Mit der zunehmenden Verbreitung generativer KI-Tools in Geschäftsumgebungen entsteht ein neues Cybersicherheitsrisiko: Schatten-KI. Anders als bei der traditionellen Schatten-IT bezeichnet Schatten-KI die nicht genehmigte und oft verdeckte Nutzung von KI-Tools am Arbeitsplatz – darunter ChatGPT, Code-Assistenten und in SaaS-Plattformen eingebettete KI.
Laut Melissa Ruzzi, Leiterin der KI-Abteilung des SaaS-Sicherheitsunternehmens AppOmni, birgt Schatten-KI größere Risiken als Schatten-IT. Diese Tools haben oft umfassenden Zugriff auf sensible Unternehmensdaten. Im Falle eines Datenlecks können die Folgen gravierend sein. Besonders gefährlich an Schatten-KI ist ihre Unsichtbarkeit. Viele generative KI-Tools sind in genehmigte Anwendungen eingebettet oder werden über Drittanbieterplattformen genutzt. Herkömmliche Sicherheitssysteme wie CASBs (Cloud Access Security Broker) erkennen sie unter Umständen nicht.
Ruzzi warnt davor, dass diesen Tools oft grundlegende Kontrollmechanismen für Governance und Sicherheit fehlen. Sie können versehentlich auf personenbezogene und gesundheitsbezogene Daten zugreifen oder diese offenlegen und Unternehmen so dem Risiko aussetzen, gegen wichtige Datenschutzgesetze zu verstoßen. Dazu gehören die EU-DSGVO, der kalifornische CCPA und CPRA sowie der US-amerikanische HIPAA. Schatten-KI kann leicht gegen zentrale Datenschutzprinzipien verstoßen. Dazu zählen Datenminimierung, Zweckbindung und angemessener Schutz sensibler Daten. Bleibt dies unkontrolliert, kann es zu Klagen, Bußgeldern oder Imageschäden aufgrund von Verstößen gegen regulatorische Bestimmungen kommen.
Um diesen Risiken zu begegnen, müssen Unternehmen proaktiv handeln. Ruzzi empfiehlt den Einsatz fortschrittlicher SaaS-Sicherheitstools, die Anwendungskonfigurationen scannen und unautorisierte KI-Nutzung erkennen. Mitarbeiterschulungen sind ebenfalls unerlässlich. Die Mitarbeiter sollten die Gefahren der Nutzung nicht genehmigter KI verstehen und klare interne Richtlinien befolgen. Da KI zunehmend in die täglichen Arbeitsabläufe integriert wird, müssen Unternehmen neuen Bedrohungen einen Schritt voraus sein. Der Umgang mit Schatten-KI ist nicht länger optional, sondern ein notwendiger Schritt, um Daten zu schützen, Compliance zu gewährleisten und Vertrauen in der heutigen KI-gestützten digitalen Welt zu schaffen.
Quelle:
https://www.technewsworld.com/story/beyond-chatgpt-shadow-ai-risks-lurk-in-saas-tools-179806.html
