Auf den Punkt: Mitarbeitende nutzen täglich unapproved KI-Tools, die Sicherheitsteams nicht sehen. Ein strukturiertes Governance-Programm schafft Abhilfe: Zunächst müssen alle genutzten KI-Tools entdeckt werden – durch Audits von OAuth-Verbindungen, Browser-Erweiterungen und Mitarbeitendenbefragungen.
Mitarbeitende nutzen täglich durchschnittlich drei bis fünf KI-Tools – die meisten wurden von der IT nie überprüft. Diese „Shadow-AI-Lücke" wächst rasant und stellt Sicherheitsteams vor große Herausforderungen. Ein strukturiertes Governance-Programm schafft Abhilfe.
Wenn Mitarbeitende einen KI-Schreibassistenten installieren, einen Code-Copiloten in ihre IDE integrieren oder Meeting-Zusammenfassungen mit neuen Browser-Tools erstellen, verfolgen sie genau das, was von produktiven Arbeitskräften erwartet wird: schnellere Arbeitsmethoden finden.
In den meisten Organisationen verwenden Mitarbeitende täglich drei bis fünf KI-Tools. Die Mehrheit wurde von der IT nie überprüft. Ein erheblicher Teil verbindet sich über OAuth-Tokens oder Browser-Sitzungen mit Unternehmensdaten und erhält so Zugriff auf gemeinsame Laufwerke, E-Mails und interne Dokumente, ohne dass der Mitarbeitende dies bewusst freigegeben hat. Sicherheitsteams haben oft keinerlei Sichtbarkeit.
Die meisten Sicherheitstools wurden entwickelt, um E-Mail- und Netzwerkverkehr durch das Unternehmensnetzwerk zu überwachen. Ein Browser-basiertes KI-Tool, das sich über schnelle Login-Genehmigungen mit Unternehmensdaten verbindet, umgeht diese Kontrollen vollständig, da es nie das Unternehmensnetzwerk durchquert.
Laut Adaptive-Security-Forschung nutzen 80 Prozent der Mitarbeitenden unapproved generative KI-Anwendungen bei der Arbeit, während nur 12 Prozent der Unternehmen eine formelle KI-Governance-Richtlinie haben. Dies führt zu einer wachsenden Diskrepanz zwischen der Arbeitsweise von Mitarbeitenden und dem, was Sicherheitsteams sehen können.
Ein Programm, das KI-Adoption auf sichere, sichtbare und genehmigte Wege lenkt, gibt Sicherheitsteams die notwendige Transparenz und Mitarbeitenden die gewünschten Tools. Der erste Schritt besteht darin, eine vollständige Übersicht aller genutzten KI-Tools zu schaffen. Dazu gehören: OAuth-Verbindungen zu Google Workspace oder Microsoft 365, Browser-Erweiterungen, die klassische Sicherheitstools übersehen, sowie KI-Funktionen, die in bereits genehmigten Tools wie Microsoft Copilot oder Google Gemini integriert sind. Eine einfache Mitarbeitendenbefragung rundet die Bestandsaufnahme ab. Das Ziel ist eine aktuelle und genaue Bestandsaufnahme: jedes KI-Tool in Gebrauch, wer es nutzt und auf welche Daten es Zugriff hat.