Während wir uns dem Ende des Jahres 2025 nähern, gibt es zwei unbequeme Wahrheiten über KI, die sich jeder CISO zu Herzen nehmen muss.
Wahrheit Nr. 1: Jeder Mitarbeiter, der dazu in der Lage ist, nutzt Generativ KI-Tools für ihren Job. Auch wenn Ihr Unternehmen ihnen kein Konto zur Verfügung stellt, selbst wenn Ihre Police dies verbietet, selbst wenn der Mitarbeiter aus eigener Tasche zahlen muss.
VP of Product bei 1Password und Gründer von Kolide.
Wahrheit Nr. 2: Jeder Mitarbeiter, der generative KI nutzt, wird dieser KI interne und vertrauliche Unternehmensinformationen zur Verfügung stellen (oder hat dies wahrscheinlich bereits getan).
Auch wenn Sie meiner Verwendung von „jeder“ vielleicht widersprechen, gehen die Konsensdaten schnell in diese Richtung. Entsprechend MicrosoftIm Jahr 2024 nutzten drei Viertel der Wissensarbeiter weltweit bereits generative KI bei der Arbeit, und 78 % von ihnen brachten ihre eigenen KI-Tools mit zur Arbeit.
Mittlerweile gibt fast ein Drittel aller KI-Nutzer zu, dass sie sensibles Material öffentlich zugänglich gemacht haben Chatbots; Davon geben 14 % zu, freiwillig Geschäftsgeheimnisse des Unternehmens preisgegeben zu haben. Die größte Bedrohung durch KI besteht in einer allgemeinen Ausweitung der „Zugriffs-Vertrauens-Lücke“.
Im Falle der KI ist damit die Differenz zwischen den genehmigten gemeint Business-Apps denen der Zugriff auf Unternehmensdaten vertrauenswürdig ist, und die wachsende Zahl nicht vertrauenswürdiger und nicht verwalteter Apps, die ohne Wissen der IT- oder Sicherheitsteams Zugriff auf diese Daten haben.
Mitarbeiter als unüberwachte Geräte
Im Wesentlichen verwenden Mitarbeiter nicht überwachte Geräte, die eine beliebige Anzahl unbekannter KI-Apps enthalten können, und jede dieser Apps kann ein großes Risiko für sensible Unternehmensdaten darstellen.
Betrachten wir vor diesem Hintergrund zwei fiktive Unternehmen und ihren KI-Einsatz: Wir nennen sie Unternehmen A und Unternehmen B.
Sowohl in Unternehmen A als auch in Unternehmen B machen Geschäftsentwicklungsmitarbeiter Screenshots davon Salesforce und sie an die KI weiterleiten, um den perfekten Outbound zu gestalten E-Mail für ihr nächstes potenzielles Ziel.
CEOs nutzen es, um die Due Diligence bei kürzlich verhandelten Akquisitionszielen zu beschleunigen. Verkäufe Vertriebsmitarbeiter streamen Audio- und Videodaten von Verkaufsgesprächen an KI-Apps, um personalisiertes Coaching und die Bearbeitung von Einwänden zu erhalten. Produktvorgänge werden hochgeladen Excel Blätter mit aktuellen Produktnutzungsdaten in der Hoffnung, die wichtigsten Erkenntnisse zu finden, die allen anderen entgangen sind.
Für Unternehmen A stellt das obige Szenario einen glänzenden Bericht an den Vorstand über den Fortschritt der unternehmensinternen KI-Initiativen dar. Für Unternehmen B stellt das Szenario eine schockierende Liste schwerwiegender Richtlinienverstöße dar, von denen einige schwerwiegende datenschutzrechtliche und rechtliche Konsequenzen haben.
Der Unterschied? Unternehmen A hat seinen KI-Aktivierungsplan und sein Governance-Modell bereits entwickelt und eingeführt, und Unternehmen B debattiert immer noch darüber, was es in Bezug auf KI tun soll.
KI-Governance: vom „Ob“ zum „Wie“ in sechs Fragen
Einfach ausgedrückt: Unternehmen können es sich nicht leisten, länger zu warten, bis sie die KI-Governance in den Griff bekommen. Der „Cost of a Data Breach Report“ von IBM aus dem Jahr 2025 unterstreicht die Kosten, die entstehen, wenn die KI nicht ordnungsgemäß gesteuert und gesichert wird: 97 % der Unternehmen, die einen KI-bezogenen Verstoß erlitten haben, verfügten über keine KI-Zugriffskontrollen.
Jetzt besteht die Aufgabe darin, einen KI-Aktivierungsplan zu erstellen, der die produktive Nutzung fördert und rücksichtsloses Verhalten eindämmt. Um zu erfahren, wie Secure Enablement in der Praxis aussehen kann, beginne ich jeden Board-Workshop mit sechs Fragen:
1. Welche Geschäftsanwendungsfälle verdienen KI-Leistung? Denken Sie an konkrete Anwendungsfälle für KI, wie zum Beispiel „Entwerfen eines Zero-Day-Schwachstellen-Bulletins“ oder „Zusammenfassen einer Gewinnmitteilung“. Konzentrieren Sie sich auf Ergebnisse und nicht nur auf den Einsatz von KI zum Selbstzweck.
2. Welche geprüften Werkzeuge werden wir aushändigen? Suchen Sie nach geprüften KI-Tools mit grundlegenden Sicherheitskontrollen, z. B. Enterprise-Stufen, die keine Unternehmensdaten zum Trainieren ihrer Modelle verwenden.
3. Wo landen wir bei persönlichen KI-Konten? Formulieren Sie die Regeln für den Einsatz persönlicher KI Business-Laptopspersönliche Geräte und Geräte von Auftragnehmern.
4. Wie schützen wir Kundendaten und halten jede Vertragsklausel ein, während wir gleichzeitig die Vorteile von KI nutzen? Ordnen Sie Modelleingaben im Hinblick auf Vertraulichkeitsverpflichtungen und regionale Vorschriften zu.
5. Wie erkennen wir betrügerische KI-Webanwendungen, native Apps und Browser-Plug-ins? Suchen Sie nach Schatten-KI-Nutzung, indem Sie Sicherheitsagenten, CASB-Protokolle und Tools nutzen, die detaillierte Inventarerweiterungen und Plugins für Browser und Code-Editoren bereitstellen.
6. Wie vermitteln wir die Richtlinie, bevor Fehler passieren? Sobald Sie Richtlinien eingeführt haben, schulen Sie Ihre Mitarbeiter proaktiv darin. Leitplanken sind sinnlos, wenn sie bis zum Austrittsgespräch niemand sieht.
Ihre Antworten auf jede Frage variieren je nach Risikobereitschaft, aber die Abstimmung zwischen den Rechts-, Produkt-, Personal- und Sicherheitsteams darf nicht verhandelbar sein.
Um die Lücke zwischen Zugriff und Vertrauen zu schließen, ist es im Wesentlichen erforderlich, dass Teams die Nutzung vertrauenswürdiger KI-Apps im gesamten Unternehmen verstehen und ermöglichen, damit Mitarbeiter nicht zu einer nicht vertrauenswürdigen und unüberwachten App-Nutzung getrieben werden.
Governance, die am Arbeitsplatz lernt
Sobald Sie Ihre Richtlinie eingeführt haben, behandeln Sie sie wie jeden anderen Kontrollstapel: Messen, berichten, verfeinern. Ein Teil eines Befähigungsplans besteht darin, die Siege und die damit verbundene Sichtbarkeit zu feiern.
Wenn Ihr Verständnis der KI-Nutzung in Ihrem Unternehmen wächst, sollten Sie damit rechnen, diesen Plan zu überdenken und ihn kontinuierlich mit denselben Interessengruppen zu verfeinern.
Ein abschließender Gedanke für den Sitzungssaal
Denken Sie an die Mitte der 2000er Jahre zurück, als SaaS über Spesenabrechnungen und Projekt-Tracker in das Unternehmen Einzug hielt. Die IT-Abteilung versuchte, ungeprüfte Domänen auf die schwarze Liste zu setzen, die Finanzabteilung sträubte sich gegen die Ausbreitung der Kreditkartenzahlungen und die Rechtsabteilung fragte sich, ob Kundendaten auf „dem Computer von jemand anderem“ gehörten. Schließlich akzeptierten wir, dass sich der Arbeitsplatz weiterentwickelt hatte und SaaS für moderne Unternehmen unverzichtbar geworden war.
Die generative KI folgt derselben Flugbahn mit fünffacher Geschwindigkeit. Führungskräfte, die sich an die SaaS-Lernkurve erinnern, werden das Muster erkennen: Frühzeitig steuern, kontinuierlich messen und das Graumarkt-Experiment von gestern in den Wettbewerbsvorteil von morgen verwandeln.
Schauen Sie sich unsere Liste der besten Mitarbeiterverwaltungssoftware an.
