Schatten-KI (Bild: Freepik AI)
Veröffentlicht am von juergen.kroder@fb-pro.com

Schatten-KI: Eine tickende Zeitbombe – und wie Sie sie entschärfen können

KI-Systeme werden zunehmend in Unternehmen eingesetzt. Doch das birgt hohe Risiken, insbesondere wenn Mitarbeiter die Anwendungen unautorisiert nutzen. Hier erfahren Sie, was der EU AI Act damit zu tun hat und wie Sie den Aufbau einer Schatten-KI verhindern können.

Noch eine Baustelle, um die sich die IT kümmern muss

Die moderne Welt ist so fantastisch! Dank der New-Work-Philosophie können Mitarbeiter arbeiten, wo sie wollen. Dabei haben sie die Möglichkeit, alle Aufgaben mit ihren privaten Geräten zu erledigen – es lebe Bring Your Own Device! Außerdem lassen sich mit modernen Tools ganz einfach eigene Applikationen erstellen. Und wer nicht weiterkommt, fragt einfach eine KI-Anwendung um Hilfe.

Cut. Blicken wir nun von der bunten Theorie in die graue Praxis. 

Jedes Gerät, jeder Internetzugang, jedes Onlinetool und jede installierte Software stellt eine potenzielle Bedrohung für Ihr Unternehmen dar. Denn jede Hard- und Software bietet unzählige Angriffsflächen. Angriffsflächen, die es durch Maßnahmen wie Systemhärtung so weit wie möglich zu schließen gilt.

Diese Aufgabe ist eine gewaltige Herausforderung für Ihre IT-Abteilung. Vor allem, wenn es immer mehr Applikationen gibt, die von den Mitarbeitern ohne Absprache und Freigabe genutzt werden. Schnell entsteht so eine Schatten-IT – und eine Schatten-KI.

Was ist Schatten-KI?

Als Schatten-KI bezeichnet man den Einsatz von KI-Tools und -Programmen innerhalb eines Unternehmens, ohne das Wissen oder die Zustimmung der IT-Abteilungen. Das bedeutet: Oft nutzen Angestellte eigenmächtig ChatGPT, Gemini, Grok und Co., um Prozesse zu beschleunigen oder Aufgaben effizienter zu erledigen.

Die Risiken der Schatten-KI

Obwohl Anwendungen mit (vermeintlich) Künstlicher Intelligenz kurzfristig Vorteile bringen mögen, bergen sie erhebliche Risiken. Da eine Schatten-KI sich den Kontrollmechanismen Ihrer IT entzieht, kann sie Compliance-Verstöße, Sicherheitslücken und eminente Risiken, die das Überleben der gesamten Firma bedrohen, verursachen.

Warum? 

➡ “Datenkraken”, zu denen leider auch viele digitale Unternehmen gehören, greifen Telemetriedaten und andere Informationen ihrer Kunden ab. Dazu gehört auch OpenAI, wenn man die Datenschutzeinstellungen von ChatGPT zu “lasch” konfiguriert. Und der MS Copilot erstellt angeblich “Dossiers” über seine User.

➡ Gelingt es einem Angreifer, über ein nicht autorisiertes und ungehärtetes KI-Tool in ein Unternehmensnetzwerk einzudringen, kann er sich schnell ausbreiten, Daten stehlen oder wichtige Systeme lahmlegen. 

➡ Oder Mitarbeiter laden in KI-Anwendungen leichtfertig Firmengeheimnisse, Kundendaten und andere sensible Informationen hoch, die dann auf externen Servern landen und dort verarbeitet werden. Das geschah beispielsweise bei Samsung.

➡ Diese “Pannen” sind unter anderem Verstöße gegen aktuelle Regelungen wie die Datenschutz-Grundverordnung (DS-GVO) – was hohe Bußgelder nach sich ziehen kann.

➡ Datenlecks und Ähnliches können zudem den Ruf Ihres Unternehmens erheblich schädigen und möglicherweise zu Kundenverlusten und Umsatzeinbußen führen.

➡ Und: Werden Ihre IT-Systeme verschlüsselt oder gar zerstört, zum Beispiel über RaaS (Ransomware-as-a-Service), führt das unter Umständen zu wochenlangen Ausfällen. Im schlimmsten Fall führen diese zu einer Insolvenz oder Pleite Ihres Unternehmens. 

Der EU AI Act: Eine klare, aber anspruchsvolle Regulierung

Angesichts der potentiellen Risiken, die KI-Systeme mit sich bringen, hat die Europäische Union den AI Act eingeführt. Ziel ist es, die Entwicklung und Nutzung von KI-basierten Systemen zu regulieren, Grundrechte zu schützen und Sicherheitsrisiken zu minimieren.

Dafür hat die EU einen mehrjährigen Fahrplan vorgelegt, bei dem betroffene Organisationen erst schrittweise die Vorgaben der Verordnung umsetzen müssen. Zudem nahm man eine Klassifizierung vor, bei der die verschiedenen Arten von KI-Technologien in vier Risikokategorien eingeteilt werden: “Unacceptable Risk”, “High Risk”, “Limited Risk” und “Minimal Risk”.

EU AI Act - Risiko-Kategorien - Pyramiden Schaubild (Bild: EU)

Beispiele, was damit gemeint ist

🔻 Als “Unzulässiges Risiko” gelten KI-Anwendungen, die als zu gefährlich für die Grundrechte und die öffentliche Sicherheit eingestuft werden und daher verboten sind. Dazu zählen beispielsweise Social-Scoring-Systeme.

🔻 KI-Systeme, die in kritischen Bereichen wie im Straßenverkehr oder in der Medizin zum Einsatz kommen, bei denen Fehler schwerwiegende Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte haben, gehören in die Kategorie “Hohes Risiko”.

🔻 Chatbots, bei denen klar kommuniziert werden muss, dass die Antworten von einer KI stammen, haben das Label “Begrenztes Risiko”.

🔻 KI-gesteuerte Bots in Games oder Spam-Filter von Mailprogrammen fallen unter die Kategorie “Minimales Risiko”.

Wichtig: Der EU AI Act betrifft nicht nur die Entwickler, Betreiber und Anbieter von KI-Lösungen, sondern auch deren Kunden und Nutzer – und damit jede Firma, die auf “smarte” Algorithmen, Machine Learning oder weiter fortgeschrittene Künstliche Intelligenz setzt!

Wie Sie die Schatten-KI unter Kontrolle bringen

Mit den richtigen Maßnahmen kann das Entstehen einer Schatten-KI verhindert oder zumindest eingedämmt werden. Hier ein paar Tipps:

Einführung eines KI-Governance-Frameworks

    • Definieren Sie klare Richtlinien für den Einsatz von KI in Ihrem Unternehmen.

    • Richten Sie einen Freigabeprozess ein, um KI-Tools vor dem Einsatz zu prüfen.

    • Stellen Sie sicher, dass jedes KI-System die aktuellen Sicherheitsstandards erfüllt.

Sensibilisierung und Schulung der Mitarbeiter

    • Klären Sie Mitarbeiter über die Risiken von Schatten-KI auf.

    • Fördern Sie eine offene Kommunikation und bauen Sie Bedenken ab.

    • Erklären Sie, wie die KI-Systeme richtig und sicher genutzt werden.

Erstellung eines KI-Registers

    • Nutzen Sie Monitoring-Tools, um Schatten-KI zu erkennen.

    • Investieren Sie bei kritischen Systemen auch in manuelle Checks.

    • Erstellen Sie eine Inventarliste mit allen eingesetzten KI-Lösungen.

Proaktive Sicherheitsmaßnahmen

    • Lassen Sie KI-Systeme nur auf unkritischen Systemen zu.

    • Führen Sie eine sichere Konfiguration der AI-Applikationen durch (“KI-Härtung”).

    • Härten Sie Ihre gesamte Systemlandschaft, um die Angriffsflächen zu reduzieren.

Fazit

Der EU AI Act verschärft die Anforderungen an Unternehmen. Damit bietet er eine Chance, den Umgang mit KI-Lösungen systematisch zu verbessern. Und das ist auch gut so!

Gerade die wachsende Schatten-KI ist ein unsichtbares, aber nicht zu unterschätzendes Risiko. Mit einem durchdachten Governance-Ansatz, gezielten Schulungen und einer Optimierung Ihrer IT-Security-Strategie können Sie den “KI-Wildwuchs” unter Kontrolle bringen.

……………

Wollen Sie mehr über Systemhärtung erfahren und praktische Tipps zur sicheren Konfiguration von Systemen erhalten? Folgen Sie uns auf LinkedIn! Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!

💬 Melden Sie sich bei uns!

Bilder: Freepik AI, EU

Schreibe einen Kommentar