Schatten-KI: Risiken durch unkontrollierte KI-Anwendungen

Mehr KI-Nutzung als Unternehmen wissen

Interessant ist dabei, dass laut einer Umfrage des Personaldienstleisters Adecco (PDF) zum Ende 2023 bereits 75 Prozent aller Befragten auf KI setzen, nach einer Umfrage des Bitkom aber nur 15 Prozent aller Unternehmen KI einsetzen. Die Zahlen legen die Vermutung nahe, dass in vielen Unternehmen bereits auf KI gesetzt wird, ohne das Wissen der IT-Abteilung oder des Managements. Laut einer Befragung von 6.000 Wissensarbeitern nutzen 50 Prozent von ihnen nicht von der Firma bereitgestellte KI-Tools. Zudem würde fast die Hälfte diese Tools weiterhin nutzen, selbst wenn ihr Unternehmen sie verbieten würde.

Dabei werden formelle Kontroll- und Genehmigungsprozesse umgangen, was erhebliche Risiken mit sich bringt. Laut dem jüngsten Cato CTRL SASE Threat Report gehört Schatten-KI zu den wachsenden Herausforderungen moderner IT-Sicherheitsstrategien. Zu den oft eingesetzten Anwendungen zählen Tools wie Bodygram, Craiyon und Otter.ai, die sensible Unternehmensdaten verarbeiten können. Es gibt aber zahlreiche weitere KI-Tools und täglich werden es mehr.

Der Bericht von Cato CTRL dokumentiert die wachsende Verbreitung von Schatten-KI. Aus über 100 untersuchten KI-Anwendungen wurden zehn identifiziert, die besonders hohe Sicherheitsrisiken darstellen. Dazu gehören neben Bodygram auch Fireflies.ai und PeekYou. Besonders kritisch ist, dass die meisten dieser Tools Daten wie biometrische Informationen, Transkriptionsdaten oder interne Dokumente verarbeiten. Die potenziellen Folgen reichen von Datenschutzverletzungen bis hin zu wirtschaftlichem Schaden durch den Diebstahl geistigen Eigentums.

Die Risiken für Daten durch Schatten-KI

Viele KI-Nutzer sind sich nicht ausreichend bewusst, dass die von ihnen eingegebenen Daten häufig von den Anbietern für Trainingszwecke genutzt werden. Dabei werden diese Daten verwendet, um die Modelle zu verbessern, was anderen Nutzern, darunter auch Mitbewerbern, zugutekommt. Besonders problematisch wird dies, wenn Anwender unkontrolliert oder ohne Genehmigung KI-Dienste nutzen. In solchen Fällen können nicht nur allgemeine Informationen, sondern auch sensible, personenbezogene Daten in die Hände Dritter gelangen. Dies betrifft häufig Daten, die unter die Anforderungen der DSGVO fallen.

Die möglichen Konsequenzen für Unternehmen sind weitreichend: Datenschutzverletzungen führen potenziell zu empfindlichen Bußgeldern bis in Millionenhöhe. Hinzu kommen potenzielle Schadensersatzansprüche betroffener Kunden und Reputationsverluste, die das Vertrauen der Kunden nachhaltig beeinträchtigen. Auch Vertragsstrafen durch Geschäftspartner, die von der Einhaltung von Datenschutzbestimmungen ausgehen, stellen ein finanzielles Risiko dar. Nicht zuletzt können Geschäftsgeheimnisse durch diese Datenlecks offengelegt werden, was Dritten einen direkten Wettbewerbsvorteil verschaffen kann. Ein bewusster und kontrollierter Umgang mit KI-Diensten ist unverzichtbar, wenn man solche Risiken minimieren und die Integrität der Unternehmensdaten wahren will.

Hauptgefahren durch Schatten-KI

Die Risiken durch Schatten-KI sind vielfältig. Ein zentrales Problem sind Datenlecks, da viele dieser Anwendungen unzureichend abgesichert sind. Tools wie Otter.ai, ein KI-gestützter Transkriptionsdienst, können vertrauliche Informationen speichern und verarbeiten, ohne dass dies von der IT überwacht wird. Weiterhin besteht die Gefahr der Manipulation von KI-Modellen. Angreifer könnten Trainingsdaten verfälschen oder Systeme gezielt mit fehlerhaften Informationen versorgen. Zudem fehlt oft eine klar definierte Zugangskontrolle. Mitarbeiter bekommen Zugriff auf Modelle und Trainingsdaten, ohne dass dies überwacht oder beschränkt wird. Auch das treibt die Risiken in die Höhe – sei es durch unbeabsichtigte Aktionen oder gezielte Manipulation.

Ein zentrales Problem von Schatten-KI ist die fehlende Qualitätskontrolle und die weitreichenden Folgen fehlerhafter KI-Ausgaben. KI-Tools, die ohne Genehmigung und Überwachung genutzt werden, liefern oft ungenaue, voreingenommene oder schlicht falsche Ergebnisse. Diese unkontrollierten Ausgaben können werden in kritischen Bereichen schnell sehr problematisch. Ein fehlerhaftes Finanzmodell liefert zum Beispiel falsche Prognosen und verursacht dadurch wirtschaftliche Verluste.

Die negativen Auswirkungen gehen aber darüber hinaus. Etwa, wenn die von Mitarbeitern genutzten KI-Tools regelmäßig fehlerhafte Ergebnisse liefern (siehe auch LLMs: Das Risiko unsicherer Umgang mit den KI-Ausgabedaten). Dies kann das Vertrauen in die Technologie grundsätzlich erodieren. Entscheidungsprozesse verlangsamen sich, da Daten und Ergebnisse mehrfach überprüft werden müssen. Das beeinträchtigt die Effizienz. Im schlimmsten Fall entsteht eine Kultur des Misstrauens gegenüber Technologie. Mitarbeiter und Führungskräfte zögern, neue Systeme oder Automatisierungen zu nutzen, wodurch Innovationspotenziale ausgebremst werden.

Zusätzlich vermitteln Schatten-KI-Tools ein möglicherweise verzerrtes Bild der Realität vermitteln, wenn sie fehlerhafte oder unvollständige Daten verarbeiten. Auch das kann zu falschen Entscheidungen führen. Firmen kommen nicht umhin, Kontrollmechanismen und Qualitätsprüfungen für alle KI-gestützten Systeme einzuziehen. Jedenfalls, wenn sie Risiken dauerhaft senken und die Integrität von Daten und Entscheidungen wahren wollen.

Der Einfluss von Schatten-KI auf Umwelt und Ressourcen

Ein oft übersehener Aspekt von Schatten-KI ist der Ressourcenverbrauch, der mit dem Einsatz unkontrollierter KI-Technologien einhergeht. Große Sprachmodelle und generative KI-Systeme erfordern immense Rechenleistung, Speicherressourcen und Energie, um betrieben zu werden. In Fällen von Schatten-KI, bei denen Anwendungen ohne zentrale Steuerung und Optimierung genutzt werden, kann dies zu erheblichen Mehrkosten führen. Unternehmen riskieren nicht nur, durch ineffiziente Ressourcennutzung ihre IT-Budgets zu sprengen, sondern tragen zu einer unnötig hohen Umweltbelastung bei.

„Um Schatten-KI in den Griff zu bekommen, sollten Unternehmen umfassende Maßnahmen ergreifen. Ein zentraler Schritt ist die Einführung eines Monitorings, das sämtliche KI-Anwendungen im Netzwerk transparent macht.“

Tuncay Eren, Cato Networks

Der Wasserverbrauch und die CO₂-Emissionen, die durch das Training und den Betrieb von KI-Modellen entstehen, sind besonders relevant. Wenn Schatten-KI unreguliert bleibt, können unüberlegte Einsätze solcher Technologien den ökologischen Fußabdruck eines Unternehmens erhöhen. Gleichzeitig fehlt oft die Transparenz über diese Umwelteffekte. Unternehmen, die Nachhaltigkeitsziele verfolgen, sollten daher nicht nur die Sicherheitsrisiken von Schatten-KI berücksichtigen, sondern auch die ökologischen und finanziellen Folgekosten einer unregulierten Nutzung.

Ein zentraler Ansatzpunkt ist die Konsolidierung und Steuerung der KI-Nutzung innerhalb des Unternehmens. So gelingt es, Ressourcen effizient zu nutzen und einen unnötigen Energieverbrauch zu vermeiden – etwa mit dem gezielten Einsatz von KI-Plattformen und Umweltmetriken, die in der Governance-Strategie verankert sind.

Schatten-KI erkennen, Risiken entschärfen

Um Schatten-KI in den Griff zu bekommen, sollten Unternehmen umfassende Maßnahmen ergreifen. Ein zentraler Schritt ist die Einführung eines Monitorings, das sämtliche KI-Anwendungen im Netzwerk transparent macht. Empfehlenswert sind regelmäßige Schulungen für Mitarbeiter, um gleichzeitig das Bewusstsein für die Risiken unautorisierter KI-Nutzung zu schärfen. Zusätzlich sollten Firmen klare Richtlinien und Prozesse für die Einführung neuer Technologien etablieren. Technologische Lösungen wie die Inspektion des TLS-Datenstroms und automatisierte Sicherheits-Tools tragen dazu bei, bestehende Schatten-KI zu identifizieren und abzusichern.

Ein unternehmensweiter KI-Governance-Ansatz

Mit dem rasant wachsenden Einsatz von KI-Technologien wie großen Sprachmodellen und generativen KI-Tools wird eine durchdachte Governance-Strategie unerlässlich. Eine der größten Herausforderungen ist dabei die fehlende zentrale Steuerung. Durch die eigenständige Nutzung von KI-Anwendungen entsteht eine Fragmentierung der technischen Landschaft. Unterschiedliche Teams arbeiten mit verschiedenen Plattformen, was die Datenverwaltung und Entscheidungsfindungsprozesse erschwert.

Eine einheitliche KI-Strategie auf Unternehmensebene wirkt diesem Problem entgegen. Dazu gehört die Einführung von klaren Governance-Strukturen mit klar definierten Leitlinien für Sicherheit, Datenschutz, Überwachung und Automatisierung. Unternehmen sollten sicherstellen, dass KI-Systeme vor ihrer Einführung gründlich getestet werden und eine konsistente Kontrolle gewährleistet ist. Besonders bei globalen Organisationen ist es wichtig, diese Governance über alle Niederlassungen hinweg zu standardisieren, um einheitliche Praktiken zu gewährleisten und potenzielle Sicherheitsrisiken zu minimieren.

Eine durchdachte Governance verhindert nicht nur Sicherheitsvorfälle, sondern steigert auch die Effizienz. Durch einheitliche Prozesse und Plattformen können Unternehmen ihre KI-Strategien skalieren und gleichzeitig die Betriebskosten im Griff behalten. Damit schaffen sie eine Grundlage für langfristigen Erfolg und schützen ihre Marke vor den negativen Folgen unkontrollierter KI-Nutzung.

Über den Autor:
Tuncay Eren ist Area Vice President Central Europe bei Cato Networks.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.