Shadow AI verlagert das Risiko von Datenabfluss zu Zugriffskontrolle

Zusammenfassung

Die erste Reaktion vieler Unternehmen auf KI-Risiken war laut Quelltext klar umrissen: Mitarbeitende sollten keine sensiblen Daten in öffentliche KI-Werkzeuge eingeben. Sicherheitsverantwortliche reagierten deshalb mit Nutzungsrichtlinien, Sperren für bestimmte Domains und Regeln zur Verhinderung von Datenabfluss. Nach Einschätzung des Quelltexts greift dieses Modell inzwischen zu kurz. Im Zentrum steht demnach nicht mehr, was Beschäftigte in KI-Dienste eintippen, sondern welche KI-Agenten innerhalb der Organisation laufen, mit welchen Unternehmenssystemen sie verbunden sind und welche Aktionen sie dort ausführen dürfen. Neue Forschung von Token Security und der Cloud Security Alliance beschreibt, wie weit verbreitet diese Exposition bereits ist. Der Text zeichnet damit einen Perspektivwechsel nach: von der Sorge vor Datenlecks hin zu einem Problem der Zugriffskontrolle und der Verwaltung nicht-menschlicher Identitäten. Relevant ist das vor allem deshalb, weil Fachabteilungen und einzelne Beschäftigte KI-Agenten in hohem Tempo aufbauen, während viele Sicherheitsteams weder einen vollständigen Überblick noch belastbare Kontrollmechanismen haben.

Der Quelltext beschreibt, dass Mitarbeitende und Geschäftsbereiche KI-Agenten schneller entwickeln, als Sicherheitsteams sie erfassen können. Genannt werden unter anderem individuelle Assistenten, Programmieragenten, Workflow-Automatisierungen und agentische Anwendungen. Ein Teil entsteht auf freigegebenen Plattformen, viele andere jedoch über Browser-Erweiterungen, SaaS-Funktionen mit nativer Automatisierung, Entwicklerwerkzeuge, MCP-Server, endpunktbasierte Agenten und eigene Skripte. Was als kurzfristiger Versuch beginnt, kann laut Text innerhalb weniger Tage in kritische Geschäftsprozesse eingebettet sein.

Gerade darin unterscheidet sich Shadow AI nach Darstellung des Quelltexts grundlegend von klassischer Shadow IT. Eine nicht genehmigte SaaS-Anwendung ist vor allem ein Ziel für Daten. Ein KI-Agent hingegen handelt selbstständig: Er kann Programmierschnittstellen aufrufen, gespeicherte Zugangsdaten nutzen, Datensätze abrufen, Konfigurationen ändern, nachgelagerte Abläufe auslösen und Aktionen in Produktivsystemen durchführen. Das geschieht oft, ohne dass ein Mensch jeden einzelnen Schritt ausdrücklich freigibt.

Als Beispiel kontrastiert der Text zwei Szenarien. Wenn ein Mitarbeiter einen Kundendatensatz in ein öffentliches KI-Werkzeug kopiert, ist das ein Vorfall des Datenabflusses. Ein individuell gebauter KI-Agent, der mit Salesforce, Snowflake, GitHub, Gong und Slack verbunden ist, stellt dagegen ein Problem der Zugriffskontrolle dar. Denn ein solcher Agent kann Daten nicht nur offenlegen, sondern auch Lese-, Schreib- und Löschvorgänge ausführen. Hinzu kommt laut Quelltext, dass solche Agenten auf Dienstkonten mit nicht geprüften Berechtigungen laufen und noch Monate aktiv bleiben können, nachdem die Person, die sie erstellt hat, intern die Rolle gewechselt hat oder das Unternehmen verlassen hat.

Der Text argumentiert weiter, dass viele vorhandene Sicherheitskontrollen für menschliche Identitäten und deterministische Arbeitslasten ausgelegt sind. Richtlinien für Identitäts- und Zugriffsmanagement, Regeln zur Verhinderung von Datenabfluss und Netzwerküberwachung gingen von vorhersehbarem Verhalten und klar definierten Zugriffswegen aus. KI-Agenten durchbrechen diese Annahmen.

Ein im Quelltext beschriebenes Beispiel ist ein Agent, der eine fehlgeschlagene Bereitstellung beheben soll. Er kann Protokolle lesen, Überwachungssysteme abfragen, Infrastrukturkonfigurationen ändern, Tickets eröffnen, Automatisierungspipelines auslösen und Entwicklungsteams benachrichtigen — alles nacheinander und mit denselben geerbten Zugangsdaten. Um Arbeitsabläufe nicht zu behindern, vergeben Entwickler demnach oft von Anfang an weitreichende Rechte. Diese Berechtigungen sammeln sich an: Agenten übernehmen die Privilegien ihrer Ersteller, temporärer Zugriff wird dauerhaft, und Sicherheits- sowie Identitätsteams verlieren den Überblick darüber, was diese Identitäten tatsächlich tun.

Das Blockieren öffentlicher KI-Domains löst dieses Problem nach Darstellung des Quelltexts nicht. Sobald ein Agent Zugangsdaten zu Unternehmenssystemen besitzt, ist die Grenze bereits überschritten. Die Lücke schließt sich demnach erst durch automatisierte Gegenmaßnahmen für nicht-menschliche Identitäten.

Für die Erkennung von Shadow AI müsse in den Umgebungen gesucht werden, in denen Agenten tatsächlich betrieben werden: auf KI-Plattformen, in SaaS-Anwendungen mit integrierter Automatisierung, in Cloud-Konten, Entwicklerwerkzeugen, auf Endpunkten und bei Identitätsanbietern. Der Quelltext beschreibt viele Organisationen hier noch am Anfang, oft ohne belastbares Verzeichnis ihrer Agenten. Der nächste Schritt sei zunächst eine Teiltransparenz darüber, welche Agenten überhaupt existieren. Danach brauche es zusätzliche Einordnung, um Zweck, Verantwortlichkeiten, Zugriffe und Zugangsdaten je Agent zu erfassen. Erst anschließend lasse sich die Durchsetzung mit automatisierten Kontrollen umsetzen, etwa durch die Korrektur übermäßiger Berechtigungen, Hinweise an Verantwortliche zu inaktiven Agenten und die Markierung neuer Agenten, die sich mit sensiblen Systemen verbinden.

Als Ziel formuliert der Quelltext ausdrücklich nicht die Blockade von KI-Einsatz, sondern eine kontrollierte Einführung. Sicherheit solle einen Weg eröffnen, auf dem Teams Agenten einsetzen können, während automatisierte Kontrollen im Hintergrund fortlaufend arbeiten. Dafür müssten KI-Agenten wie jede andere Identität im Unternehmen behandelt werden: mit kontinuierlicher Erkennung, klarer Zuständigkeit, begrenzten Rechten und Lebenszyklus-Management von der Erstellung bis zur Außerbetriebnahme.

Shadow AI verlagert das Risiko von Datenabfluss zu Zugriffskontrolle

Ähnliche Artikel

Neueste Artikel