Microsoft warnt vor gefährlicher Schatten-KI
Microsoft warnt eindringlich vor dem unkontrollierten Einsatz von autonomen Softwarehelfern mit Künstlicher Intelligenz. (Symbolbild) Foto: Peter Steffen/dpa
Wenn Mitarbeiter KI-Tools ohne Wissen der IT-Abteilung nutzen, entstehen neue Sicherheitsrisiken. Warum Schatten-KI zur wachsenden Gefahr für Unternehmen wird.
München. Microsoft warnt eindringlich vor dem unkontrollierten Einsatz von autonomen Softwarehelfern mit Künstlicher Intelligenz. In seinem aktuellen Cyber Pulse Report, der im Vorfeld der Münchner Sicherheitskonferenz veröffentlicht wurde, stellen Forscher des Softwarekonzerns fest, dass KI-Helfer beim Programmieren bereits in über 80 Prozent der größten Unternehmen (Fortune 500) im Einsatz sind. Die wenigsten Firmen hätten jedoch klare Regeln für die Verwendung der KI. Die rasante Verbreitung berge unkalkulierbare Risiken. Eine mangelnde Übersicht der Verantwortlichen und eine „Schatten-KI“ öffneten Tür und Tor für neue Angriffsmethoden.
„Die da oben“ wissen nichts vom KI-Einsatz
Unter „Schatten-KI“ versteht man die Nutzung von Anwendungen Künstlicher Intelligenz durch Mitarbeiter, ohne dass die IT- oder Sicherheitsabteilung des Unternehmens davon weiß oder dies offiziell genehmigt hat. Mitarbeiter verwenden eigenmächtig KI-Tools oder Agenten aus dem Internet, also autonom handelnde Computerprogramme, um ihre Aufgaben schneller zu erledigen, ohne dass jemand in der Firmenhierarchie davon in Kenntnis gesetzt wurde.
Der Microsoft-Bericht warnt eindringlich vor einer wachsenden Diskrepanz zwischen Innovation und Sicherheit. Während die KI-Nutzung explosionsartig wächst, verfügt nicht einmal die Hälfte der Unternehmen (47 Prozent) über spezifische Sicherheitskontrollen für generative KI. Und 29 Prozent der Angestellten nutzen bereits nicht genehmigte KI-Agenten für ihre Arbeit. Dies schaffe blinde Flecken in der Unternehmenssicherheit.
„Schnell, schnell, schnell“ ist unsicher
Nach Einschätzung der Microsoft-Experten erhöht sich das Risiko, wenn sich die Unternehmen bei der Einführung der KI-Anwendungen nicht genügend Zeit nehmen. „Die schnelle Bereitstellung von KI-Agenten kann Sicherheits- und Compliance-Kontrollen aushebeln und das Risiko von Schatten-KI erhöhen.“ Böswillige Akteure könnten die Berechtigungen von Agenten ausnutzen und sie zu unbeabsichtigten Doppelagenten machen. „Wie menschliche Mitarbeiter kann auch ein Agent mit zu viel Zugriff – oder falschen Anweisungen – zu einer Schwachstelle werden.“
Die Autoren der Studie betonen, dass es sich nicht um theoretische Risiken handele. Kürzlich habe das Defender-Team von Microsoft eine betrügerische Kampagne entdeckt, bei der mehrere Akteure eine als „Memory Poisoning“ bekannte KI-Angriffstechnik nutzten, um den Speicher von KI-Assistenten - und damit die Ergebnisse - dauerhaft zu manipulieren.
Zugriff auf Daten begrenzen
In dem Report werden mehrere Gegenmaßnahmen empfohlen, um das Risiko beim Einsatz von KI-Anwendungen möglichst gering zu halten. Die Softwarehelfer mit künstlicher Intelligenz sollten nur Zugriff auf die Daten haben, die sie zwingend für die Lösung ihrer Aufgabe benötigen. Außerdem sollten Unternehmen ein zentrales Register einrichten, um zu sehen, welche KI-Agenten im Unternehmen existieren, wem sie gehören und auf welche Daten sie zugreifen. Nicht genehmigte Agenten müssten identifiziert und isoliert werden.
