Shadow AI
Was ist Shadow AI?
Shadow AINutzung von KI-Tools, -Modellen oder -Diensten durch Mitarbeitende ohne Wissen oder Freigabe der Security-, Privacy- oder Governance-Funktionen der Organisation.
Shadow AI ist der Nachfolger von Shadow IT im KI-Zeitalter. Mitarbeitende fügen Quellcode, Verträge, Kundendaten oder Strategiepapiere in Consumer-Chatbots ein, installieren unfreigegebene Browser-Copilots und IDE-Extensions oder feintunen lokale Modelle mit vertraulichen Daten. Risiken sind Datenabfluss, Verlust geistigen Eigentums, Compliance-Verstöße (DSGVO, HIPAA), Prompt Injection über ungemanagte Tools und unkontrollierte Modellausgaben in produktiven Entscheidungen. Wirksame Maßnahmen kombinieren ein AI-Inventar samt Policy, freigegebene Alternativen (Enterprise-GenAI mit DLP und Audit), Egress- und CASB-Kontrollen, browserisolierte Workflows und Awareness-Training. Programme richten sich typischerweise an NIST AI RMF und ISO/IEC 42001 aus, um Shadow AI in eine größere AI-Governance zu integrieren.
● Beispiele
- 01
Entwicklerinnen fügen proprietären Code in einen kostenlosen Consumer-Chatbot zum Debuggen ein.
- 02
Ein Marketing-Team nutzt einen ungeprüften KI-Übersetzungsdienst, der eingereichten Text auf Drittservern speichert.
● Häufige Fragen
Was ist Shadow AI?
Nutzung von KI-Tools, -Modellen oder -Diensten durch Mitarbeitende ohne Wissen oder Freigabe der Security-, Privacy- oder Governance-Funktionen der Organisation. Es gehört zur Kategorie KI- und ML-Sicherheit der Cybersicherheit.
Was bedeutet Shadow AI?
Nutzung von KI-Tools, -Modellen oder -Diensten durch Mitarbeitende ohne Wissen oder Freigabe der Security-, Privacy- oder Governance-Funktionen der Organisation.
Wie funktioniert Shadow AI?
Shadow AI ist der Nachfolger von Shadow IT im KI-Zeitalter. Mitarbeitende fügen Quellcode, Verträge, Kundendaten oder Strategiepapiere in Consumer-Chatbots ein, installieren unfreigegebene Browser-Copilots und IDE-Extensions oder feintunen lokale Modelle mit vertraulichen Daten. Risiken sind Datenabfluss, Verlust geistigen Eigentums, Compliance-Verstöße (DSGVO, HIPAA), Prompt Injection über ungemanagte Tools und unkontrollierte Modellausgaben in produktiven Entscheidungen. Wirksame Maßnahmen kombinieren ein AI-Inventar samt Policy, freigegebene Alternativen (Enterprise-GenAI mit DLP und Audit), Egress- und CASB-Kontrollen, browserisolierte Workflows und Awareness-Training. Programme richten sich typischerweise an NIST AI RMF und ISO/IEC 42001 aus, um Shadow AI in eine größere AI-Governance zu integrieren.
Wie schützt man sich gegen Shadow AI?
Schutzmaßnahmen gegen Shadow AI kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Shadow AI?
Übliche alternative Bezeichnungen: Unautorisierte KI, BYOAI.
● Verwandte Begriffe
- ai-security№ 027
KI-Governance
Richtlinien, Prozesse, Rollen und Kontrollen, mit denen Organisationen und Regulierer sicherstellen, dass KI-Systeme verantwortungsvoll und rechtmäßig entwickelt, bereitgestellt und betrieben werden.
- ai-security№ 025
AI Bill of Materials (AIBOM)
Maschinenlesbares Inventar aller Komponenten eines KI-Systems — Datensätze, Basismodelle, Fine-Tuning-Daten, Bibliotheken, Prompts und Evaluierungsartefakte — für Sicherheit, Compliance und Accountability.
- ai-security№ 034
AI-Supply-Chain-Risiko
Summe der Bedrohungen aus Drittanbieter-Datensätzen, Basismodellen, Bibliotheken, Plug-ins und Infrastruktur, die Organisationen zum Bau und Betrieb von KI-Systemen kombinieren.
- cloud-security№ 148
CASB (Cloud Access Security Broker)
Ein Policy-Durchsetzungspunkt zwischen Anwendern und Cloud-/SaaS-Anwendungen, der für Sichtbarkeit, Datenschutz und Bedrohungsschutz sorgt.
- ai-security№ 281
Daten-Poisoning
Angriff auf ein ML-System, bei dem Angreifer Trainingsdaten einschleusen, verändern oder umlabeln, sodass das resultierende Modell fehlerhaft arbeitet oder versteckte Backdoors enthält.
- ai-security№ 029
AI-Incident-Response
Prozesse, Rollen und Playbooks, mit denen eine Organisation Vorfälle rund um KI-Systeme erkennt, eindämmt, untersucht, kommuniziert und wiederherstellt.