Blog

KI-Sicherheit in drei Schritten – 1: Discover

Künstliche Intelligenz ist längst durch pragmatische Nutzung im Arbeitsalltag der meisten Unternehmen angekommen. Oft geschieht das über praktische Nutzung in ganz normalen Arbeitssituationen. Mitarbeitende verwenden öffentlich zugängliche KI‑Dienste, um Texte zu formulieren, Informationen zu ordnen oder Inhalte auszuwerten. Entwickler arbeiten mit Code‑Assistenten, Analysten binden Modelle über cloudbasierte APIs ein. Parallel dazu laufen die etablierten IT‑ und Security‑Prozesse weiter, häufig ohne dass jede neue Nutzung dort unmittelbar sichtbar wird.

Genau in dieser Lücke entsteht Shadow AI. Die Nutzung entwickelt sich pragmatisch und verteilt sich schnell, weil die Technologie verfügbar ist und sich leicht in bestehende Abläufe einfügt. Dadurch wächst ein Anteil an KI‑Einsatz, der nicht zwingend geplant oder dokumentiert ist, sondern sich im Alltag etabliert.

In dieser Artikelserie beschreiben wir drei Schritte, die inhaltlich aufeinander aufbauen: Discover, Detect und Protect.

• Discover schafft Transparenz darüber, wie KI in der Organisation wirklich genutzt wird.
  Dazu gehören die genutzten Dienste, die Orte der Interaktion und die Art der Informationen, die in diesen Interaktionen eine Rolle spielen. Ohne dieses Fundament fehlt die Grundlage, um die nächsten Schritte belastbar umzusetzen.
• Detect identifiziert und prüft Nutzung mit erhöhtem Risiko.
  Entscheidend ist die Abgrenzung zwischen Einsatz, der im Rahmen klarer Regeln akzeptabel ist, und Abweichungen, die eine Reaktion erfordern.
• Protect setzt Schutzmaßnahmen so um, dass sie sich an realer Nutzung und tatsächlichen Risiken orientieren.
  Das Ergebnis sind Leitplanken, die nicht auf Annahmen beruhen, sondern auf dem, was in der Organisation tatsächlich passiert.

Damit KI‑Nutzung bewertet und wirksam abgesichert werden kann, braucht es zuerst ein klares Bild der Realität. Dieser Artikel konzentriert sich deshalb auf die Sichtbarkeit von KI‑Interaktionen als Grundlage für Risikobewertung und spätere Leitplanken.

Sichtbarkeit direkt im Browser der Nutzer

A large share of today’s AI use takes place where daily work happens: in the browser. Generative AI services and AI features in clEin großer Teil der heutigen KI‑Nutzung findet dort statt, wo tägliche Arbeit ohnehin erledigt wird, im Browser. Viele generative KI‑Dienste und KI‑Funktionen in cloudbasierten Anwendungen werden direkt über das Web genutzt, oft ohne Installation und ohne lokale Erfassung.

Sichtbarkeit an dieser Stelle bedeutet, Nutzung im Moment ihres Entstehens zu erfassen. Dadurch wird nachvollziehbar:

• welcher Nutzer mit welchem KI‑Dienst interagiert
• welche Art von Aktivität stattfindet
• in welchem Arbeitskontext die Nutzung erfolgt

Wenn diese Form der Sichtbarkeit vorhanden ist, muss der Datenverkehr nicht zunächst verschlüsselt übertragen und später aufwendig rekonstruiert werden. Die Einordnung entsteht vor der Verschlüsselung. Das erhöht die Präzision der Analyse, reduziert datenschutzrechtliche Spannungsfelder und wirkt sich in der Regel weniger auf die Nutzererfahrung aus als rein netzwerkbasierte Ansätze.

Gerade bei öffentlichen Web‑Services und SaaS‑Anwendungen ist dies ein effektiver Weg, um zu verstehen, wie Menschen KI im Arbeitsalltag tatsächlich einsetzen.

Blog

13. März 2025

Wie sieht Ihre Observability-Strategie aus?

Weiterlesen

Wenn Sichtbarkeit im Browser nicht möglich ist

Browserbasierte Sichtbarkeit ist nicht immer umsetzbar und nicht in jeder Umgebung ausreichend. KI wird auch in Kontexten genutzt, in denen es keine Interaktion über einen kontrollierten Browser gibt. Dazu zählen unter anderem:

• API‑Aufrufe in Entwicklungs‑ und Testumgebungen
• automatisierte Workflows und systemübergreifende Kommunikation
• KI‑Agenten, die Prozesse ohne menschliche Oberfläche ausführen

In solchen Szenarien muss Sichtbarkeit über breiter angelegte technische Mechanismen entstehen, die Datenverkehr unabhängig von seinem Ursprung einordnen können. Dazu gehören beispielsweise:

• die Identifikation KI‑bezogener Kommunikationsmuster über DNS‑Signale und Applikationsklassifizierung
• die Steuerung und Analyse von Verkehr über Secure‑Web‑Gateways
• eine gezielte Entschlüsselung einzelner Verbindungen, um Inhalte, Prompts oder API‑Aufrufe einordnen zu können

Entschlüsselung dient hier nicht der flächendeckenden Kontrolle. Sie wird gezielt eingesetzt, wenn sonst der notwendige Kontext fehlen würde. Diese Form der Sichtbarkeit ist allgemeiner als ein direkter Blick im Browser, wird jedoch unverzichtbar, sobald KI‑Nutzung außerhalb dieses Kontexts stattfindet.

Wenn KI‑Agenten eigenständig handeln

Sichtbarkeit muss auch dann greifen, wenn nicht Menschen, sondern Systeme selbstständig KI‑Dienste nutzen. Solche Szenarien umfassen unter anderem:

• automatisierte Entscheidungsprozesse
• die Kommunikation von Maschinen und Services mit externen Modellen
• Hintergrundprozesse, die KI‑Verarbeitung auslösen

In diesen Umgebungen müssen die eingesetzten Mechanismen Kommunikation unabhängig von Identität, Standort oder Transportebene nachvollziehen können. Sicherheitsfunktionen brauchen deshalb zwei Perspektiven gleichzeitig. Sie müssen nahe an den Arbeitsplätzen ansetzen, an denen Interaktionen entstehen, und zugleich zentral im Netzwerk verankert sein, wo systemische Kommunikation zusammenläuft.

Seite

24. Juli 2025

Observability

Wir verschaffen Ihnen vollständige Transparenz über Ihre IT-Landschaft, damit Sie Probleme frühzeitig erkennen, schnell beheben und dauerhaft verhindern können.

Weiterlesen

Von Einblicken zu fundierten Entscheidungen

Sichtbarkeit ist keine Lösung für ein einzelnes Problem. Sie ist die Voraussetzung für alles, was darauf aufbaut. Sobald eine Organisation versteht, wie KI tatsächlich genutzt wird, verschiebt sich die Diskussion von Annahmen hin zu belastbaren Fakten. Das schafft die Grundlage, um:

• reale Risiken zu erkennen
• Governance‑Bedarf für konkrete Anwendungsfälle einzuordnen
• exponierte Datenarten besser zu verstehen
• Schutzmaßnahmen sinnvoll zu priorisieren

Damit diese Sichtbarkeit dauerhaft hilfreich bleibt, muss sie nachvollziehbar sein. Durch die Protokollierung KI‑bezogener Interaktionen entsteht nicht nur ein aktueller Überblick, sondern auch Rückverfolgbarkeit über die Zeit hinweg. Das unterstützt kontinuierliche Analysen ebenso wie Incident‑Response‑Arbeit oder eine spätere Bewertung von Vorfällen.

Ohne ein realistisches Bild der tatsächlichen Nutzung bleibt Risikomanagement entweder grob oder im ungünstigsten Fall wirkungslos. Erst wenn Sichtbarkeit im Moment der Nutzung und über längere Zeiträume hinweg besteht, lassen sich Risiken sinnvoll bewerten und gezielt absichern. Mit dieser Grundlage rückt der nächste Schritt in den Fokus, die Detektion von Nutzung, die über akzeptable Rahmenbedingungen hinausgeht.

Hier beginnt der nächste Schritt: Detection.