Die Geschwindigkeit, mit der Mitarbeiter heute Anwendungen entwickeln können, hat sich dramatisch verändert. Was früher Engineering-Teams Monate kostete, lässt sich nun von einer Marketing-Managerin oder einem Finanz-Controller bis zum Mittag umsetzen. Ein Kundenberater erstellt schnell ein Kampagnen-Tracking-Tool und verbindet es mit dem Business-Intelligence-System. Eine Kollegin aus dem Betrieb baut ein Vendor-Intake-Formular und integriert es direkt ins Ticketing-System. Die Finanzabteilung zieht Rechnungsdaten in ein Board-Prep-Dashboard – alles an einem Freitag, alles ohne IT-Freigabe.
Diese Mitarbeiter sind nicht böswillig. Sie sind kompetent und lösen echte geschäftliche Probleme schneller als das Unternehmen es könnte. Das ist genau das, was die Plattformen versprochen haben. Doch während die Plattformen halten, was sie versprechen, fehlt es an den Schutzvorrichtungen, die danach greifen sollten.
Eine groß angelegte Analyse hat über 380.000 öffentlich zugängliche Web-Assets auf führenden KI-Entwicklungsplattformen identifiziert. Davon sahen etwa 5.000 wie Unternehmens-Anwendungen aus – und über 2.000 davon enthielten tatsächlich sensible Daten. Sie waren ohne grundlegende Zugriffskontrolle im Internet erreichbar und vergaben Admin-Zugriff oft an jeden, der die URL kannte. Auf sechs Kontinenten, in jeder Branche, ohne dass Exploitation notwendig war.
Das Problem liegt in den Lücken der bestehenden Sicherheitsarchitektur. Ein EDR-System sieht den Browser-Prozess, nicht die Anwendung, die darin entsteht. Ein DLP-Tool überwacht bekannte Kanäle, erkennt aber nicht, wenn eine selbstgebaute App programmgesteuert über eine API mit einem produktiven BI-Tool verbunden wird. CASB wurde für klassische Shadow-IT gebaut – für identifizierbare SaaS-Anbieter – und kann eine unbegrenzte Population von Custom-Apps auf Subdomains kaum unterscheiden.
Alle diese Tools funktionieren nach ihrem Design. Das Problem ist die Ebene, auf der die Aktivität stattfindet: die Browser-Session selbst. Die Entwicklung, die OAuth-Autorisierung, die Datenverbindung, die Veröffentlichung – alles ereignet sich innerhalb einer einzigen Session.
Deutsche Unternehmen sollten hier schnell handeln. Das BSI hat bereits vor den Risiken unkontrollierter Cloud-Nutzung gewarnt. Die DSGVO macht Unternehmen für solche Datenpannen verantwortlich – Meldepflicht innerhalb von 72 Stunden, potenzielle Bußgelder bis 4 Prozent des Jahresumsatzes. Erste Maßnahmen sollten sein: Fragen Sie Ihre Mitarbeiter direkt, was sie gebaut haben. Die meisten verstecken sich nicht. Dann dokumentieren Sie, welche Systeme verbunden sind. Etablieren Sie einen genehmigten Weg, auf dem Shadow Builder ihre Arbeit offenbaren dürfen. Und verstehen Sie: Das ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.