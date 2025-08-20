Cybersicherheitsexperten sagen, dass »unkontrollierte KI-Nutzung« gefährliche blinde Flecken schafft, da Untersuchungen zeigen, dass 84 % der KI-Tool-Anbieter Sicherheitsverletzungen erlitten haben.
Vor drei Wochen enthüllte das ChatGPT-Leck »geteilte Gespräche« und machte Tausende von Benutzerchats – einige davon mit Namen, Adressen und anderen persönlich identifizierbaren Informationen – in den Google-Suchergebnissen sichtbar. Die Links, die ursprünglich über die Freigabefunktion von ChatGPT erstellt wurden, waren öffentlich sichtbar und von Suchmaschinen indexiert, sodass sie für jeden mit den richtigen Suchbegriffen zugänglich waren.
OpenAI reagierte, indem es die Freigabefunktion vollständig entfernte und mit Suchmaschinen zusammenarbeitete, um die indexierten Inhalte zu entfernen.
Obwohl diese Maßnahmen die unmittelbare Schwachstelle schlossen, warnen Sicherheitsexperten, dass die Konzentration auf diesen Vorfall allein das viel größere Problem ignoriert: systemische Sicherheitslücken im gesamten KI-Sektor.
Sicherheitslücken bei Marktführern
Eine von dem Business Digital Index (BDI) Team durchgeführte Cybersicherheitsanalyse untersuchte kürzlich 10 führende Anbieter großer Sprachmodelle [1].
Obwohl die Hälfte eine »A«-Bewertung für Cybersicherheit erhielt, schnitt die andere Hälfte deutlich schlechter ab. OpenAI erhielt eine D-Bewertung, während Inflection AI ein F erhielt.
Die Studie ergab:
- Die Hälfte der führenden KI-Anbieter hatte dokumentierte Sicherheitsverletzungen.
- Alle Anbieter hatten Schwächen in der SSL/TLS-Konfiguration.
- Die meisten hatten Schwachstellen in der Hosting-Infrastruktur – nur AI21 Labs und Anthropic vermieden größere Probleme.
- Die Wiederverwendung von Anmeldeinformationen war weit verbreitet, wobei 35 % der Mitarbeiter von Perplexity AI und 33 % bei EleutherAI zuvor kompromittierte Passwörter verwendeten.
KI-Webtools sollten nicht vertraut werden
Eine separate Untersuchung des Business Digital Index zu 52 beliebten KI-Webtools zeigte ebenfalls besorgniserregende Trends [2].
Diese KI-Tools, die Produktivität, Forschung und kreative Anwendungen umfassen, werden oft ohne IT-Genehmigung am Arbeitsplatz eingesetzt, und die meisten von ihnen weisen besorgniserregende Probleme mit ihrer externen digitalen Sicherheit auf.
Wichtige Ergebnisse:
- 84 % der analysierten KI-Webtools hatten mindestens eine Datenpanne erlebt.
- 51 % hatten gestohlene Unternehmensanmeldeinformationen.
- 93 % hatten SSL/TLS-Fehlkonfigurationen.
- 91 % hatten Hosting-Schwachstellen, die mit schwacher Cloud-Sicherheit oder veralteten Servern verbunden waren.
Žilvinas Girėnas, Produktleiter bei nexos.ai, betont die Gefahren der schnellen Einführung von KI-Tools ohne Governance:
»Es geht nicht nur darum, dass ein Tool durchrutscht. Die Einführung überholt die Governance, und das schafft eine Autobahn für eskalierende Sicherheitsverletzungen. Ohne unternehmensweite Sichtbarkeit kann Ihr Sicherheitsteam den Zugriff nicht sperren, Verlaufshistorien verfolgen oder Schutzmaßnahmen durchsetzen. Es ist, als würde man jedem Team oder jedem Freiberufler die Schlüssel zum Königreich übergeben und dann mit dem Experiment beginnen. Ein Tool mag harmlos erscheinen, bis Sie entdecken, dass es Kunden-PII oder vertrauliche Strategiekonzepte leakt. Wir sprechen nicht nur theoretisch – Studien zeigen, dass 96 % der Organisationen KI-Agenten als Sicherheitsbedrohungen sehen, während kaum die Hälfte sagen kann, dass sie vollständige Sichtbarkeit in das Verhalten der Agenten haben [3].«
Rund 75 % der Mitarbeiter nutzen KI für Arbeitsaufgaben, doch nur 14 % der Organisationen haben formelle KI-Richtlinien.
Fast die Hälfte der sensiblen Eingaben erfolgt über persönliche Konten, wodurch die Unternehmensaufsicht vollständig umgangen wird, und ein erheblicher Teil der Benutzer verbirgt aktiv ihre KI-Nutzung vor dem Management.
Das schwächste Glied: Produktivitätstools
Innerhalb dieser breiteren Stichprobe waren produktivitätsorientierte KI-Plattformen die am wenigsten sicheren. Dazu gehören Notiz-, Planungs- und Inhaltserstellungstools, die weitgehend in tägliche Arbeitsabläufe integriert sind. Jedes einzelne Produktivitäts-KI-Tool wies Hosting- und Verschlüsselungsfehler auf.
Aras Nazarovas, Cybersicherheitsforscher bei Cybernews, warnt:
»Ein Tool mag auf den ersten Blick sicher erscheinen, aber eine einzige übersehene Schwachstelle kann alles gefährden. Das ChatGPT-Leck erinnert daran, wie schnell diese Schwachstellen öffentlich werden können.«
Empfehlungen für Unternehmen und Benutzer
Cybersicherheitsexperten bei Cybernews empfehlen, folgende Schritte zu unternehmen, um das Risiko zu verringern:
- Etablieren und Durchsetzen von KI-Nutzungsrichtlinien in allen Abteilungen.
- Überprüfen aller KI-Anbieter und -Tools auf Sicherheitskonformität auf Unternehmensebene.
- Verbot der Nutzung persönlicher Konten für arbeitsbezogene KI-Interaktionen.
- Überwachen und Widerrufen aller freigegebenen oder öffentlichen KI-Inhalte.
- Schulung der Mitarbeiter über die Risiken unsicherer KI-Tools und die Wiederverwendung von Anmeldeinformationen.
Fazit: kein Einzelfall
Das ChatGPT-Leck erregte Aufmerksamkeit, weil es sichtbar, durchsuchbar und für die Öffentlichkeit leicht verständlich war. Aber ähnliche Schwachstellen – kombiniert mit lascher Governance und unsicheren Nutzungsmustern – sind im gesamten KI-Landschaft weit verbreitet. Viele Sicherheitsverletzungen bleiben unentdeckt oder unbemerkt, selbst wenn sie mehr Schaden anrichten als der ChatGPT-Fall.
Ohne entschlossene Maßnahmen könnte der nächste Verstoß breiter, tiefer und schwerer zu bewältigen sein. Der ChatGPT-Vorfall sollte nicht als Ausreißer, sondern als Warnsignal für die Risiken im heutigen schnell wachsenden KI-Ökosystem betrachtet werden.
[1] https://businessdigitalindex.com/research/ai-tool-security-risks-corporate-data-breaches/
[2] https://cybernews.com/security/ai-tools-data-breaches-workplace-security-risks/
[3] https://www.techradar.com/computing/artificial-intelligence/love-and-hate-tech-pros-overwhelmingly-like-ai-agents-but-view-them-as-a-growing-security-risk
