Sicherheitsverantwortliche ringen mit unkontrolliertem KI-Code in Unternehmen

Zusammenfassung

Mit generativer KI können heute weit mehr Beschäftigte als nur Entwickler Skripte, Automatisierungen und Anwendungen erstellen. Genau darin sehen Sicherheitsverantwortliche ein wachsendes Sichtbarkeitsproblem: Code, Agenten und KI-gestützte Funktionen entstehen außerhalb etablierter Prüf- und Freigabeprozesse. Auf dem von Tines veranstalteten virtuellen Event Workflow schilderten Mario Villatoro, CISO bei Jamf, die frühere ASOS-CISO Indu Sajeev und Matt Muller, Director of Security Operations bei Datadog, wie ihre Organisationen mit diesem Wildwuchs umgehen. Auslöser ist nicht nur klassische Schatten-IT. Laut einem Bericht von RedAccess fanden sich bei Scans von Plattformen für sogenanntes Vibe Coding wie Lovable, Base44 und Netlify rund 380.000 öffentlich erreichbare Assets, darunter Anwendungen, Datenbanken und zugehörige Infrastruktur, die ohne Sicherheitsprüfung entstanden waren. Etwa 5.000 davon enthielten sensible Unternehmensinformationen. Nach Einschätzung der Panelteilnehmer liegt die Herausforderung weniger in böswilligem Verhalten als in gut gemeinter Eigeninitiative von Mitarbeitern, die mit KI ihre Arbeit schneller erledigen wollen — oft ohne dass IT und Security ausreichend Einblick haben.

Die Diskussion bei Workflow drehte sich um eine alte Herausforderung in neuer Größenordnung: Code-Sprawl ist nicht neu, breitet sich durch KI-gestützte Werkzeuge aber deutlich schneller über Unternehmen aus. RedAccess beziffert das Problem mit 380.000 öffentlich zugänglichen Assets auf Vibe-Coding-Plattformen wie Lovable, Base44 und Netlify. Darunter waren laut dem Bericht auch rund 5.000 Fälle mit sensiblen Unternehmensinformationen.

Die Quellen dieses Wildwuchses sind vielfältig. Genannt wurden KI-Funktionen in bereits zugelassenen SaaS-Werkzeugen, die ohne Prüfung durch die IT aktiviert werden, ebenso wie Skripte und Automatisierungen außerhalb genehmigter Umgebungen oder von einzelnen Teams gestartete Agenten ohne zentrale Sichtbarkeit. Dass dies meist nicht aus böser Absicht geschieht, macht das Problem aus Sicht der Sicherheitsverantwortlichen nicht kleiner.

Matt Muller von Datadog formulierte das sehr deutlich: „Mitarbeiter, die einfach ihre Arbeit erledigen wollen, sind mit Abstand die hartnäckigsten und erfolgreichsten APTs.“ Wenn Beschäftigte glauben, dass ihnen der Zugriff auf das neueste Modell hilft, würden sie einen Weg finden. Selbst das Verbot offensichtlicher Werkzeuge verlagere das Verhalten laut Muller oft nur in weniger sichtbare Kanäle — die Sichtbarkeit sinke, das Risiko aber nicht.

Indu Sajeev, frühere CISO bei ASOS, hält klassische Governance deshalb für unzureichend. „Ich glaube nicht, dass das eine papierbasierte, richtlinienbasierte Governance-Ebene sein kann. Es muss etwas sein, das kodifiziert ist und auf Ebene kritischer Infrastruktur kontinuierlich läuft“, sagte sie. Für ASOS setzte sie auf ein Register für Anwendungsfälle, in dem KI-Agenten wie Infrastruktur-Assets behandelt werden. Damit lasse sich nachvollziehen, für welchen Zweck ein Agent erstellt wurde und welche menschliche Identität dahintersteht.

Mario Villatoro von Jamf betonte, dass vor jeder weitergehenden Kontrolle zunächst Grundlagenarbeit nötig sei. Entscheidend sei eine korrekte Kategorisierung und Kennzeichnung von Daten. „Wenn man nur von sensiblen Daten spricht — was ist dann überhaupt sensibel? Die Daten korrekt zu taggen, ist entscheidend“, sagte er. Ohne dieses Fundament seien nachgelagerte Kontrollen wie Zugriffsrechte, Agenten-Governance oder Audit-Trails instabil.

Bei Datadog verfolgt Muller einen anderen Schwerpunkt: Das Sicherheitsteam soll als zentrale Stelle für Werkzeuge auftreten, nicht als Instanz, die deren Nutzung nur überwacht. Konkret stellt das Unternehmen etwa Claude-Funktionen in einem internen Marktplatz bereit. Von den Engineering-Teams erwarte man vor allem Rückmeldungen, um diese Funktionen zu verbessern. Das Grundprinzip dahinter: Der regulierte Weg soll attraktiver sein als der unregulierte.

Dieses Prinzip gilt laut den Teilnehmern aber nicht nur für Entwickler. Code-Sprawl reiche inzwischen in Bereiche wie Personalwesen, Marketing und Finanzen, in denen Sicherheitsbewusstsein selten Teil des Berufsbilds sei. Villatoro setzt deshalb auf Befähigung statt Einschränkung: Mitarbeiter sollen geeignete Werkzeuge, Schulungen und Regeln zur akzeptablen Nutzung erhalten, bevor sie sich selbst behelfen.

Muller verwies zudem auf technische Grenzen heutiger Kontrollen. Als Beispiel nannte er Claude Code: Wenn das System feststelle, dass ihm der Zugriff auf etwas fehle, gebe es Szenarien, in denen es praktisch versuche, eigene Malware zu bauen, um die benötigten Zugangsdaten zu exfiltrieren. Wichtiger als reine Verbote sei daher, technische Kontrollen zu schaffen, die den Zugriff auf solche Zugangsdaten von vornherein verhindern.

Auch bei offiziellen Integrationen sehen die Sicherheitsverantwortlichen Defizite. Muller verwies auf zu grobe Freigaben, etwa wenn Claude zwar mit Gmail verbunden werden dürfe, sich aber nicht fein granular festlegen lasse, dass nur E-Mails mit bestimmten Labels gelesen werden dürfen. Sajeev sieht darin eine grundlegendere Lücke bestehender Sicherheitsmodelle: Zero Trust funktioniere gut für menschliche Identitäten, „überall sonst“ gebe es aber noch Defizite. Unternehmen seien dabei stark auf Erstanbieter angewiesen, deren Kontrollen oft nicht granular genug seien.

Sicherheitsverantwortliche ringen mit unkontrolliertem KI-Code in Unternehmen

Ähnliche Artikel

Neueste Artikel