Die Förderung von KI ohne Sicherheitsmaßnahmen ist ein gefährliches Risiko. Doch viele Unternehmen scheinen zu handeln, bevor sie nachdenken.
Der aktuelle AI at Work 2025-Bericht von Okta zeigt, dass nur 36 % der Unternehmen über ein zentrales Governance-Modell für KI verfügen. Darüber hinaus gaben nur 32 % an, dass sie ihre nicht-menschlichen Arbeitskräfte immer mit dem gleichen Maß an Governance behandelten wie ihre menschlichen Arbeitskräfte.
In der Zwischenzeit scheint die Einführung von KI stetig voranzuschreiten. Zusätzliche Statistiken, die von den Forschern aufgedeckt wurden, zeigen eine „weit verbreitete“ Akzeptanz – Situationen, in denen fast alle Teams zumindest teilweise KI nutzen – die von 17 % im Jahr 2024 auf 28 % im Jahr 2025 steigt. Aber dabei zwingt es Unternehmen auch dazu, die Schnittstelle zwischen Governance, Sicherheit und Identität neu zu überdenken.
„Governance und Zugriffskontrolle sind angesichts des Zugriffslevels und der Ausführungsmöglichkeiten, die KI möglicherweise hat, von entscheidender Bedeutung“, sagte ein Befragter, ein C-Level-Manager in der Banken- und Finanzbranche, gegenüber den Forschern
Nachfolgend haben wir fünf Empfehlungen für die effektive Entwicklung einer KI-Governance-Strategie zusammengestellt, um eine sichere und vertrauenswürdige Grundlage für KI-Innovation und -Wachstum zu schaffen.
Entscheiden Sie sich für ein Framework zur KI-Governance.
Glücklicherweise sind Enterprise in der Frage der Governance nicht ohne Orientierung. Standards und Frameworks wie ISO 42001 und das NIST KI Risk Management Framework stehen zur Verfügung, um Benutzer, Developer und andere bei der Risikoverwaltung zu unterstützen.
"Sowohl NIST KI RMF als auch ISO 42001 bieten eine ausgezeichnete Struktur und Vorteile für Unternehmen aller Art", sagt Tom Ross, Director, Security Governance bei Okta. "Welches Framework am besten geeignet ist, hängt stark von der jeweiligen Unternehmen ab, aber grundsätzlich basiert NIST auf Prinzipien, während ISO auf operativen Abläufen basiert. Viele Unternehmen entscheiden sich für beide.
Den Ton von oben setzen
Die erste große Hürde beim Verfassen einer effektiven Richtlinie zur Support einer KI-Governance-Strategie besteht darin, den Ton an der Spitze zu verstehen und klar zu definieren, erklärt Ross. Das bedeutet, eine KI-Strategie zu entwickeln, die darlegt, wie die Technologie im Unternehmen in Übereinstimmung mit den Geschäfts- und Sicherheitszielen eingesetzt wird, und einen formalen Prozess zu schaffen, um zu bewerten, wie Systeme, Anwendungen und Agenten von Drittanbietern geprüft werden.
"Möchte die Unternehmensführung, dass die Mitarbeiter KI-Tools frei nutzen, oder gar nicht? Werden Experimente und Basteleien gefördert, oder bevorzugt das Management ein abgeschottetes Modell, das nur mit Berechtigung zugänglich ist? Wenn die KI-Strategie des Unternehmens klar ist, wird das Verfassen von Richtlinie zum Support der strategischen Ausrichtung viel einfacher", sagt er. "Veränderungen durch Richtlinien voranzutreiben funktioniert nicht; Veränderungen zu unterstützen und Klarheit durch Richtlinien zu schaffen, ist der beste Weg nach vorne."
Schutzmaßnahmen um KI herum einrichten
Ein tieferer Einblick in den Bericht 'AI at Work' zeigt, dass die häufigsten Stakeholder, die an Diskussionen zur KI-Governance beteiligt sind, CISOs, CIOs und Vertreter der Rechts- und Compliance-Abteilungen sind. Grundsätzlich ist die KI-Governance eine Erweiterung der Richtlinien für den verantwortungsvollen Umgang mit Diensten und Software, jedoch mit vielen neuen Wendungen und Veränderungen, erklärt Ross. Der einfachste Ansatz besteht darin, Schutzmaßnahmen und Aufsicht für das einzurichten, was mit einem KI-Tool geteilt wird (d. h. Datensicherheit), was innerhalb des KI-Tools geschieht (d. h. Drittanbieterrisiko) und wie KI-generierte Ergebnisse genutzt werden (d. h. Verhaltenskodex und Ethik), fährt er fort.
Die Wahl der richtigen Schutzmaßnahmen für ein bestimmtes Tool erfordert ein gründliches Verständnis der Risiken, einschließlich aller Aspekte von KI-Verzerrungen und -Halluzinationen bis hin zu Überlegungen zur Cybersicherheit.
„Eine unkontrollierte Einführung von KI kann die Sicherheitslage eines Unternehmens stillschweigend untergraben, indem sie seine Angriffsfläche drastisch erweitert“, sagt Sendhil Jayachandran, Vice President of Product Marketing bei Okta. „Eine KI-zentrierte Sicherheitsstrategie umfasst die Identifizierung aller KI-Access Points, deren Sicherung und die Einbeziehung von Menschen in den Prozess für sensible Aktionen.“
KI-Agenten-Identität und -Zugriff verwalten
Die Grundlage von KI-Strategien muss ein effektives Identity and Access Management (IAM) sein. Aufgrund ihrer autonomen und dynamischen Natur stellen KI-Agenten die bestehenden IAM-Ansätze von Enterprise vor Herausforderungen. Viele nicht-menschliche Identitäten, wie z. B. KI-Agenten, verwenden statische Schlüssel zur Verwaltung des Zugriffs. Dieser Ansatz bringt jedoch Nachteile mit sich. Statische Schlüssel sind anfälliger für Diebstahl, schaffen Herausforderungen, wenn sich Agenten vermehren, und erhöhen das Risiko, indem sie kontinuierlichen Zugriff ermöglichen, selbst wenn dieser nicht gerechtfertigt ist. Darüber hinaus können überberechtigte Agenten aufgrund ihrer Zugriffsebenen die Auswirkungen einer potenziellen Kompromittierung verstärken. Sie können auch Sicherheitsrisiken schaffen, da sie autonome Entscheidungen treffen, die Security-Teams möglicherweise nicht vorhersehen können.
„Ohne ein starkes Identity-Governance-Framework agieren KI-Agenten in einem blinden Fleck, was zu einer massiven, nicht auditierbaren Erweiterung der Angriffsfläche führt“, sagt Jayachandran „Echte Kontrolle bedeutet, das Prinzip von Least Privilege mit maschineller Effizienz durchzusetzen: Berechtigungen dynamisch für eine bestimmte Funktion zu erteilen und sicherzustellen, dass diese Berechtigungen ablaufen, sobald die Aufgabe erledigt ist.“ „Alles andere bedeutet einfach die Schaffung einer neuen Klasse von mächtigen, unkontrollierten Insidern.“
Kontinuierliche Überwachung der Nutzung und Feinabstimmung der Richtlinien
Unternehmen scheinen die Bedeutung dieser Themen zu erkennen. Governance ist das dritthäufigst erwähnte Element einer erfolgreichen KI-Einführung, wobei Prozesse und Leitplanken zur Qualitätssicherung von Daten und klar definierte Anwendungsfälle an erster und zweiter Stelle stehen.
Aber die Arbeit zur Sicherung von Systemen ist niemals wirklich abgeschlossen. Follow-up ist entscheidend, da KI-Modelle und Sicherheitsrichtlinien überwacht und bei Bedarf angepasst werden müssen, um die Wirksamkeit sicherzustellen.
„Die Überwachung der Nutzung von KI-Tools über Cloud Access Security Broker (CASB)- und Data Loss Prevention (DLP)-Plattformen ist ein hervorragender Ausgangspunkt, um die Effektivität einer KI-Governance-Strategie zu messen“, sagt Ross. „Die Überwachung bietet nicht nur Einblicke, wie gut die Organisation die definierte Governance-Struktur einhält, sondern kann auch helfen, das Aufkommen neuer, populärer Dienste hervorzuheben, die für die Aufnahme und/oder Genehmigung in Betracht gezogen werden sollten.“
Für weitere Informationen zur KI-Governance und zum Identity-Management lesen Sie The ‘superuser’ blind spot: Warum KI-Agenten eine dedizierte Identity-Security erfordern.
