Neue Welle von Insider-Threads durch Schatten KI

Sprunghafter Anstieg von Insider-Datenverlust durch mangelnde Datenkontrolle und auf LLM basierende KI-Tools + Verbote und Restriktionen von KI führen oft zu zusätzlichen Risiken durch Schatten KI + Unternehmen sind sich Gefahr durch Insider-Threads nicht bewusst

Mangelhafte Datenkontrolle und das Aufkommen neuer generativer KI-Tools, die auf Large Language Models (LLMs) basieren, werden im kommenden Jahr zu einem sprunghaften Anstieg von Insider-Datenverletzungen führen, warnt das Cybersecurity Unternehmen Imperva, das mit seinen Lösungen kritische Anwendungen, APIs und Daten überall und in großem Umfang schützt.

LLM-gesteuerte Chatbots werden immer leistungsfähiger. Als Reaktion darauf haben viele Unternehmen sowie auch Behörden Verbote erlassen oder genau definiert, welche Daten mit den Bots geteilt werden können. Viele Mitarbeitende nutzen dennoch generative KI-Tools, um beispielsweise Code zu schreiben oder Ausschreibungen auszufüllen. Da jedoch eine überwältigende Mehrheit der Unternehmen (82 Prozent) keine Strategie für das Management von Insider-Risiken hat, bleiben sie für solche Fälle oft blind. Doch das stellt ein erhebliches Risiko dar, denn oft geben Mitarbeitende dadurch unbefugten Anwendungen Zugriff auf sensible Datenspeicher.

„Mitarbeitenden die Nutzung generativer KI zu verbieten, ist sinnlos“, so Stephan Dykgers, Area Vice President EMEA bei Imperva. „Wir haben das schon bei so vielen anderen Technologien gesehen – die Menschen sind durch aus in der Lage, solche Beschränkungen zu umgehen. Verbote bedeuten für die Sicherheitsteams daher oft nur ein endloses Spiel von „Whack-a-mole“, ohne dass die Sicherheit des Unternehmens dadurch wirklich gesteigert wird.“

Insider-Threads sind für mehr als die Hälfte aller Datenschutzverletzungen (58 Prozent) verantwortlich und gehören oft zu den gefährlichsten. Eine frühere Studie von Imperva über die größten Datenschutzverletzungen der letzten fünf Jahre ergab, dass ein Viertel (24 Prozent) von ihnen auf menschliches Versagen zurückzuführen war (definiert als versehentliche oder böswillige Verwendung von Anmeldeinformationen für Betrug, Diebstahl, Lösegeld oder Datenverlust). Insider-Threads werden von den Unternehmen jedoch konsequent heruntergespielt: Ein Drittel (33 Prozent) gibt an, dass sie sie nicht als signifikante Bedrohung wahrnehmen.

„Menschen müssen keine böswilligen Absichten haben, um eine Datenverletzung zu verursachen“, so Dykgers. „Die meiste Zeit versuchen sie lediglich, ihre Arbeit effizienter zu erledigen. Sind Unternehmen jedoch blind gegenüber LLMs, die auf ihren Backend-Code oder sensible Datenspeicher zugreifen, ist es nur eine Frage der Zeit, bis das ihnen um die Ohren fliegt.“

Anstatt sich darauf zu verlassen, dass die Mitarbeitenden keine unbefugten Tools verwenden, müssen sich Unternehmen darauf konzentrieren, ihre Daten zu schützen und sicherstellen, dass sie die wichtigsten Fragen beantworten können, z. B. wer, was, wie und von wo aus auf die Daten zugreift. Zu diesem Zweck gibt es eine Reihe von Schritten, die jedes Unternehmen unabhängig seiner Größe ergreifen sollte:

• Sichtbarkeit: Für Unternehmen ist es von entscheidender Bedeutung, jedes Daten-Repository in ihrer Umgebung zu erkennen und zu überblicken. So wird sichergestellt, dass wichtige Informationen, die in Schattendatenbanken gespeichert sind, nicht vergessen oder missbraucht werden.
• Klassifizierung: Hat das Unternehmen ein Inventar aller Datenspeicher in seiner Umgebung erstellt, besteht der nächste Schritt darin, jeden Datenbestand nach Typ, Empfindlichkeit und Wert für das es zu klassifizieren. Eine effektive Datenklassifizierung hilft, den Wert von Daten zu verstehen, in Erfahrung zu bringen, ob die Daten gefährdet sind und welche Kontrollen zur Risikominderung implementiert werden sollten.
• Überwachung und Analyse: Letztlich müssen Unternehmen auch Datenüberwachungs- und Analysefunktionen implementieren, die Bedrohungen wie anomales Verhalten, Datenexfiltration, Ausweitung von Berechtigungen oder verdächtige Kontoerstellung erkennen können.