Eine Drittanbieter-Integration sollte keine Hintertür sein. Aber für Werktag Kunden, genau das ist passiert.
Nach einer Reihe von Angriffen auf das Cloud-Ökosystem von Salesforce hat der HR-Technologieriese Workday nun einen Datenverstoß bestätigt. Die Offenlegung geht Berichten zufolge auf einen böswilligen Akteur zurück, der autorisierte Zugriff Dritter – eine deutliche Erinnerung daran, dass Schatten-KI, APIs mit übermäßigen Berechtigungen und unkontrollierte Datenflüsse ideale Bedingungen für Sicherheitsverletzungen schaffen.
In modernen hybriden, KI-gesteuerten Unternehmen endet die Sicherheit nicht an Ihrem Perimeter. Sie benötigen Transparenz, Governance und Kontrolle über jedes System, das mit Ihren sensiblen Daten in Berührung kommt.
Das Risiko von Drittzugriffen und Schatten-KI
Nach Angaben von Piepender Computergriffen Angreifer mithilfe legitimer Anmeldeinformationen eines mit Salesforce verbundenen Drittanbietersystems auf Workday-Kundendaten zu. Zwar wurden die internen Systeme von Workday nicht angegriffen, vertrauliche Mitarbeiter- und Rekrutierungsdaten – wahrscheinlich auch personenbezogene Daten und der Beschäftigungsverlauf – wurden jedoch kompromittiert.
Was dieser Verstoß verdeutlicht:
- Apps von Drittanbietern kann Ihr schwächstes Glied sein
- Schatten-KI und nicht registrierte Integrationen erhöhen die Sichtbarkeit
- Unbefugter Zugriff auf sensible Daten (selbst über „autorisierte“ Apps) ist immer noch ein Vertrauensbruch – und oft auch ein Verstoß gegen die Compliance
Warum es für das EU-KI-Gesetz und die globale Compliance wichtig ist
Unter Gesetzen wie dem EU-KI-Gesetz und aufstrebenden US-amerikanische KI- und Datenübertragungsvorschriftenmüssen Unternehmen die volle Kontrolle über die Daten nachweisen, die ihre Systeme (und Anbieter) verarbeiten. BigID ermöglicht es Rechts-, Datenschutz- und Sicherheitsteams, dieses Risiko zu reduzieren – bevor es Schlagzeilen macht. Die EU-KI-Gesetz Insbesondere die Rechenschaftspflicht im KI-Bereich wird erhöht. Unternehmen müssen Risikostufen klassifizieren, die Datenherkunft zurückverfolgen, Zweckbindungen durchsetzen und das Systemverhalten während des gesamten KI-Lebenszyklus dokumentieren. Ohne die Fähigkeit, die KI-basierten Daten automatisch zu erkennen, zu verwalten und darüber zu berichten, drohen Unternehmen regulatorische Sanktionen, Reputationsschäden und Innovationsstau.
Wie BigID hilft, die Lücken zu schließen
BigID hilft Unternehmen, das Unkontrollierbare zu beherrschen – mit Transparenz und automatisierter Kontrolle über interne und externe KI-Systeme.
So begegnet BigID Risiken wie denen des Workday-Datenlecks:
- Entdecken und klassifizieren Sie sensible Daten über Integrationen hinweg: Identifizieren Sie automatisch PII, HR-Daten und regulierte Informationen in Salesforce, Workday und verbundenen Apps – einschließlich KI-gesteuerter Copiloten und Plug-Ins.
- Erkennen Sie Shadow AI und Tools von Drittanbietern: Entdecken Sie nicht genehmigte KI-Tools, Modellintegrationen und Vektordatenbanken – einschließlich solcher, die vertrauliche Daten heimlich abschöpfen oder verarbeiten.
- Setzen Sie zweckgebundene Zugriffs- und Nutzungskontrollen durch: Wenden Sie dynamische Richtlinien an, um sicherzustellen, dass nur autorisierte Apps und Benutzer auf bestimmte Daten zugreifen können. So vermeiden Sie übermäßige Berechtigungen und Missbrauch im weiteren Verlauf.
- Überwachen Sie riskante Datenflüsse: Verfolgen Sie, wie vertrauliche Daten durch verbundene Systeme übertragen werden, und kennzeichnen Sie verdächtige Übertragungen, übermäßigen Zugriff oder anomales API-Verhalten.
- Dokumentieren Sie das Verhalten des KI-Systems zur Einhaltung der Vorschriften: Erstellen Sie automatisch eine revisionssichere Dokumentation darüber, auf welche Daten KI-Systeme zugreifen, wie sie diese verwenden und wie mit Richtlinienverstößen umgegangen wird.
Um zu sehen, wie BigID Ihrem Unternehmen dabei helfen kann, KI-Risiken zu kontrollieren, vertrauliche Daten zu schützen und Transparenz zu gewinnen – Buchen Sie noch heute eine 1:1-Demo.
Autor
