AI-Datensicherheitsbericht: 83 % der Unternehmen verfügen nicht über grundlegende Schutzmaßnahmen AI-Datensicherheitsbericht: 83 % der Unternehmen verfügen nicht über grundlegende Schutzmaßnahmen

Eine neue Branchenstudie von Kiteworks zeigt eine gravierende Lücke zwischen der wahrgenommenen und der tatsächlichen KI-Sicherheitsbereitschaft in Unternehmen. Die Untersuchung, für die 461 Cybersecurity- und IT-Fachkräfte befragt wurden, ergab: Nur 17% der Unternehmen verfügen über automatisierte technische Kontrollen, um zu verhindern, dass Mitarbeitende vertrauliche Daten in KI-Tools wie ChatGPT hochladen. Die übrigen 83% verlassen sich auf ineffektive, menschenabhängige Maßnahmen wie Schulungen, Warn-E-Mails oder schriftliche Richtlinien – 13% haben überhaupt keine Vorgaben. Diese Sicherheitslücke wird durch eine gefährliche Selbstüberschätzung verschärft: 33% der Führungskräfte behaupten, eine umfassende KI-Nutzungskontrolle zu haben, während unabhängige Studien zeigen, dass nur 9% tatsächlich funktionierende Governance-Systeme einsetzen.

Das Ausmaß der Datenexponierung ist alarmierend: 27% der Unternehmen geben an, dass über 30% der an KI-Tools gesendeten Informationen vertrauliche Daten wie Sozialversicherungsnummern, medizinische Unterlagen, Kreditkartendaten und Geschäftsgeheimnisse enthalten. Weitere 17% haben keinerlei Transparenz darüber, was Mitarbeitende mit KI-Plattformen teilen. Die Verbreitung von „Shadow AI“ – also nicht autorisierten Tools, die Mitarbeitende herunterladen – schafft tausende unsichtbare Datenabflussstellen. Da 86% der Unternehmen keinen Einblick in KI-Datenflüsse haben und im Schnitt 1.200 inoffizielle Anwendungen nutzen, gelangen sensible Informationen routinemäßig in KI-Systeme, wo sie dauerhaft in Trainingsmodellen gespeichert und potenziell für Wettbewerber oder böswillige Akteure zugänglich werden.

Compliance stellt eine weitere zentrale Herausforderung dar, da die Durchsetzung an Tempo gewinnt. US-Behörden haben 2024 insgesamt 59 KI-Regulierungen erlassen – mehr als doppelt so viele wie im Vorjahr –, doch nur 12% der Unternehmen zählen Compliance-Verstöße zu ihren wichtigsten KI-Sorgen. Die aktuellen Praktiken verstoßen täglich gegen konkrete Vorgaben der DSGVO, CCPA, HIPAA und SOX. Ohne ausreichende Transparenz über KI-Interaktionen können Unternehmen keine Löschanfragen für Daten erfüllen, erforderliche Audit-Trails führen oder Compliance bei Prüfungen nachweisen. Die mittlere Zeit zur Behebung exponierter Zugangsdaten beträgt 94 Tage – Angreifer haben somit monatelang Zeit, kompromittierte Zugänge auszunutzen.

Der Bericht empfiehlt vier dringende Maßnahmen: Ehrliche Audits der tatsächlichen KI-Nutzung, um die 300%-Selbstüberschätzung zu beseitigen; Einsatz automatisierter technischer Kontrollen, da menschenabhängige Maßnahmen regelmäßig scheitern; Aufbau zentraler Data-Governance-Kommandozentralen, um alle KI-bezogenen Datenbewegungen zu überwachen; sowie umfassendes Risikomanagement mit Echtzeit-Monitoring über alle Plattformen hinweg. Die Kombination aus rasanter KI-Adoption, steigenden Sicherheitsvorfällen und beschleunigter Regulierung lässt das Zeitfenster für Gegenmaßnahmen schnell schrumpfen. Wer seine KI-Nutzung jetzt nicht absichert, riskiert erhebliche Bußgelder, Reputationsschäden und Wettbewerbsnachteile – denn heute geteilte sensible Daten bleiben dauerhaft in KI-Systemen gespeichert.

Weitere Ressourcen

Blogpost Zero Trust Architecture: Never Trust, Always Verify

Blogpost Report: Protecting Sensitive Content Communications Is More Important Than Ever

Blogpost What It Means to Extend Zero Trust to the Content Layer

Blogpost Protecting Sensitive Data in the Age of Generative AI: Risks, Challenges, and Solutions

Blogpost Zero Trust for Data Privacy: A Practical Approach to Compliance and Protection

Jetzt loslegen.