Unerwünschte KI-Tools in Unternehmen – Risiken und Gegenmaßnahmen

Wir erklären konzeptionelle Ansätze zum Einschränken und Blockieren populärer KI-Tools, die entweder niemand braucht oder ohne Freigabe verwendet werden.

Tools zum Erkennen und Deaktivieren von KI-Systemen in einem Unternehmen

Während viele Unternehmen gezielt verschiedene KI-Werkzeuge zur Steigerung von Qualität und Effizienz einführen, breiten sich in Unternehmensumgebungen gleichzeitig KI-Tools aus, die gar nicht erwünscht sind. Immer mehr Softwarehersteller integrieren KI-Funktionen direkt in Produkte, die in Unternehmen zum Teil schon lange vor dem KI-Hype verwendet werden (siehe Microsoft Copilot und Google Gemini). Auch die Angestellten selbst bleiben oft nicht untätig und nutzen still und heimlich KI-Tools in ihren Arbeitsumgebungen. Dies hat für Unternehmen ein erhebliches und schwer kontrollierbares Datenleck zur Folge: Informationen, die Mitarbeiter aus internen Unternehmenssystemen in KI-Chatbots verschiedener Anwendungen kopieren, werden nicht nur den jeweiligen SaaS-Anbietern, sondern auch den Entwicklern der zugrunde liegenden KI-Modelle zugänglich. Wenn man dem entgegenwirken will, hängen sowohl die Risiken als auch die Strategien zu ihrer Vermeidung von der jeweiligen Art des genutzten KI-Systems ab. Wir bringen etwas Struktur in dieses umfassende Thema und konzentrieren uns dabei insbesondere auf Tools zum Erkennen und Blockieren von KI auf zwei unterschiedlichen Ebenen.

Die vier Arten der unerwünschten KI-Systeme

Je nach Art der KI sind unterschiedliche Maßnahmen erforderlich, um ihre Nutzung zu kontrollieren oder gegebenenfalls zu untersagen. Grundsätzlich lassen sich KI-Anwendungen in vier Kategorien einteilen.

  • Plattformnative KI-Funktionen. Darunter fallen etwa Microsoft Copilot, Google Gemini und Apple Intelligence. Auch KI-Funktionen, die direkt in Browser integriert sind, gehören zu dieser Kategorie. Die Herausforderung besteht darin, dass sie in Alltagsfunktionen integriert sind, sofort von allen Nutzern verwendet werden können (unter anderem durch prominent platzierte Pop-ups) und zudem standardmäßig von den Herstellern aktiviert sind.
  • In Business-Anwendungen integrierte KI-Assistenten. Hierzu gehören zum Beispiel Dienste wie Slack AI, Zoom AI Companion, Notion AI und Jira’s Rovo. Diese Assistenten sind an eine einzige Anwendung gebunden und können außerhalb dieser nicht verwendet werden.
  • Eigenständige Chatbots auf Basis von Web-Technologien oder Apps. Diese Kategorie umfasst Dienste wie ChatGPT, Claude, Perplexity und Character AI sowie vergleichbare Angebote. Auch lokale Setups wie LM Studio, installierte Browser-Erweiterungen und sogenannte Agentic-Browser wie Comet gehören dazu. Die Apps und Dienste dieser Kategorie werden in der Regel ohne vorherige Genehmigung von Mitarbeitenden eingeführt und stellen damit klassische Beispiele für Schatten-KI dar.
  • Desktop-native multifunktionale Agenten. Diese Gruppe enthält Tools wie OpenClaw, NanoClaw, NemoClaw und andere. Diese stellen die größte Bedrohung dar, da sie standardmäßig über weitreichende Zugriffsrechte verfügen und nicht vertrauenswürdige Daten aus dem offenen Web aktiv verarbeiten.

Der richtige Umgang mit unerwünschten KI-Anwendungen

Jedes Unternehmen muss – abhängig von Branche, Innovations- und Risikobereitschaft – selbst beantworten, welche KI-Produkte sicher genutzt werden können, welche im Einzelfall zu genehmigen sind und welche vollständig ausgeschlossen werden sollten. Stark regulierte Branchen wie das Gesundheitswesen werden hier anders entscheiden als etwa der Einzelhandel. Für alle gilt aber: Nachdem genau analysiert wurde, welche KI-Tools bereits in das Unternehmen Einzug gehalten haben, müssen die internen Richtlinien angepasst werden. Die erste Aufgabe sollte daher die Analyse der internen Infrastruktur mithilfe vorhandener IT-Sicherheitslösungen und Logging-Tools sein.

Je nachdem, welche Strategie ein Unternehmen für sich gewählt hat, sind anschließend verschiedene Maßnahmen zur Regulierung aufgedeckter KI-Systeme anzuwenden:

  • Deaktivieren oder einschränken. Dafür können die in den Tools integrierten Einstellungen für Unternehmensrichtlinien verwendet werden.
  • Auf Endpunkt- oder Netzwerkebene beschränken. Dies kann wie ein Sicherheitsnetz gegen Richtlinienumgehungen oder Konfigurationsfehler funktionieren.
  • Das Zugriffsverhalten verwalten. Anstatt das Tool vollständig zu blockieren, wird es durch ein dediziertes internes Gateway geleitet, um Zugriffsberechtigungen und Verwendungsmuster zu überwachen.

KI-Systemen erkennen

Das Erkennen von KI erfordert einen mehrschichtigen Ansatz, da sich verschiedene Erkennungsmethoden ergänzen und unterschiedliche Arten von KI-Infrastrukturen unterschiedlich gut aufspüren.

Technologie Hilft beim Erkennen von
DNS Jedes KI-Tool mit einer identifizierbaren Domäne
Web-Gateway oder NGFW Jedes KI-Tool mit einem erkennbaren Request-and-Response-Fingerabdruck (API-Endpunktpfade, Domänen und andere Indikatoren) Webfilter können den Inhalt des Datenverkehrs untersuchen, und viele Gateways bzw. NGFWs verfügen bereits über eine eigene Kategorie zum Erkennen und Blockieren generativer KI.
EPP/EDR Lokal bereitgestellte LLMs (mittels Ollama, LM Studio und ähnliche Shells), native Desktop-Apps für ChatGPT oder Claude, Agentic-Browser und KI-Agenten aus dem Open-Source-Bereich. Ein indirektes, aber starkes Warnsignal kann das Vorhandensein von Node.js, Python, Git, Docker oder anderen Container-Umgebungen auf den Computern von Mitarbeitenden mit eher geringen technischen Kenntnissen sein.
Programmkontrolle Ähnlich wie bei EPP/EDR. Es können unerwünschte Anwendungen sofort von Anfang an blockiert werden.
Browser-Kontrolle KI-fokussierte Browser-Erweiterungen und Aufrufe von Websites mit KI-Hintergrund. Dies ist eine nicht zu verachtende Maßnahme, wenn das Web-Gateway des Unternehmens den verschlüsselten Datenverkehr nicht untersuchen kann.
SaaS Security Posture Management (SSPM) und Identity Governance OAuth-Berechtigungen, die von KI-bezogenen Apps und Diensten angefordert werden, sowie Drittanbieter-Integrationen in zentralen Productivity-Hubs wie Microsoft 365 und Google Workspace.

Natürlich können fast alle diese Tools mehr als nur KI zu erkennen. In der Regel ermöglichen sie es, KI-Systeme vollständig zu blockieren oder zumindest das zuständige Sicherheitsteam zu alarmieren.

OAuth im Auge behalten

Beliebte KI-Lösungen für den Büroalltag wie Meeting-Assistenten oder Agenten zur E-Mail- und Kalenderautomatisierung benötigen Zugriff auf Unternehmensdaten. Diesen erhalten sie über OAuth-Berechtigungen, die direkt von Kommunikations-, Dokumenten- oder Videokonferenzplattformen angefordert werden. Wenn ein Nutzer die Freigabe erhält, diese Berechtigungen an Drittanbieter-Apps zu erteilen, umgehen die daraus resultierenden Datenlecks vollständig die Sicherheitsgrenzen der Organisation. Tools wie EDR und NGFW können nicht erkennen, ob beispielsweise Read.ai eingesetzt wird, um Meeting-Aufzeichnungen in Microsoft Teams zu erfassen.

Die drastischste – und oft auch beste – Maßnahme besteht darin, Standardbenutzern von vornherein die Erteilung der OAuth-Zustimmung zu verbieten. Im Folgenden erklären wir, wie Sie dies technisch umsetzen können (erfordert Global-Administrator-, Anwendungsadministrator- oder vergleichbare Berechtigungen):

Microsoft 365 / Entra-ID

Navigieren Sie im Microsoft Entra Administrationscenter zu Identität > Anwendungen > Unternehmensanwendungen > Zustimmung und Berechtigungen > Einstellungen für Benutzerzustimmung. Dort kann die Benutzerzustimmung für Anwendungen deaktiviert werden (siehe vollständige Anleitung von Microsoft).

Google Workspace

Navigieren Sie in der Google Admin-Konsole zu Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung. Unter App-Zugriff verwalten kann die Vertrauenseinstufung für alle Apps festgelegt werden: Vertrauenswürdig, Eingeschränkt, Zugriff auf bestimmte Google-Daten oder Blockiert. Der entscheidende Punkt ist jedoch der Abschnitt Nicht konfigurierte App-Einstellungen, in dem festgelegt wird, was passiert, wenn ein Nutzer versucht, eine unbekannte App zu verbinden. Um diese Lücke zu schließen, wählen Sie die Einstellung Nutzern nicht erlauben, auf Drittanbieter-Apps zuzugreifen.

Der separate Unterabschnitt Google-Dienste verwalten ermöglicht die detaillierte Steuerung, wie Drittanbieter-Apps mit Diensten von Google Workspace und Google-Cloud interagieren. Dadurch kann der Zugriff für jedes einzelne Google-Produkt gesperrt werden (siehe offizielle Anleitung von Google).

Salesforce

Öffnen Sie Setup, nutzen Sie das Suchfeld Quick Find, um nach verbundenen Apps zu suchen, und wählen Sie anschließend Verbundene Apps verwalten aus den Ergebnissen. Obwohl die Einstellungen für jede externe App individuell konfiguriert werden, können standardmäßig alle Benutzer den Zugriff genehmigen. Hier gibt es keinen pauschalen Schalter, um alles zu blockieren. Stattdessen ermöglicht Salesforce die Option, dass von Administratoren genehmigte Benutzer vorab autorisiert sind (siehe vollständige Anleitung von Salesforce).

Slack

Navigieren Sie im Admin-Einstellungsmenü zu Apps und Workflows → App-Management-Einstellungen. Passen Sie die Einstellung Genehmigte Apps erforderlich an und wählen Sie Nur vorab genehmigte Apps zulassen. Sobald dies abgeschlossen ist, sollten Sie noch einmal überprüfen, dass keine abtrünnigen KI-Tools auf die Liste der genehmigten Tools gerutscht sind.

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder