in die Struktur eines Produkts integriert wird, Wachstum beschleunigt und tiefes Kundenvertrauen fördert.