Warum Identitätssicherheit der Schlüssel zur Verwaltung von Schatten-KI ist

Mitarbeitende nutzen Tools der künstlichen Intelligenz (KI) zur Steigerung ihrer Produktivität, denken dabei jedoch selten an die damit verbundenen Sicherheitsrisiken. Wenn Mitarbeitende vertrauliche Kundendaten in ein nicht genehmigtes KI-Tool einfügen, werden diese Daten von einem Modell eines Drittanbieters verarbeitet, das sich der Kontrolle des Unternehmens entzieht, sodass den Sicherheitsteams oft kein Audit-Protokoll für Überprüfungen zur Verfügung steht.

Laut dem Jahresbericht zum Arbeitstrendindex 2024 von Microsoft gaben 78 % der Beschäftigten an, bei der Arbeit ihre eigenen KI-Tools zu nutzen. Dieser nicht genehmigte Einsatz von KI-Tools zeigt, wie weit verbreitet die Schatten-KI inzwischen ist. Identitätssicherheit bildet die Grundlage für die Bewältigung dieser Herausforderung, indem sie Unternehmen dabei unterstützt, einen Überblick darüber zu gewinnen, wer unter welchen Bedingungen auf KI-Tools zugreift. So erhalten Sicherheitsteams die Kontrolle, die sie zur Steuerung der KI-Nutzung benötigen.

Lesen Sie weiter, um mehr über Schatten-KI zu erfahren, warum sie ein großes Risiko für die Identitätssicherheit darstellt und wie Sie identitätsbezogene Schatten-KI steuern können.

Schatten-IT vs. Schatten-KI

Schatten-KI erweitert die bestehenden Risiken der Schatten-IT, führt aber zu moderneren und komplexeren Bedrohungen. Schatten-IT bezeichnet die unerlaubte Nutzung von Software oder Systemen innerhalb eines Unternehmens. Zum Beispiel kann ein Mitarbeiter sein privates E-Mail-Konto nutzen, um Arbeitsdateien zu teilen, sodass Zugriffskontrollen und Transparenzlücken entstehen. Schatten-KI treibt diese Bedrohung noch einen Schritt weiter, da KI-Tools nicht nur Daten speichern, sondern sie auch aktiv verarbeiten und möglicherweise behalten. Dadurch entsteht eine neue Ebene der Datenoffenlegung, bei der vertrauliche Informationen tief in externe Modelle eingebettet werden können, die außerhalb der Kontrolle eines Unternehmens liegen. Zwei Faktoren, die die Steuerung von KI besonders schwierig machen, sind:

• Nutzung privater Konten oder Geräte: Mitarbeitende, die über private Konten und Geräte außerhalb von unternehmenseigenen Umgebungen auf KI-Tools zugreifen, trennen ihre Aktivitäten von ihrer Unternehmensidentität, wodurch Transparenz und Nachvollziehbarkeit verloren gehen.
• Browserbasierte KI-Tools: Browserbasierte KI-Tools erfordern keine Installation, was sie in Umgebungen, die sich ausschließlich auf Endpunkt-basierte Kontrollen verlassen, schwerer erkennbar macht.

Diese Kombination aus Datenexposition in so großem Maßstab und Tools, die herkömmliche Erkennung umgehen können, macht Schatten-KI zu einem besonders herausfordernden Sicherheitsproblem.

Warum Schatten-KI ein Problem der Identitätssicherheit darstellt

Wenn Mitarbeitende nicht genehmigte KI-Tools verwenden, haben die Sicherheitsteams keinerlei Einblick in die weitergegebenen Daten, wer auf das Tool zugegriffen hat oder was das Tool mit diesen Daten macht. Dieser Mangel an Transparenz der Identität ist der Hauptgrund, warum Schatten-KI so schwer zu erkennen, geschweige denn zu kontrollieren ist. Herkömmliche IAM-Lösungen (Identitäts- und Zugriffsverwaltung) wurden für menschliche Benutzer mit vorhersehbarem Verhalten und festgelegten Rollen entwickelt, doch moderne Unternehmen müssen ihre Sicherheitsstrategien an nicht-menschliche Identitäten (NHIs), einschließlich KI-Agenten und Dienstkonten, anpassen. Diese maschinellen Identitäten können autonom auf Systeme zugreifen und Aufgaben in mehreren kritischen Systemen ausführen und erfreuen sich in Unternehmen zunehmender Beliebtheit. Tatsächlich gaben laut der weltweiten Umfrage von McKinsey zum Stand der KI im Jahr 2025 62 % der befragten Führungskräfte an, dass ihre Unternehmen zumindest mit KI-Agenten experimentierten. Anders als menschliche Benutzer können KI-Agenten kontinuierlich arbeiten, schnell skalieren und mit vielen Systemen gleichzeitig interagieren. Ohne Identitätssicherheitskontrollen, die sowohl menschliche als auch maschinelle Identitäten steuern können, verlieren Unternehmen die Kontrolle darüber, wie auf ihre Daten zugegriffen wird und wie diese verwendet werden.

Die größten Risiken im Bereich identitätsbezogener Schatten-KI

Eine schwache Identitätssicherheit erschwert nicht nur die Erkennung von Schatten-KI, sondern verschlimmert auch den Schaden, den Schatten-KI anrichten kann.

Unüberwachter Datenzugriff

Mitarbeitende, die sensible Daten mit nicht genehmigten KI-Tools teilen, schaffen eine Datenexposition, die herkömmliche Überwachungssysteme womöglich nicht erkennen. Tools zur Verhinderung von Datenverlusten können nur Kanäle überwachen, in die sie Einblick haben; Schatten-KI agiert außerhalb dieser Grenzen. Wenn ein Mitarbeiter ein nicht genehmigtes KI-Tool über ein nicht überwachtes privates Konto verwendet, haben Unternehmen keine Möglichkeit zur Überwachung, Aufzeichnung oder Protokollierung der Aktivitäten. Wenn privilegierte Daten oder Zugangsdaten offengelegt werden, können Cyberkriminelle ohne ein klares Audit-Protokoll Zugriff auf kritische Systeme erhalten.

Ausbreitung maschineller Identitäten

Im Gegensatz zu menschlichen Mitarbeitenden, die formelle Onboarding- und Offboarding-Prozesse durchlaufen, fehlt es KI-Agenten und Dienstkonten oft an einem strukturierten Lebenszyklusmanagement. Infolgedessen läuft eine wachsende Anzahl von maschinellen Identitäten in mehreren Umgebungen mit übermäßigen Berechtigungen und begrenzter Aufsicht, was zu einer Ausbreitung der maschinellen Identitäten führt. Ohne Einblick in die maschinellen Identitäten können Unternehmen nicht überprüfen, auf welche Systeme zugegriffen wird oder ob diese kompromittiert wurden.

Compliance- und Audit-Lücken

Regulatorische Frameworks wie die DSGVO, HIPAA und PCI DSS verpflichten Unternehmen dazu, nachzuverfolgen, wie auf sensible Daten zugegriffen und diese verarbeitet werden, unabhängig davon, ob ein Mensch oder eine Maschine dafür verantwortlich ist. Wenn die Identitätssicherheit nur menschliche Benutzer abdeckt, können Unternehmen keine vollständigen Audit-Trails erstellen, die KI-Aktivitäten berücksichtigen. Dadurch drohen ihnen behördliche Sanktionen und Audit-Ergebnisse, die im Nachhinein immer schwieriger zu beheben sind.

So wird identitätsorientierte Schatten-KI gesteuert

Die Verwaltung von Schatten-KI sollte nicht bedeuten, alle KI-Tools für Mitarbeitende Ihres Unternehmens zu sperren. Vielmehr sollte es darum gehen, einen vollständigen Überblick darüber zu erhalten, wer auf wichtige Systeme und Daten zugreift. Hier sind einige wichtige Schritte, die Ihre IT- und Sicherheitsteams befolgen sollten, um einen identitätsorientierten Ansatz zur Steuerung von Schatten-KI zu verfolgen:

Schutz menschlicher und maschineller Identitäten mit Keeper^®

Mit zunehmender Verbreitung von KI wird auch die Schatten-KI wachsen. Unternehmen benötigen eine Identitätssicherheitsplattform, die Transparenz, Kontrolle und Governance für jede Identität bietet – sowohl für Menschen als auch für Maschinen.

Keeper sichert den privilegierten Zugriff sowohl für menschliche Benutzer als auch für maschinelle Identitäten, setzt Least-Privilege-Richtlinien durch und bietet Sitzungsüberwachung in Echtzeit für kritische Systeme. Es regelt die Infrastrukturgeheimnisse und API-Schlüssel, auf die sich KI-Agenten verlassen, und stellt sicher, dass NHIs innerhalb festgelegter Grenzen arbeiten und Zugangsdaten automatisch rotiert werden. KeeperAI verbessert diese Transparenz, indem privilegierte Sitzungen in Echtzeit analysiert und risikoreiche Aktivitäten aufgedeckt werden, sobald sie auftreten. Keeper basiert auf einer Zero-Trust- und Zero-Knowledge-Architektur, und bietet Audit-Trails und Zugriffskontrollen, die Unternehmen benötigen, um die Nutzung von KI zu steuern, ohne die damit verbundene Produktivität zu beeinträchtigen.

Starten Sie noch heute eine kostenlose Testversion von Keeper, um volle Transparenz und Kontrolle über jede Identität in Ihrer Umgebung zu erhalten.