Der nächste blinde Fleck für die IT-Sicherheit sind KI-Tools und -Funktionen, die im Browser der Benutzer mitlaufen. Die Tools lesen Daten, befolgen versteckten Anweisungen und verschieben Informationen zwischen Registerkarten. Die IT kann diese Tools nicht sehen, Sicherheitslösungen kann die Ausführung nicht verhindern.
Nachfolgender Tweet weist auf diesen Sachverhalt hin – The Hackernews schreibt in diesem Artikel, dass Suresh Batchu von Seraphic Security dies als den nächsten großen blinden Fleck für die Firmen-IT bezeichnet: Schatten-KI im Unternehmensbrowser.
MVP: 2013 – 2016
Sorry der Tweet bzw. Hackernews-Artikel ist Bullshit. Wo AI-Tools, AI-Browser oder AI-Browser-Erweiterungen auf Unternehmensrechnern frei installiert werden können, hat eine IT und ein ISB/CISO bereits verloren und schlichtweg den Job nicht gemacht: Keine SRPs/Applocker sowie Kontrolle der Assets mit Ihren EventIDs und wer ingres und egress kommuniziert sind OPS Kardinalfehler. Ein dämliches Windows gehört ohnehin offline mit den Proxy-Informationen lediglich im Firefox-Browser hinterlegt. Ist ja nicht so, dass ich das seit Jahren jedem empfehle und in Unternehmen genauso praktiziere.
https://blog.jakobs.systems/blog/20240506-service-tips-windows/
https://blog.jakobs.systems/blog/20251005-ntlm-ad-offline/
Copilot wird meist durch Unternehmen und KMUs selbst mit laufenden Windows- und Office-Updates installiert…
Sofern da eine M365 Ex Lizenz dahinter steckt, dann ist der Speicherort der Geheim-Daten immerhin Europa. Ja, ich weiß. Cloud-Act. Aber wenigstens weiß man, dass die Daten in EU liegen und nur von US-Behörden eingesehen werden können, was aber eine richterliche Genehmigung erfordert, und das wird nur bei Kapitalverbrechen praktiziert. Besser als wie wenn die Leute Deepl oder so verwenden.
Auf unserem Proxy gibts eine vom Hersteller redaktionell gepflegte Liste der KI-Webseiten, die werden bis auf Copilot-Chat alle gesperrt, denn das ist in E5 mit drin. Das Riskiko dafür übernimmt die Geschäftsleitung, genau wie für den ganzen anderen M365-Kram.
Also ob da ein Beschluss für nötig wäre. Wie naiv kann man sein?
Die US Geheimdienste betreiben aktiv Wirtschaftsspionage. Kann man von halten, was man will, ist halt eine ihrer Aufgaben. Glaubst du ernsthaft, die greifen nicht zu, wenn due Daten da auf dem Silbertablett liegen?
*lach*
> Aber wenigstens weiß man, dass die Daten in EU liegen und nur von US-Behörden eingesehen werden können, was aber eine richterliche Genehmigung erfordert, und das wird nur bei Kapitalverbrechen praktiziert. Besser als wie wenn die Leute Deepl oder so verwenden.
Du solltest Deinen Stand einmal aktualisieren. Es gibt da ein bisher unter Verschluß gehaltenes Rechtsgutachten, das von fragdenstaat befreit wurde:
https://blog.jakobs.systems/blog/20251211-realitaetsabgleich/
Auch wenn die Daten in EU liegen, besteht Zugriff durch die USA
Was mich an der Sache immer stört ist das zeigen auf die USA! Als wenn unsere Wirtschaft/Politik da nicht auch nen Stück vom Kuchen möchte. Denn darum geht es doch unseren Politikern: die stört nicht das die USA unsere Daten abschnorchelt, die stört das sie da nix abbekommen!
Siehst du regelmäßig daran wenn das Bundesverfassungsgericht wieder die "Massenüberwachung" einkassiert.
Den BND Skandal haben viele hier auch schon wieder vergessen.
Die USA ist da nicht phöser als unsere Regierung!
Das unsere Regierung da nicht genauso fett drinnsteckt ist einfach der Tatsache geschuldet das wir in IT/Software eben nix zu bieten haben. Wir müssen sogar den "Staatstrojaner" einkaufen…
der BND hat zB bei De-Cix in Frankfurt/M. nen eigenes Büro zum mitlesen des Datenknotenverkehrs. Insofern, die halten sich halt bedeckt., sind aber nicht ganz blöde, so wie oft vermittelt.
ARTE bringt ja manchmal ganz tolle Stories; da war kürzlich was zu dabei.
Ist ja allseits bekannt, also die Predigten…
Wie viele Deiner Kunden setzen es denn genauso um?
Klar ist das ne Predigt, aber er hat doch recht! Wenn das die Mitarbeiter an der IT vorbei installieren/nutzen können, gehört die komplette IT Manschaft gefeuert.
Ein Verbot von AI ins Mitarbeiterhandbuch und jedwedes Zuwiederhandeln abgemahnt. Three Strrikes danach die Kündigung!
Ist halt Chefsache das durchzusetzen! Wenn der Chef natürlich Null Ahnung hat oder das sogar wünscht, tja…
Gilt genauso für Schatten-Geräte!
Es gibt auch Firmen, bei denen die Leute ihre Privatgeräte für Firmenzwecke nutzen.
Und da greifen natürlich die Beschränkungen der Firmen-IT nicht.
In meiner Firma z.B. dürfen Privatgeräte während der Arbeitszeit nicht genutzt werden und auch sonst dürfen Privatgeräte nicht für Firmenzwecke genutzt werden.
Umgekehrt dürfen Firmengeräte auch nicht für private Zwecke genutzt werden.
Bei uns genauso strikt, der Erzählung nach gab es vor 10 Jahren mal eine BYOD Initiative, ist ziemlich in die Hose gegangen. Der einzige Zweck, für den Privat-Geräte noch zugelassen sind, ist der Zugang zu den Citrix-Terminalservern. Und da sind alle Register gezogen, was geht, keine Durchreichung von USB-Geräten, Laufwerken, Druckern, Zwischenablage, und es wird beim Anmelden geprüft, dass Citrix-Workspace, Betriebssystem und Antivirus uptodate sind. Sonst keine Anmeldung.
Moin, wie prüft ihr denn ob citrix Client, OS und Virenscanner aktuell sind? Was wenn ich von Linux komme? Fällt dann der Virenscannercheck weg?
Moin, wie prüft ihr denn ob citrix Client, OS und Virenscanner aktuell sind? Was wenn ich von Linux komme? Fällt dann der Virenscannercheck weg?
kein Windows, kein Zugriff. dann wirst du nicht am byod Angebot teilnehmen und bekommst ein Firmengerät
BYOD ist nicht; wer Home Office kann hat nen Firmenlaptop (ist aber sowieso nur in Ausnahmen der Fall); Privatgeräte kommen nicht rein!
Auf Firmenrechnern ist privates untersagt. Firmeninternes auf Privatrechnern kann ich nicht überprüfen, kommt sowas raus bist du deinen Job los.
Für Privates in der Pausenzeit stehen 3 "Surfstation" im Kioskmode in der Kantine.
Privat Handys funktionieren sowieso nicht; Aluminium Fassade plus strahlenvernetzte EMV Verglasung –> faradayscher Käfig. Firmeninterne Handys laufen per WLAN, strikt registrierte Geräte
Alles im Mitarbeiterhandbuch geregelt, Three Strikes Regel!
Wie heißt deine Firma denn, damit ich mich da niemals ausversehen bewerbe…
Des Admins Traum ist des Mitarbeiters Albtraum…
Mich würden die kununu-Bewertungen dieser "faradayischen Firma" interessieren.
Wobei – wenn es zum nachvollziehbaren Geschäftskonzept gehört, dass alles ultra abgeschirmt sein soll und keine privaten Geräte genutzt werden dürfen, ist vermutlich die Akzeptanz bei den Mitarbeitern da.
@Luzifer: Magst du die Branche bzw. das Hauptbetätigungsfeld der Firma verraten?
Genau, das ist der Punkt – es ist Chefsache. Und Chefs finden das smart und modern. Und je mehr Du dagegen sagst, umso größer wird ihr Bedürfnis, zu zeigen, dass sie Chef sind und es wird nur noch schlimmer.
Chefsache wäre leider so vieles.
Mitarbeiterführung, Mitarbeiterbildung, Mitarbeitersicherheit, Kundendatensicherheit, NIS2, DSGO und auch die GOBD. Siehe viele Kleinbetriebe, Handwerk oder die vielen "Krauter" unter den Kleinst-KMUs. Von GOBD haben die noch nie gehört, auch junge Selbständige, die frisch aus Handwerksschulen kommen.
"Wie, ich krieg Probleme mit dem Finanzamt wegen meiner Word-Rechnungen?"
Ich war immer ein Fan des deutschen Handwerks und der KMUs. Was da aber derzeit abgeht, scheint Bildungssystem- und Verbände-Versagen pur zu sein. Man könnte fast meinen, die Betriebe rennen alle blind in Richtung KI, damit sie den bürokratischen Pflichtaufwand an Dokumentation etc. schnellstmöglich minimieren. … moment, Nein, Doch, Oh,! :-)
Ach weißt Du, bei solchen Bullshit Quotes wie Deinen und anderen reagiere ich mitterweile tiefenentspannt. Überall dort, wo man es anders meinte, folgte die Strafe meist kurze Zeit später in Gestalt von Ransomware oder Datenskandalen.
Diese Art von Vorschrift bringt halt keinen Sicherheits Gewinn
Die SRPs kann ich nur empfehlen!
Ein sehr einfaches, aber wirkungsvolles Feature!
Copilot gut beschrieben.
Zuerst waren es schwarze Schwäne, und jetzt blinde Flecken.
Wir können jetzt einfach warten bis alles kaputt geht oder wir versuchen was zu ändern.
Meine Erfahrung aus meiner aktiven Zeit als iT-ler:
Meine Vorgesetzen hatten keine Ahnung:
keine Ahnung von Software (auch keine von Hardware)
keine Ahnung von Unternehmensführung
keine Ahnung von Teambuilding
keine Ahnung was Respekt genau bedeutet
Wenn ich 3 Leute gefragt habe, gabs 3 verschiedene Antworten.
Das Wissen was ich während meiner Arbeitszeit für das Unternehmen erarbeitet habe, dieses Wissen habe ich mitgenommen.
Die Unternehmen sind nicht mehr an Inhouse Kompetenz interessiert.
Inhouse Kompetenz ist auch nicht mehr notwendig, wir schulen ja die Mitarbeiter*innen auch nicht mehr:
kostet zu viel Zeit.
Wir fressen was geht um schön fett zu werden um dann gefressen zu werden.
"wir schulen ja die Mitarbeiter*innen auch nicht mehr:
kostet zu viel Zeit."
Statt dessen wird die Zeit in unzähligen nutzlosen Meetings verplempert!
"Und wir wollen auch gar keine Mitarbeiter, die etwas wissen, schon gar nicht mehr als wir selbst."
einfach nach 2-3-5 Jahren die Firma wechseln und bis zu 30% Wechselbonus mitnehmen
es lohnt sich nicht länger zu bleiben. das ist wie mit dem Handy oder Laptop, einfach immer was neues suchen und das Leben mit sinnvollen Aufgaben füllen
ohne eine Gewerkschaft (labor union) ist man in der IT dazu einfach gezwungen …
just my 5 Pfenning
https://www.tagesschau.de/ausland/amerika/usa-ki-energiebedarf-atomkraft-100.html
Wäre ja auch denkbar, daß der eigentliche Grund, warum wir hier über
KI und wie man deren heimliche und zwangsweise massenhafte Installation
auf Windows-Rechnern diskutieren sollten der oben verlinkte ist. Nur mal so, als "Tellerrand" sozusagen, über den
man ruhig mal, von mir aus gerne auch
"tiefenentspannt" schauen sollte.
Stattdessen verbissenes Lagergezänk.
Und was hat das mit dem Artikel zu tun, außer dass bei beiden Artikeln das Wort KI vorkommt?
Du meinst "verstecktes" dezentrales AI-Computing?
Den Gedanken finde ich durchaus valide.
Würde bedeuten: Der Anwender zahlt fürs Betriebsystem, zahlt mit seinen Daten für die KI-Zwangsbeglückung und die Stromkosten, die auf seinem Rechner im Leerlauf für "internationale Rechenaufgaben" durch CPU-Last anfallen.
Wer darin Muster von Neokapitalismus in Reinstform entdeckt, darf ihn unterstreichen. :-)
Kann vielen Kommentatoren zustimmen. Auch für die DSGVO wird obsolet durch KI. Letztens erzählte mir ein Handwerker, er schneidet mit NotebookLLM auf seinem Macbook Kundenprojektbesprechungen auf dem Bau mit, weisst danach die Stimmen den Personennamen zu und lässt sich von der KI (also natürlich Cloud) die Baubesprechungsprotokolle erstellen.
Ich: "Wenn ich mitkriege, dass Du den Klang meiner Stimme der Cloud inklusive meines NAmens anvertraust, würde es Ärger geben. Fragst Du die Kunden vorher?"
Er: "Ja, ich frage, ob ich das Gespräch aufnehmen darf."
Ich: "Und, ist denen klar, dass ihre Stimme samt Namenszuweisung auf fremde Rechnern ausserhalb Deines Einflussbereichs wandert?"
Er: "??????"
Die Dunkelziffer von "nebenher laufender KI" bei Angestellten in Betrieben mit hunderten Bildschirmarbeitsplätzen möchte ich lieber nicht wissen. Wenn's der Browser des Büro-PCs sperrt, gibts ja noch das per LTE verbundene Handy, das insgeheim für Audioprotokollschreibarbeit mitgenutzt wird.
Erneut meine Folgerung;
Digitale Souveränität, Technikfolgeabschätzung und Grundverständnis von Web- sowie Cloudtechnik gehört in den Lehrplan (Schulen alle Art, auch Meisterschulen), nicht in ein bürokratisches Auflagenmonster, das bei den meisten ins linke Ohr rein-, aus dem rechten Ohr rechts rausgeht.
Sollte ich das einmal bei einer Person in meinem Umfeld mitbekommen, dass Gespräche heimlich aufgezeichnet werden, bedeutet das nicht nur sofortigen Abbruch aller Geschäftsbeziehungen, sondern auch eine sofortige persönliche Strafanzeige.
Gerade wo man unter NDA steht ist sowas komplett daneben.