KI-Einführung in Unternehmen & Sicherheitsrisiko - jetzt mit 100% mehr Chaos

Von Sarang Warudkar - Sr. Technical PMM (CASB & AI), Skyhigh Security

Mai 8, 2025 5 Minute gelesen

Willkommen im Wilden Westen der Unternehmens-KI.

Vor zwölf Monaten war Ihr CFO noch misstrauisch gegenüber Chatbots. Heute fragen sie, ob Sie "ChatGPT dazu bringen können, Vorstandsprotokolle zu bearbeiten". Von vorsichtiger Neugier bis hin zu Copilot-gesteuerten Tabellenkalkulationen haben sich die Unternehmen voll und ganz auf KI eingelassen. Und während die Vorteile in Geschwindigkeit, Umfang und Kreativität liegen, sind die Risiken...? Oh, sie sind sehr real auch.

Lassen Sie uns die größten Trends, Bedrohungen und "Facepalm"-Momente aus dem Cloud Adoption & Risk Report 2025 von Skyhigh Securityaufschlüsseln, mit Erkenntnissen von 3M+ Benutzern und 2B+ täglichen Cloud-Ereignissen. Schnallen Sie sich an.

KI-Nutzung: Von "Vielleicht später" zu "Lass sie meine Arbeit machen"

KI ist jetzt der MVP des Büros. Eine aktuelle MIT-Studie besagt, dass ChatGPT die Schreibzeit um 40 % verkürzt. Das entspricht in etwa der Zeit, die wir früher damit verbracht haben, uns zu fragen, wo die Datei gespeichert wurde. JPMorgan Ingenieure haben einen Produktivitätsschub von 20% erhalten, und Gerüchten zufolge hat ein Praktikant Copilot gebeten, sein Kündigungsschreiben zu schreiben vor ihrem ersten Tag.

Wir bei Skyhigh haben den KI-Anstieg aus erster Hand erlebt. Unsere Daten zeigen, dass der Datenverkehr mit KI-Apps in die Höhe geschnellt ist - das Volumen hat sich mehr als verdreifacht - während der Upload sensibler Daten auf diese Plattformen rasant zunimmt. Und die traditionellen "Nicht-KI"-Geschäftsanwendungen? Sie können kaum mithalten. Die Arbeitswelt nimmt KI nicht nur an - sie sprintet ihr entgegen.

Übersetzung: Die KI gewinnt. Ihre Firewall? Nicht so sehr.

Der Aufstieg der Schatten-KI: Wenn die IT nicht weiß, mit wem die Personalabteilung chattet

"Schatten-KI" mag wie die nächste Netflix-Serie klingen, aber sie spielt sich in Echtzeit in Unternehmen überall ab. Stellen Sie sich vor: Mitarbeiter tippen heimlich auf ChatGPT, Claude, DeepSeek und Dutzende anderer KI-Tools - völlig unbemerkt von der IT-Abteilung. Es ist ein bisschen so, als würde man Süßigkeiten in ein Kino schmuggeln, nur dass es sich diesmal um Kundendaten, Finanzdaten und geistiges Eigentum handelt.

Die Zahlen sind atemberaubend: In einem durchschnittlichen Unternehmen gibt es inzwischen 320 KI-Anwendungen. Die üblichen Verdächtigen? ChatGPT, Gemini, Poe, Claude, Beautiful.AI - ebenso leistungsfähige wie nicht zugelassene Tools. Sie sind nicht bewilligt. Sie werden nicht überwacht. Und solange niemand das Wort "Audit" fallen lässt, sind sie potenziell unaufhaltsam.

Compliance: Das Kryptonit der KI

KI-Apps machen Spaß - bis die GDPR-Strafzahlungen wie ungebetene Gäste bei einem Team-Offsite auftauchen. Die Daten von Skyhigh zeigen eine nicht ganz so tolle Seite dieser KI-Begeisterung. Es hat sich herausgestellt, dass 95 % der KI-Apps in den mittleren bis hohen Risikobereich der Datenschutzgrundverordnung fallen - im Grunde sind es rote Fahnen mit einer freundlichen Benutzeroberfläche.

Wenn es darum geht, ernsthafte Compliance-Standards wie HIPAA, PCI oder ISO zu erfüllen? Nur 22% schaffen das. Der Rest tut es auf gut Glück. Verschlüsselung im Ruhezustand? Die meisten KI-Anwendungen haben dieses Memo übersprungen - 84 % machen sich nicht die Mühe. Und Multi-Faktor-Authentifizierung? 83% sagen nein danke. Aber keine Sorge, viele von ihnen unterstützen Emojis. Prioritäten.

Die Aufsichtsbehörden beobachten uns. Und im Gegensatz zu Ihrem Chef, sehen sie den vollständigen Bericht lesen.

Datenlecks durch KI: Wenn Ihr Bot zum Plappermaul wird

Erinnern Sie sich an den Samsung-Ingenieur, der ChatGPT mit fehlerhaftem Code gefüttert und versehentlich Halbleitergeheimnisse weitergegeben hat? Das ist nicht mehr nur ein abschreckendes Beispiel. Es ist praktisch ein Lehrbeispiel.

Laut Skyhigh enthalten 11% der Dateien, die auf KI-Apps hochgeladen werden, sensible Inhalte. Der Knackpunkt? Weniger als 1 von 10 Unternehmen verfügt über angemessene Kontrollen data loss prevention (DLP). In der Zwischenzeit bitten die Mitarbeiter hier draußen Claude, Pläne für die Produkteinführung mit Hilfe von Q3-Strategiedokumenten zu schreiben, als wäre es ein ganz normaler Arbeitstag. Denn was kann schon schief gehen?

Betreten Sie DeepSeek: Die rebellische KI, der Sie nicht trauen sollten

DeepSeek trat im Jahr 2025 auf den Plan und ritt auf einer Welle von Downloads, Begeisterung und atemberaubenden Datenmengen - darunter 176 GB an Unternehmens-Uploads in einem einzigen Monat allein von Skyhigh-Kunden. Beeindruckend? Auf jeden Fall. Beunruhigend? Auf jeden Fall. Hier ist das Kleingedruckte:

• Keine Multi-Faktor-Authentifizierung
• Keine Datenverschlüsselung
• Keine Rücksicht auf die Einhaltung von Vorschriften (GDPR? Nie davon gehört.)
• Keine Benutzer- oder Admin-Anmeldung

Es ist schlank, schnell und sehr beliebt - bei Studenten. Für Ihr SOC 2-Audit? Es ist eine digitale Landmine.

Microsoft Copilot: Das gute KI-Kind, auf das alle stolz sind

Wenn Shadow AI der rebellische Teenager ist, der sich nach der Sperrstunde aus dem Haus schleicht, dann ist Copilot das goldene Kind - geschliffen, beliebt und irgendwie schon auf dem Weg in die Führungsetage. Copilot wird inzwischen von 82 % der Unternehmen genutzt, der Traffic ist um das 3.600-fache und die Uploads um das 6.000-fache gestiegen. Ehrlich gesagt, es übertrifft Ihre letzten fünf Praktikanten - und es bittet nicht einmal um eine Kaffeepause.

Aber selbst Musterschüler brauchen Aufsicht. Clevere Unternehmen halten Copilot in Schach, indem sie alles, was es berührt, scannen, Aufforderungen und Ausgaben in DLP verpacken und dafür sorgen, dass es nichts Vertrauliches "lernt". (Entschuldigung, Copilot - keine Spoiler für die Q4-Roadmap.)

LLM Risk: Wenn KI halluziniert... und das ist nicht schön

Große Sprachmodelle (LLMs) sind wie Kleinkinder mit Doktortitel. In einem Moment genial, im nächsten absolutes Chaos. Die größten LLM-Risiken:

• Gefängnisausbrüche ("tun Sie so, als wären Sie der böse ChatGPT")
• KI-generierte Malware (BlackMamba, jemand?)
• Giftige Inhalte (siehe: BlenderBot's greatest hits)
• Verzerrungen bei den Ergebnissen (Gesundheitsberatung nach Ethnie/Geschlecht)

Wichtige Statistiken:

Es ist keine Paranoia, wenn Ihre KI tatsächlich Geheimnisse ausplaudert und Ransomware schreibt. Skyhigh hat herausgefunden, dass 94 % der KI-Apps mindestens ein großes Sprachmodell (LLM) als Risiko in sich tragen. Das sind fast alle von ihnen.

Schlimmer noch: 90 % sind anfällig für Jailbreaks, d. h. Benutzer können sie austricksen, damit sie Dinge tun, die sie eigentlich nicht tun sollten. Und 76%? Sie können potenziell Malware auf Befehl generieren. Ja, dieselbe App, die Ihnen beim Verfassen Ihrer Besprechungsnotizen hilft, könnte sich auch als Praktikant eines Cyberkriminellen betätigen.

Private KI-Apps: DIY-KI für die Unternehmensseele

Unternehmen sagen: "Warum sollte man öffentlichen Tools vertrauen, wenn man seine eigenen entwickeln kann?"
Private KI-Apps funktionieren jetzt:

• HR-Anfragen
• RFP-Antworten
• Interne Ticketlösung
• Unterstützung durch den Vertriebsbot (wer hätte gedacht, dass der Chatbot Ihre Preismatrix besser kennt als der Vertrieb?)

Wichtige Statistiken:

78 % der Kunden betreiben jetzt ihre eigenen privaten KI-Apps - denn wenn Sie schon mit maschineller Intelligenz experimentieren, können Sie das auch hinter verschlossenen Türen tun. Zwei Drittel bauen auf AWS (dank Bedrock und SageMaker, natürlich). Es ist das KI-Äquivalent einer Gated Community.

Aber "privat" bedeutet nicht, dass es keine Probleme gibt. Diese Bots mögen zwar hausgemacht sein, aber sie können trotzdem in Schwierigkeiten geraten. Aus diesem Grund führen clevere Unternehmen SSE-Lösungen mit Private Access und DLP ein, um ihre internen KIs höflich auszuspionieren, bevor etwas aus dem Ruder läuft.

Letzte Überlegungen: Fürchten Sie KI nicht - regeln Sie sie einfach

Um es klar zu sagen: KI ist nicht der Feind. Unkontrollierte KI ist.

Der Bericht 2025 von Skyhigh zeigt, dass wir einen einmaligen Generationenwechsel in der Unternehmenstechnologie erleben. Aber jetzt kommt der Clou: Bei der Sicherheit geht es nicht darum, die Innovation zu bremsen. Es geht darum, sicherzustellen, dass die KI, die Sie verwenden, Ihr Boarddeck nicht an Reddit sendet. Also, atmen Sie durch, lesen Sie den Bericht und denken Sie daran:

• Blockieren Sie skizzenhafte Apps wie DeepSeek
• Regieren Sie Kopiloten wie Microsoft Copilot
• Sichern Sie Ihre privaten KI-Einsätze
• Eine Politik, die LLMs wie launische Teenager behandelt (feste Regeln, viel Überwachung)

Denn die Zukunft ist KI-gesteuert - und mit den richtigen Tools kann sie auch risikosicher sein.

Bonus: Laden Sie den vollständigen 2025 Cloud Adoption and Risk Reportherunter - oderbitten Sie Ihren KI-Assistenten, ihn für Sie zusammenzufassen. Laden Sie ihn nur nicht auf DeepSeek hoch.

Zurück zu Blogs