Das Unsichtbare entlarven: Ihr Leitfaden, um mit Cloudflare One die Schatten-KI zähmen zu können

In der digitalen Welt der Firmenumgebungen tobt seit jeher ein Kampf zwischen Effizienz und Sicherheit. Jahrelang spielte sich dies in Form von „Schatten-IT“ ab — Mitarbeitende nutzten nicht genehmigte Laptops oder Cloud-Dienste, um ihre Arbeit schneller zu erledigen. Sicherheitsteams wurden zu Meistern darin, diese abtrünnigen Systeme aufzuspüren und Firewalls sowie Richtlinien einzurichten, um Ordnung in das Chaos zu bringen.

Doch die neue Frontlinie ist anders und zweifellos weitaus subtiler und gefährlicher.

Stellen Sie sich ein Team von Programmierern vor, das tief in der Entwicklung eines bahnbrechenden neuen Produkts steckt. Unter hohem Zeitdruck fügt ein Junior-Ingenieur, der seinen Arbeitsablauf optimieren will, ein Stück eines proprietären Algorithmus in einen populären öffentlichen KI-Chatbot ein und bittet ihn, den Code für bessere Performance zu überarbeiten (Refactoring). Das Tool liefert rasch den überarbeiteten Code zurück, und der Ingenieur – zufrieden mit dem Ergebnis – spielt ihn ein. Ihnen ist nicht bewusst, dass sowohl ihre Eingabe als auch der Code nun möglicherweise in den Trainingsdaten des KI-Systems landen oder beim Anbieter gespeichert werden. Ohne dass es jemand bemerkt, wurde ein entscheidender Teil des geistigen Eigentums des Unternehmens nach außen gegeben – ein unauffälliger, unbeaufsichtigter Datenverlust.

Dies ist kein hypothetisches Szenario. Es ist die neue Realität. Mitarbeitende, die durch diese unglaublich leistungsstarken KI-Tools befähigt werden, nutzen sie jetzt für alles, von der Zusammenfassung vertraulicher Dokumente über die Erstellung von Marketingtexten bis hin zum Schreiben von Code. Die Daten, die das Unternehmen bei diesen Interaktionen verlassen, sind für herkömmliche Sicherheitstools oft unsichtbar, da diese nie dafür entwickelt wurden, die Nuancen eines Browser-Tabs zu verstehen, der mit einem Large Language Model interagiert. Diese unauffällige, nicht verwaltete Nutzung wird als „Schatten-KI“ bezeichnet und stellt einen neuen, hochriskanten blinden Fleck in der Sicherheit dar.

Um dem entgegenzuwirken, benötigen wir einen neuen Ansatz – einen, der Einblick in diese neue Klasse von Anwendungen bietet und den Sicherheitsteams die Kontrolle gibt, die sie benötigen, ohne die Innovation zu behindern, die diese Tools so wertvoll macht.

Hier kommt der Cloudflare Schatten-IT-Bericht ins Spiel. Es handelt sich nicht um eine Liste zu blockierender Bedrohungen, sondern um ein Sichtbarkeits- und Analysetool, das dabei helfen soll, das Problem zu verstehen, bevor es zur Krise wird. Anstatt sich auf Vermutungen zu verlassen oder mühsam jede nicht genehmigte Anwendung manuell aufzuspüren, können Cloudflare-One-Kunden aus ihrem Datenverkehr Erkenntnisse gewinnen und so ein klares, datenbasiertes Bild der Anwendungsnutzung ihrer Organisation erhalten.

Der Bericht bietet eine detaillierte, kategorisierte Ansicht Ihrer Anwendungsaktivitäten und kann leicht auf KI-Aktivitäten eingegrenzt werden. Wir haben unsere Netzwerk- und Bedrohungsdaten-Fähigkeiten genutzt, um KI-Dienste zu identifizieren und zu klassifizieren, darunter Allzweckmodelle wie ChatGPT, Code-Generierungsassistenten wie GitHub Copilot und spezialisierte Tools für Marketing, Datenanalyse oder andere Content Creation-Aufgaben wie Leonardo.ai. Diese detaillierte Ansicht ermöglicht es Sicherheitsteams, nicht nur zu sehen, dass ein Mitarbeitender eine KI-Anwendung nutzt, sondern auch, welche KI-Anwendung es ist und welche Benutzer darauf zugreifen.

Aufmerksame Nutzer haben vielleicht bemerkt, dass wir schon seit einiger Zeit ein Schatten-IT-Feature haben. Was hat sich also geändert? Während Cloudflare Gateway, unser Secure Web Gateway (SWG), einige dieser Daten schon seit einiger Zeit aufzeichnet, wünschen sich die Nutzer tiefere Einblicke und Berichte über die Anwendungsnutzung in ihrem Unternehmen. Cloudflare Gateway verarbeitet täglich Hunderte Millionen Zeilen von App-Nutzungsdaten für unsere größten Nutzer, und diese Dimension verursachte Probleme bei Abfragen über größere Zeitfenster. Zusätzlich fehlten der ursprünglichen Implementierung die Filter- und Anpassungsmöglichkeiten, um die Nutzung von KI-Anwendungen angemessen zu untersuchen. Wir wussten, dass unsere Kunden diese Informationen schätzten, stellten diese jedoch nicht klar und umfangreich genug dar.

Die Lösung dieses Problems war ein teamübergreifendes Unterfangen, das eine vollständige Überarbeitung durch unsere Analytics- und Reporting-Ingenieure erforderte. Vielleicht haben Sie kürzlich unsere Arbeit in diesem Blogbeitrag vom Juli 2025 gesehen, in dem wir beschrieben haben, wie wir TimescaleDB für unsere Analyseplattform eingeführt haben – wodurch wir unsere Analysen erweitern, langfristige Daten aggregieren und komprimieren sowie die Abfrageleistung erheblich verbessern konnten. Dies löst das Problem, mit dem wir ursprünglich bei unserer Skalierung konfrontiert waren, und ermöglicht es unseren größten Kunden, ihre Daten über lange Zeiträume hinweg abzufragen. Unser Crawler sammelt die ursprünglichen HTTP-Traffic-Daten von Gateway, die wir in einer Timescale-Datenbank speichern.

Mit den Daten in unserer Datenbank erstellten wir eigens definierte, materialisierte Ansichten für den Schatten-IT- und KI-Anwendungsfall, um die Analysen für dieses Feature zu unterstützen. Während sich die von uns entwickelten HTTP-Analysen auf die HTTP-Anfragen eines Kontos konzentrieren, sind diese spezifischen Ansichten auf die für Anwendungen relevanten Informationen ausgerichtet, z. B.: Welche meiner Nutzer gehen zu nicht genehmigten Anwendungen? Wie viel Bandbreite verbrauchen sie? Befindet sich ein Endnutzer an einem unerwarteten geografischen Standort und interagiert dieser mit einer nicht geprüften Anwendung? Welche Geräte verbrauchen die meiste Bandbreite?

Im vergangenen Jahr hat das Team einen festen Rahmen für die von uns bereitgestellten Analysen definiert. Unsere Zeitreihendiagramme und Top-n-Diagramme sind alle nach der Dauer und den relevanten Datenpunkten filterbar, sodass Benutzer in bestimmte Datenpunkte eintauchen und die Details ihres Firmen-Traffics einsehen können. Wir haben das Schatten-IT-Feature überarbeitet, indem wir unsere Daten analysiert und erforscht haben, wie KI-Anwendungen Sichtbarkeitsprobleme für Kunden darstellten. Von dort aus haben wir unser bestehendes Framework genutzt und das Schatten-IT-Dashboard entwickelt. Dies ermöglichte die Sichtbarkeit auf Anwendungsebene, die für unsere Kunden erforderlich war.

Der Kern des Systems ist Cloudflare Gateway, ein Inline-Filter und Proxy für den gesamten Internetverkehr Ihres Unternehmens, unabhängig davon, wo sich Ihre Nutzer befinden. Wenn ein Mitarbeitender versucht, auf eine KI-Anwendung zuzugreifen, fließt der Datenverkehr durch das globale Netzwerk von Cloudflare. Cloudflare kann den Datenverkehr inspizieren, einschließlich des Hostnamens, und den Datenverkehr unseren Anwendungsdefinitionen zuordnen. Die TLS-Prüfung ist für Gateway-Kunden optional, für die Analyse von Schatten-IT ist sie jedoch erforderlich.

Interaktionen werden protokolliert und mit der Nutzeridentität, dem Gerätestatus, der verbrauchten Bandbreite und sogar dem geografischen Standort verknüpft. Dieser umfassende Kontext ist entscheidend, um zu verstehen, wer welche KI-Tools wann und von wo aus verwendet.

All diese präzisen, detaillierten Daten werden dann in unserem Schatten-IT-Bericht innerhalb Ihres Cloudflare One Dashboards präsentiert. Filtern Sie einfach nach KI-Anwendungen – dadurch bietet sich:

• Grober Überblick: Verschaffen Sie sich einen sofortigen Überblick über den KI-Einsatz in Ihrem Unternehmen. Sehen Sie sich die führenden KI-Anwendungen in der Nutzung, die allgemeinen Nutzungstrends und das verarbeitete Datenvolumen an. Dies wird Ihnen helfen, Ihre Sicherheits- und Governance-Bemühungen zu identifizieren und gezielt auszurichten.

• Präzise Drill-Downs: Sie brauchen mehr Details? Klicken Sie auf eine beliebige KI-Anwendung, um spezifische Nutzer oder Gruppen, die darauf zugreifen, sowie deren Nutzungsfrequenz, Standort und den Umfang der übertragenen Daten zu sehen. Diese Information hilft Ihnen, die Teams im Unternehmen zu identifizieren, die KI verwenden, sowie den Umfang an Daten, der zu diesen Anwendungen fließt.

_{Dashboard für Schatten-IT-Analytics}

Uns ist bewusst, dass sich KI-Werkzeuge in ihrer Qualität unterscheiden und das Maß an Akzeptanz je nach Organisation variiert. Der Schatten-KI-Bericht führt ein flexibles Rahmenwerk für den Status der Anwendungsfreigabe ein, das es Ihnen ermöglicht, jede entdeckte KI-Anwendung formell zu kategorisieren:

• Genehmigt: Dies sind die KI-Anwendungen, die Ihre interne Sicherheitsüberprüfung bestanden haben, Ihren Richtlinien entsprechen und offiziell für die Nutzung genehmigt sind. 

• Nicht genehmigt: Das sind die Anwendungen mit Warnstufe Rot. Möglicherweise weisen sie bedenkliche Datenschutzrichtlinien auf, dokumentierte Schwachstellen oder passen schlicht nicht zu Ihren Geschäftszielen.

• In Überprüfung: Bei Anwendungen, die in der Grauzone liegen, oder bei neu entdeckten Tools können Ihre Teams mit diesem Status deren Nutzung bestätigen und gleichzeitig eine gründliche Prüfung durchführen. Es verschafft Ihnen Zeit, eine fundierte Entscheidung zu treffen, ohne sofortige Störungen zu verursachen.

^{Überprüfen und markieren Sie die Anwendungsstatus im Dashboard}

Diese Genehmigungsstatus werden in die Cloudflare Gateway-Richtlinien integriert. Dies ermöglicht es Ihnen, Ihre KI-Entscheidungen automatisch am Rand des Cloudflare-Netzwerks durchzusetzen und so eine konsistente Sicherheit für jeden Mitarbeitenden zu gewährleisten, egal wo er oder sie arbeitet.

So können Sie Ihre Entscheidungen in einen Inline-Schutz umwandeln:

• Nicht genehmigte KI blockieren: Die einfachste und direkteste Maßnahme. Erstellen Sie eine Gateway-HTTP-Richtlinie, die den gesamten Traffic zu jeder KI-Anwendung blockiert, die als „Nicht genehmigt“ markiert ist. Dadurch wird riskante Datenexfiltration sofort unterbunden.

• Die „In Überprüfung“-Exposition begrenzen: Für Anwendungen, die noch bewertet werden, ist eventuell kein vollständiges Blockieren nötig, sondern vielmehr eine sanfte Einschränkung möglicher Gefahren.

• Data Loss Prevention (DLP): Cloudflare DLP untersucht und analysiert den Datenverkehr auf Anzeichen sensibler Daten (z. B. Kreditkartennummern, persönlich identifizierbare Informationen, interne Projektnamen, Quellcode) und kann dann die Übertragung blockieren. Durch die Anwendung von DLP auf „In Überprüfung“-befindliche KI-Anwendungen können Sie verhindern, dass KI-Prompts diese proprietären Daten enthalten, und den Nutzern mitteilen, warum der Prompt blockiert wurde. Das hätte unseren armen Junioringenieur vor seinem gut gemeinten Fehler bewahren können. 

• Spezifische Aktionen einschränken: Blockieren Sie nur Datei-Uploads, die eine grundlegende Interaktion ermöglichen, aber einen massenhaften Datenabfluss verhindern. 

• Riskante Sitzungen isolieren: Routen Sie den Traffic für „In Überprüfung“-befindliche Anwendungen durch die Browserisolierung von Cloudflare. Browserisolierung führt die Browsersitzung in einem sicheren, Remote-Container aus und isoliert alle Dateninteraktionen von Ihrem Unternehmensnetzwerk. Damit können Sie das Hochladen von Dateien, Zwischenablageaktionen und Tastatureingaben steuern sowie weitere Funktionen nutzen, um die Interaktion mit der Anwendung zu minimieren, während Sie sie überprüfen.

• „Genehmigte“ Nutzung auditieren: Selbst bei vertrauenswürdigen KI-Tools möchten Sie möglicherweise alle Interaktionen für Compliance-Audits protokollieren oder spezifische Regeln für die Datenverarbeitung anwenden, um die fortlaufende Einhaltung interner Richtlinien sicherzustellen.

Dieser Workflow ermöglicht es Ihrem Team, die KI-Nutzung in Ihrem Unternehmen konsequent zu überprüfen und Richtlinien einfach zu aktualisieren, um Sicherheitsrisiken schnell zu reduzieren.

Obwohl der Schatten-KI-Bericht hervorragende Einblicke bietet, müssen Sicherheitsteams oft tiefere forensische Untersuchungen durchführen. Für diese fortgeschrittenen Szenarien bieten wir den Cloudflare Log Explorer an.

Log Explorer ermöglicht es Ihnen, Ihre Cloudflare-Protokolle direkt im Cloudflare-Dashboard oder über die API zu speichern und abzufragen, wodurch die Notwendigkeit entfällt, bei jeder Untersuchung große Protokollmengen an Drittanbieter- SIEMs zu senden. Es stellt rohe, ungefilterte Logdaten mit vollem Kontext bereit und ermöglicht so eine schnelle und detaillierte Analyse.

Log Explorer-Kunden können mit vorab ausgefüllten SQL-Abfragen von Cloudflare Analytics in Schatten-KI-Protokolle eintauchen und tiefere Untersuchungen zur KI-Nutzung durchführen:

_{Das SQL-Abfrageinterface von Log Search}

So untersuchen Sie Schatten-KI mit dem Log Explorer:

• Spezifische Nutzeraktivitäten nachverfolgen: Wenn der Schatten-KI-Bericht einen Nutzer mit hoher Aktivität in einer „In Überprüfung“-befindlichen oder „Nicht genehmigten“ KI-Anwendung kennzeichnet, können Sie in den Log Explorer wechseln und nach Nutzer, Anwendungskategorie oder bestimmten KI-Diensten abfragen. 

• Datenexfiltrationsversuche analysieren: Wenn Sie DLP-Richtlinien konfiguriert haben, können Sie nach DLP-Übereinstimmungen in Verbindung mit KI-Anwendungskategorien suchen. Dies hilft dabei, Versuche zu identifizieren, sensible Daten in KI-Anwendungen hochzuladen, und genau zu bestimmen, welche Daten übertragen wurden.

• Anomale KI-Nutzung identifizieren: Der Schatten-KI-Bericht könnte einen sprunghaften Anstieg der Nutzung für eine bestimmte KI-Anwendung aufzeigen. Im Log Explorer können Sie nach dem Anwendungsstatus („In Überprüfung“ oder „Nicht genehmigt“) für einen bestimmten Zeitraum filtern. Suchen Sie dann nach ungewöhnlichen Mustern, wie einer hohen Anzahl von Anfragen von einer einzigen Quell-IP-Adresse oder unerwarteten geografischen Ursprüngen, die auf kompromittierte Konten oder Versuche der Umgehung von Richtlinien hinweisen könnten.

Falls die Sichtbarkeit von KI für Ihr Unternehmen eine Herausforderung darstellt, steht der Schatten-KI-Bericht jetzt für Cloudflare One-Kunden als Teil unserer umfassenderen Funktionen zur Erkennung von Schatten-IT zur Verfügung. Melden Sie sich in Ihrem Dashboard an, um noch heute die Übersicht zurückzugewinnen und Ihre KI-Governance-Strategie zu gestalten. 

Bereit, die Sicherheit für den Zugriff auf KI-Anwendungen zu modernisieren? Vereinbaren Sie eine Beratung mit unseren Cloudflare One-Sicherheitsexperten, um zu erfahren, wie Sie wieder Sichtbarkeit und Kontrolle erlangen können. 

Und falls Sie noch nicht zu einem Gespräch bereit sind: Nahezu jede Funktion von Cloudflare One für bis zu 50 Benutzer kostenlos verfügbar. Viele unserer größten Enterprise-Kunden erkunden die Produkte zunächst eigenständig mit unserem Free-Tarif. Hier können Sie loslegen.

Wenn Sie Feedback haben oder dazu beitragen möchten, wie Cloudflare die Sichtbarkeit von Schatten-KI verbessert, ziehen Sie bitte in Betracht, unserem Nutzerforschungsprogramm beizutreten.