KI-Sicherheit in der Cloud mit Microsoft Defender for Cloud

Wie Unternehmen KI-Workloads, Daten, Modelle und Cloudressourcen besser schützen und ihre Sicherheitslage kontinuierlich überwachen können

Künstliche Intelligenz wird zunehmend in geschäftskritische Anwendungen und Prozesse integriert. Unternehmen entwickeln digitale Assistenten, generative KI-Anwendungen, intelligente Suchsysteme, automatisierte Dokumentenverarbeitung und agentische Lösungen, die auf interne Daten und externe Dienste zugreifen. Viele dieser Systeme werden in der Cloud betrieben, weil dort Rechenleistung, Datenplattformen, Modelle und skalierbare Entwicklungsdienste flexibel bereitgestellt werden können.

Mit den neuen Möglichkeiten entstehen jedoch auch neue Sicherheitsrisiken. Eine KI-Anwendung besteht nicht nur aus einem Modell. Sie umfasst häufig Benutzeridentitäten, Programmierschnittstellen, Datenbanken, Suchindizes, Speicherressourcen, Container, Netzwerke und externe Werkzeuge. Jede dieser Komponenten kann falsch konfiguriert, unzureichend geschützt oder gezielt angegriffen werden. Hinzu kommen KI-spezifische Bedrohungen wie Prompt Injection, Datenmanipulation, unbeabsichtigte Informationsweitergabe und missbräuchliche Tool-Aufrufe.

KI-Sicherheit in der Cloud verlangt deshalb einen ganzheitlichen Ansatz. Unternehmen müssen klassische Cloudrisiken und neue KI-spezifische Bedrohungen gemeinsam betrachten. Zugriffsrechte, Netzwerkverbindungen, Datenklassifizierung, Modellschutz und Laufzeitüberwachung dürfen nicht als getrennte Themen behandelt werden. Erst wenn diese Bereiche zusammengeführt werden, entsteht eine belastbare Sicherheitsarchitektur.

Microsoft Defender for Cloud kann Organisationen dabei unterstützen, ihre Sicherheitslage zu erfassen, Fehlkonfigurationen zu erkennen und Bedrohungen gegen Cloud- und KI-Workloads zu untersuchen. Die Plattform verbindet Security Posture Management mit Schutzfunktionen für unterschiedliche Workloads. Dadurch erhalten Sicherheitsteams einen zentralen Überblick über Ressourcen, Empfehlungen, Risiken und Warnungen.

Für Unternehmen ist dieses Verständnis besonders wichtig, weil KI-Projekte häufig schnell beginnen. Ein Team erstellt einen ersten Prototyp, bindet Unternehmensdaten an und stellt die Anwendung einer Pilotgruppe zur Verfügung. Ohne klare Sicherheitsprozesse kann ein ursprünglich kleines Projekt schnell zu einem produktiven System werden, das sensible Daten verarbeitet und eine größere Angriffsfläche erzeugt. Schulung, Governance und kontinuierliche Überwachung sollten daher von Anfang an eingeplant werden.

Neue Risiken bei generativen KI-Anwendungen und Agenten

Generative KI-Anwendungen unterscheiden sich in mehreren Punkten von klassischen Geschäftsanwendungen. Sie verarbeiten natürliche Sprache, interpretieren offene Eingaben und erzeugen Ergebnisse, die nicht vollständig vorprogrammiert sind. Das macht sie flexibel, schafft aber auch neue Möglichkeiten für Missbrauch und Fehlverhalten.

Prompt Injection gehört zu den bekanntesten Risiken. Ein Angreifer versucht dabei, die Anweisungen einer Anwendung zu beeinflussen. Dies kann direkt über eine Benutzereingabe oder indirekt über ein Dokument, eine Website oder eine andere Datenquelle geschehen. Eine manipulierte Information könnte den Agenten beispielsweise dazu auffordern, seine ursprünglichen Regeln zu ignorieren oder vertrauliche Daten offenzulegen.

Das Risiko steigt, wenn ein KI-Agent Werkzeuge verwenden oder Aktionen ausführen kann. Ein reiner Chatbot gibt möglicherweise eine falsche Antwort. Ein Agent mit Zugriff auf E-Mail, Datenbanken, Ticketsysteme oder Geschäftsprozesse kann dagegen möglicherweise Informationen verändern oder Vorgänge auslösen. Deshalb müssen Unternehmen genau definieren, welche Werkzeuge ein Agent verwenden darf und wann eine menschliche Freigabe erforderlich ist.

Auch Datenverlust ist ein wichtiges Thema. Benutzer können versehentlich vertrauliche Informationen in eine KI-Anwendung eingeben. Gleichzeitig kann eine Anwendung sensible Inhalte aus verbundenen Datenquellen abrufen. Eine technisch funktionierende Lösung ist nicht automatisch sicher. Sie muss Zugriffsrechte, Benutzerkontext und Datenklassifizierung berücksichtigen.

Datenvergiftung stellt ein weiteres Risiko dar. Wenn ein Modell oder ein Retrieval-System auf manipulierte Inhalte zugreift, können die Ergebnisse gezielt beeinflusst werden. Ein Angreifer könnte falsche Anweisungen oder irreführende Informationen in eine Datenquelle einbringen. Die Anwendung verwendet diese Inhalte anschließend möglicherweise als scheinbar vertrauenswürdigen Kontext.

Auch Identitäten und Zugangsdaten bleiben klassische Angriffspunkte. API-Schlüssel, Tokens, Zertifikate und Service Principals müssen geschützt werden. Werden sie im Code gespeichert oder mit zu weitreichenden Berechtigungen versehen, können Angreifer auf Daten und Ressourcen zugreifen. Managed Identities und rollenbasierte Zugriffskontrollen helfen dabei, feste Zugangsdaten zu reduzieren und Berechtigungen genauer zu begrenzen.

Ein umfassendes Sicherheitskonzept muss daher Eingaben, Ausgaben, Daten, Modelle, Infrastruktur und Identitäten einbeziehen. Unternehmen sollten sich nicht darauf verlassen, dass ein einzelner Inhaltsfilter alle Risiken verhindert. Schutz entsteht durch mehrere Ebenen, die sich gegenseitig ergänzen.

Dazu gehören klare Systemanweisungen, Eingabekontrollen, sichere Datenquellen, begrenzte Tool-Rechte, Netzwerkabsicherung, Logging und kontinuierliche Evaluierung. Je größer die mögliche Auswirkung einer Aktion ist, desto stärker sollten Validierung und menschliche Kontrolle ausfallen.

Was eine Microsoft Defender für Cloud Schulung vermitteln sollte

Eine Microsoft Defender für Cloud Schulung sollte Teilnehmern zunächst vermitteln, wie die Plattform in eine umfassende Cloud-Sicherheitsstrategie eingeordnet wird. Microsoft Defender for Cloud dient nicht nur als Anzeige für einzelne Warnungen. Die Plattform verbindet Sicherheitsbewertungen, Empfehlungen, Compliance-Übersichten und Bedrohungsschutz für unterschiedliche Cloudressourcen.

Ein wichtiger Lernbereich ist Cloud Security Posture Management. Dabei wird die Sicherheitslage von Ressourcen kontinuierlich bewertet. Fehlende Schutzmaßnahmen, riskante Konfigurationen und unnötige Internetexposition können erkannt und priorisiert werden. Teilnehmer sollten lernen, Empfehlungen nicht einfach mechanisch abzuarbeiten, sondern sie anhand des tatsächlichen Risikos und Geschäftskontexts zu bewerten.

Der Secure Score kann dabei als Orientierung dienen. Er fasst zusammen, in welchem Umfang empfohlene Sicherheitskontrollen umgesetzt wurden. Ein höherer Wert bedeutet jedoch nicht automatisch, dass eine Umgebung vollständig geschützt ist. Er sollte als Steuerungs- und Verbesserungsinstrument verwendet werden, nicht als alleiniger Sicherheitsnachweis.

Eine Schulung sollte außerdem erklären, wie Ressourceninventar und Angriffspfade genutzt werden. Das Ressourceninventar schafft Transparenz darüber, welche Systeme, Datenbanken, Container, Speicher und weiteren Dienste vorhanden sind. Angriffspfadanalysen können zeigen, wie mehrere einzelne Schwachstellen miteinander kombiniert werden könnten, um eine besonders kritische Ressource zu erreichen.

Für KI-Workloads ist diese Betrachtung besonders wichtig. Eine öffentlich erreichbare Anwendung, eine zu weitreichende verwaltete Identität und ein ungeschützter Datenspeicher können zusammen ein deutlich größeres Risiko bilden als jede einzelne Fehlkonfiguration für sich. Sicherheitsteams müssen solche Beziehungen erkennen und priorisieren können.

Ein weiterer Schulungsbereich ist die Aktivierung geeigneter Defender-Pläne. Nicht jede Funktion ist automatisch für jede Ressource aktiviert. Organisationen müssen entscheiden, welche Server, Container, Datenbanken, Speicherressourcen und KI-Dienste geschützt werden sollen. Dabei sind Sicherheitsanforderungen, Architektur und Kosten gemeinsam zu bewerten.

Teilnehmer sollten außerdem lernen, Sicherheitswarnungen zu untersuchen. Eine Warnung enthält häufig Informationen über betroffene Ressourcen, beobachtete Aktivitäten und mögliche Angriffstechniken. Analysten müssen beurteilen können, ob es sich um einen tatsächlichen Angriff, eine Fehlkonfiguration oder eine legitime Aktivität handelt.

Die Integration mit Microsoft Defender XDR und Microsoft Sentinel kann ebenfalls relevant sein. Defender for Cloud liefert Signale aus Cloudworkloads, während andere Sicherheitslösungen Identitäten, Endpunkte, E-Mails und weitere Bereiche abdecken. Durch Korrelation können Sicherheitsteams komplexe Angriffe besser erkennen und untersuchen.

Eine praxisnahe Schulung sollte deshalb nicht ausschließlich aus Präsentationen bestehen. Teilnehmer sollten Ressourcen verbinden, Empfehlungen untersuchen, Sicherheitspläne konfigurieren und Warnungen analysieren. Auch die Arbeit mit Dashboards, Berichten und Compliance-Ansichten sollte Teil des Trainings sein.

Sicherheitslage, Daten und KI-Workloads gemeinsam verwalten

Eine der größten Herausforderungen in modernen Cloudumgebungen ist fehlende Transparenz. Unternehmen wissen nicht immer vollständig, welche Ressourcen vorhanden sind, welche Daten verarbeitet werden und welche KI-Anwendungen bereits produktiv eingesetzt werden. Teams können neue Dienste schnell bereitstellen, während Governance- und Sicherheitsprozesse langsamer reagieren.

Security Posture Management hilft dabei, diese Lücke zu reduzieren. Defender for Cloud kann Cloudressourcen bewerten und Empfehlungen zur Verbesserung der Sicherheitslage bereitstellen. Dazu gehören Identitätsrisiken, unsichere Netzwerkkonfigurationen, fehlende Verschlüsselung und öffentlich erreichbare Ressourcen.

Bei KI-Anwendungen wird die Transparenz noch wichtiger. Ein generatives System kann aus zahlreichen Komponenten bestehen: Modellendpunkte, Datenquellen, Vektorindizes, API-Dienste, Agenten, Tools und Identitäten. Eine Sicherheitsbewertung sollte deshalb den vollständigen Aufbau der Anwendung berücksichtigen.

Ein AI Bill of Materials kann dabei helfen, die Komponenten einer KI-Lösung sichtbar zu machen. Das Prinzip ähnelt einer Software Bill of Materials, wird jedoch auf Modelle, Daten, Anwendungen und weitere KI-Artefakte erweitert. Unternehmen erhalten dadurch einen besseren Überblick darüber, welche Bestandteile zusammenwirken und wo Risiken entstehen.

Daten bilden einen besonders kritischen Teil der Architektur. Eine Anwendung kann technisch gut abgesichert sein und dennoch problematische Ergebnisse erzeugen, wenn sie auf falsch klassifizierte oder übermäßig freigegebene Daten zugreift. Deshalb müssen Data Security und AI Security eng miteinander verbunden werden.

Sensible Informationen sollten identifiziert und geschützt werden. Zugriffsrechte müssen dem tatsächlichen Benutzerkontext entsprechen. Ein Agent darf nicht allein deshalb auf alle Unternehmensdokumente zugreifen, weil dies die technische Entwicklung vereinfacht. Die Architektur sollte das Prinzip der geringsten Berechtigung konsequent umsetzen.

Auch Internetexposition sollte sorgfältig geprüft werden. Viele Azure-Dienste können über öffentliche Endpunkte erreichbar sein. Je nach Anwendungsfall können private Endpunkte, Firewalls, Netzwerkregeln und verwaltete virtuelle Netzwerke das Risiko reduzieren. Die Entscheidung muss zur Architektur passen und darf nicht allein aus Bequemlichkeit getroffen werden.

Sicherheitsrichtlinien sollten möglichst über mehrere Ressourcen hinweg konsistent angewendet werden. Azure Policy und organisatorische Governance-Strukturen können dabei helfen, Mindestanforderungen durchzusetzen. Dazu können Vorgaben zur Verschlüsselung, Netzwerkabsicherung, Protokollierung und zulässigen Regionen gehören.

Defender for Cloud liefert in diesem Zusammenhang keine vollständige Sicherheitsstrategie, sondern unterstützt deren Umsetzung. Die Plattform kann Risiken sichtbar machen und konkrete Verbesserungen empfehlen. Verantwortliche müssen dennoch entscheiden, welche Maßnahmen priorisiert werden und wie sie technisch sowie organisatorisch umgesetzt werden.

Bedrohungsschutz, Monitoring und Incident Response

Präventive Sicherheitskontrollen sind notwendig, können aber nicht jeden Angriff verhindern. Unternehmen benötigen daher zusätzlich Mechanismen, die verdächtige Aktivitäten erkennen und eine schnelle Reaktion ermöglichen. Defender for Cloud bietet Bedrohungsschutz für verschiedene Workloads und kann Sicherheitswarnungen erzeugen, wenn ungewöhnliche oder potenziell schädliche Aktivitäten beobachtet werden.

Bei KI-Anwendungen können sich Angriffe anders äußern als bei klassischen Systemen. Verdächtige Prompt-Muster, Versuche zur Umgehung von Sicherheitsregeln, ungewöhnliche Datenzugriffe oder missbräuchliche Tool-Aufrufe können auf einen Angriff hindeuten. Sicherheitsüberwachung sollte deshalb sowohl klassische Infrastrukturereignisse als auch KI-spezifische Signale berücksichtigen.

Microsoft Defender for Cloud kann Bedrohungen gegen generative KI-Anwendungen und Agenten erkennen und Hinweise auf Risiken wie Datenverlust, Datenvergiftung, Jailbreak-Versuche und den Diebstahl von Zugangsdaten liefern. Damit solche Funktionen wirksam sind, müssen die relevanten Dienste korrekt verbunden und die passenden Schutzpläne aktiviert sein.

Warnungen sollten in klar definierte Incident-Response-Prozesse eingebunden werden. Ein Alarm allein verhindert keinen Schaden. Unternehmen müssen festlegen, wer Warnungen bewertet, wie Vorfälle priorisiert und welche Maßnahmen bei einem bestätigten Angriff eingeleitet werden.

Ein möglicher Ablauf beginnt mit der Triage. Ein Analyst prüft betroffene Ressourcen, Benutzer, Zeitpunkte und Aktivitäten. Anschließend wird untersucht, ob weitere Systeme betroffen sind. Je nach Vorfall können Zugangsdaten widerrufen, Endpunkte isoliert, Netzwerkzugriffe eingeschränkt oder Anwendungen vorübergehend deaktiviert werden.

Bei KI-Agenten kann es außerdem notwendig sein, Tool-Zugriffe zu sperren oder Wissensquellen zu trennen. Wenn ein Agent manipulierte Inhalte verarbeitet, muss möglicherweise nicht nur die Anwendung, sondern auch die zugrunde liegende Datenquelle untersucht werden.

Logging und Telemetrie sind dafür unverzichtbar. Unternehmen sollten nachvollziehen können, welcher Benutzer eine Anfrage gestellt hat, welche Datenquellen verwendet wurden und welche Aktionen ein Agent ausgeführt hat. Gleichzeitig müssen Datenschutz und Datenminimierung berücksichtigt werden. Es ist nicht sinnvoll, sämtliche vertraulichen Prompts und Antworten unkontrolliert in Logs zu speichern.

Übungen und Simulationen helfen dabei, Incident-Response-Prozesse zu testen. Ein theoretischer Plan reicht nicht aus, wenn Rollen und Kommunikationswege im Ernstfall unklar bleiben. Unternehmen sollten Szenarien wie kompromittierte Identitäten, Prompt Injection, Datenexposition oder verdächtige Agentenaktionen regelmäßig durchspielen.

Die Erkenntnisse aus Vorfällen und Übungen sollten zurück in die Sicherheitsstrategie fließen. Vielleicht muss ein Agent weniger Rechte erhalten, eine Datenquelle besser geschützt oder eine Erkennungsregel angepasst werden. Auf diese Weise entsteht ein kontinuierlicher Verbesserungsprozess.

Cloud- und KI-Sicherheit als dauerhafte Unternehmensaufgabe

KI-Sicherheit lässt sich nicht mit einer einmaligen Konfiguration abschließen. Cloudressourcen verändern sich, neue Modelle werden bereitgestellt und Agenten erhalten zusätzliche Funktionen. Gleichzeitig entwickeln Angreifer neue Methoden, um Eingaben, Datenquellen und Identitäten zu manipulieren.

Unternehmen benötigen deshalb klare Verantwortlichkeiten. Cloudteams, AI Engineers, Security Operations, Datenschutz, Compliance und Fachbereiche müssen zusammenarbeiten. Ein Entwickler kennt die technische Architektur, während der Fachbereich beurteilen kann, welche Daten und Aktionen geschäftlich kritisch sind. Security-Teams bringen Bedrohungswissen und Überwachungsprozesse ein.

Weiterbildung ist ein zentraler Bestandteil dieser Zusammenarbeit. Eine Microsoft Defender für Cloud Schulung kann Security Engineers und Cloudverantwortlichen zeigen, wie Risiken erkannt und priorisiert werden. Entwickler und AI Engineers benötigen zusätzlich Kenntnisse über sichere Architektur, Identitätsmanagement und verantwortungsvolle Tool-Integration.

Auch Führungskräfte sollten die grundlegenden Zusammenhänge verstehen. Entscheidungen über KI-Projekte betreffen nicht nur Innovationsziele, sondern auch Datenrisiken, Compliance und betriebliche Verantwortung. Sicherheitsmaßnahmen müssen daher als Bestandteil des Projekts eingeplant und finanziert werden.

Ein sinnvoller Ansatz beginnt bereits in der Entwicklung. Modelle, Container, Abhängigkeiten und Infrastruktur sollten vor der Bereitstellung überprüft werden. Sicherheitskontrollen können in CI/CD-Prozesse integriert werden, damit Risiken nicht erst nach dem produktiven Start sichtbar werden.

Nach der Bereitstellung sind kontinuierliches Monitoring und regelmäßige Neubewertungen notwendig. Neue Datenquellen, veränderte Zugriffsrechte oder zusätzliche Tools können das Risikoprofil einer Anwendung erheblich verändern. Jede wesentliche Änderung sollte deshalb auch aus Sicherheitsperspektive betrachtet werden.

Microsoft Defender for Cloud kann in diesem Prozess als zentrale Plattform für Sichtbarkeit, Bewertung und Bedrohungsschutz dienen. Die Plattform ersetzt jedoch nicht die Verantwortung der Organisation. Empfehlungen müssen geprüft, Schutzfunktionen passend konfiguriert und Warnungen in funktionierende Reaktionsprozesse eingebunden werden.

Wer Cloud- und KI-Sicherheit langfristig erfolgreich gestalten möchte, sollte Technik, Prozesse und Kompetenzen gemeinsam entwickeln. Unternehmen benötigen sichere Architekturen, gut geschulte Fachkräfte und eine Governance, die Innovation ermöglicht, ohne Risiken zu ignorieren.

KI-Sicherheit in der Cloud wird dadurch zu einer dauerhaften Unternehmensaufgabe. Organisationen, die früh in Transparenz, Schulung und kontrollierte Schutzmaßnahmen investieren, schaffen bessere Voraussetzungen für den sicheren Einsatz generativer Anwendungen und intelligenter Agenten. Microsoft Defender for Cloud kann dabei helfen, Risiken sichtbar zu machen, Prioritäten zu setzen und Cloud- sowie KI-Workloads kontinuierlich zu schützen.

NEUESTER BEITRAG

UNSERE AUSWAHL