Vor wenigen Jahren sprachen wir über Sicherheit und künstliche Intelligenz zwischen Führungskräften, die früher betrogene Zäune und knappe Budgets verursachten. Heute hat sich die Situation geändert: Die IA ist der Motor, der die Produktivität in vielen Unternehmen treibt und damit das Geld kam, um es zu schützen. Allerdings gibt es in den Verwaltungsräumen eine stille Spannung: Viele Organisationen erkennen, dass sie Governance über die IA benötigen, aber sie wissen nicht genau, was sie suchen oder wie sie diese Bedenken in klare technische Anforderungen verwandeln.
Ein Teil des Problems ist konzeptionell. Seit Jahrzehnten wurde die Cybersicherheit von Unternehmen rund um Anwendungen, Netzwerke und Endpunkte organisiert. Versuche, jedes von Mitarbeitern verwendete Werkzeug "katalogue" in der Theorie zu arbeiten, aber in der Praxis verlieren sie schnell das Rennen gegen die Lawine neuer Schnittstellen, Browsererweiterungen und GPT-getriebene Assistenten, die jede Woche erscheinen. Diese Dynamik hat dazu geführt, was viele Techniker "Shadow AI" nennen: IA-Initiativen und -Tools, die außerhalb der formalen IT- und Sicherheitskontrolle leben. Auf diesem Phänomen und seinen Risiken haben bereits Stimmen aus der Industrie geschrieben, zum Beispiel in Analyse von Forbes.
Angesichts dieser Realität ist eine Idee, die mehr Sinn als Mode behauptet, den Fokus von "was Anwendung" auf "was Interaktion" zu ändern. Mit anderen Worten, es geht nicht mehr nur darum, Apps zu blockieren oder zuzulassen, sondern darum, den Zeitpunkt zu verstehen und zu kontrollieren, wenn ein Mitarbeiter eine Aufforderung einleitet, ein Dokument festhält oder eine Datei in eine IA-Erweiterung zieht. Dieser Moment - die Interaktion - ist, wo entschieden wird, ob eine sensible Unternehmensdaten außerhalb des Sicherheitsumfangs reisen.
Ein praktischer Leitfaden wurde kürzlich veröffentlicht, um Sicherheitsteams und CISUS bei diesem Übergang zu unterstützen: Ein RFP, der zur Bewertung von IA (AI Usage Control) entwickelt wurde, nutzt Kontrolllösungen. Es handelt sich nicht um einen Markenkatalog oder eine oberflächliche Checkliste; es soll ein technischer Rahmen sein, um abstrakte "IA Governance"-Ziele in messbare und überprüfbare Projektkriterien umzuwandeln. Sie können die Anleitung direkt überprüfen Hier..
Warum brauchst du so was? Da viele der traditionellen Steuerungen - die CASB, die SSE-Lösungen oder die auf Netzwerkverkehr allein basierenden Richtlinien - gegen moderne Ströme unzureichend sind: integrierte Web-Panels, die lokal im Browser handeln, verschlüsselte Plugins in Code-Editoren, Incognito-Mode-Sitzungen oder "AI-native" Browser, die externe Anrufe ablenken. Diese Bedingungen schaffen Betriebsblenden für Lösungen, die nur von der Analyse von Paketen auf dem Netzwerk abhängen.
Darüber hinaus haben sich die spezifischen Bedrohungen entwickelt, die angesprochen werden müssen. Prompt-Handling-Techniken, bekannt als schnelle Injektionen, und andere Formen der versehentlichen oder schädlichen Exfiltration erfordern Kontrollen, die Interaktion und Kontext in Echtzeit inspizieren. Um solche Angriffe anzugehen, gibt es sehr nützliches technisches Material, z.B. das Referenzblatt zur sofortigen Injektion veröffentlicht von OWASP die hilft, Vektoren und Minderungen zu verstehen.
Der RFP-Führer nähert sich der Governance von IA aus verschiedenen technischen Dimensionen, die sorgfältig betrachtet werden sollten. Es fragt nicht nur, ob ein Anbieter "sagt er kann" kann, sondern es erfordert Beschreibungen, wie: wie das Tool IA in gemeinsamen Sitzungen erkennt, wie es eine Corporate Identity von einem Personal im gleichen Browser unterscheidet, wie es kontextsensitive Richtlinien anwendet und wie es funktioniert, bevor eine Daten das Unternehmen verlässt. Diese Betonung auf Rückverfolgbarkeit und Nachweise vermeidet die Gefahr von "Feature-wash", wo eine Reihe von Boxen, die in einem Demo markiert sind, reale Lücken in der Bereitstellung oder Skala verstecken kann.
Ein entscheidender Aspekt des Leitfadens ist die Fähigkeit, Kontrollen an der Stelle der Interaktion anzuwenden, ohne eine gigantische Betriebslast zu verursachen: Bereitstellungen, die keine aufdringlichen Agenten an jedem Endpunkt erfordern, die den Betrieb des Netzes nicht brechen und Sicherheitsausrüstungen bieten Schutz, ohne ein Engpass für das Geschäft zu werden. Parallel dazu benötigt die moderne Governance Berichte, die angesichts von Audits und Board of Directors nutzbar sind, d.h. Beweise, die die Politik in ausführbare Metriken verwandeln.
Dieser Ansatz richtet sich an die Bemühungen von Agenturen und bewährten Praktiken, die verantwortungsvolle Rahmenbedingungen für die IA fördern. Die NIST IA Risikomanagementrahmen und die Empfehlungen verschiedener Cloud-Hersteller und Lieferanten zu verantwortungsvollen Praktiken illustrieren, warum es wichtig ist, technische Kontrollen mit Unternehmensprozessen und Governance zu kombinieren. Microsoft und Google haben unter anderem Anleitungen zu verantwortungsvollen Praktiken und Sicherheitsaspekten in IA-Umgebungen veröffentlicht, die diese Perspektive ergänzen; zum Beispiel bietet Google Clouds Ansatz für die verantwortliche IA praktische Ressourcen für Architekten und Sicherheitsteams ( siehe), und Microsoft Dokumente Prinzipien und Werkzeuge für Risikobewertungen in IA ( siehe)
Für Geräte, die Kaufentscheidungen treffen oder einen Umsetzungsplan ausarbeiten müssen, ist die praktische Empfehlung klar: eigene und messbare Anforderungen zu definieren, bevor der Markt eingeführt wird. Erforderliche Lieferanten, Architektur, Referenzen auf tatsächliche Bereitstellungen, Erkennungstests in unwissenden Szenarien oder mit Aitinativen Browsern zu beschreiben, und Latenz und Performance Metriken ist wertvoller als durch polierte aber flache Demos verführt zu werden.
Der RFP-Führer bietet eine Vorlage und Struktur, um diese Bewertung zu standardisieren und sie zu einem reproduzierbaren Prozess zu machen, der die Forschung beschleunigt und die Subjektivität im Kauf reduziert. Es ersetzt nicht die Notwendigkeit von Piloten und technischen Tests in realen Umgebungen, aber es macht es einfacher für diese Piloten, zu messen, was wichtig ist: Erkennung am Punkt der Interaktion, Echtzeit Durchsetzung und Audit auf Vorfälle und Regulierungsbehörden reagieren.
Kurz gesagt, die Herausforderung der Governance von IA in Unternehmen ist nicht allein durch den Haushalt gelöst. Sie müssen die Frage von "was ist das Werkzeug, das alles abdeckt?" ändern, um "wie kontrolliere ich Interaktionen, die sensible Daten aussetzen?" Die Annahme strenger technischer Kriterien, die auf anerkannte Risikorahmen angewiesen sind und konkrete Beweise von Lieferanten verlangen, macht die Governance funktionsfähig und nachprüfbar. Wenn Sie mit einer praktischen Ressource beginnen möchten, die Ihnen hilft, die Intention in Anforderungen zu verwandeln, können Sie den RFP-Führer und Template hier herunterladen: RFP-Leitfaden für die Bewertung von AI-Usage Control Solutions.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...