1Password: KI als Risiko und Chance für die Cybersicherheit

KI als zweischneidiges Schwert für Passwortmanager

Für Unternehmen, die im Bereich der Informationssicherheit eine zentrale Rolle spielen, ist die Bewertung von KI-Risiken und -Chancen keine einfache Aufgabe. Nancy Wang, CTO von 1Password, vergleicht den Prozess mit einem Würfelspiel mit 20 Seiten. Ein Passwortmanager muss nicht nur externe Angriffe abwehren, sondern auch die Nachlässigkeit der Nutzer und die potenziellen Gefahren durch KI-Technologien im Blick behalten.

KI als Werkzeug: Effizienzsteigerung und Schwachstellenerkennung

KI kann Passwortmanagement-Unternehmen dabei unterstützen, Code schneller zu entwickeln und Sicherheitslücken effizienter zu identifizieren. Gleichzeitig birgt sie jedoch neue Risiken: Durch KI generierte Anwendungen könnten unsichere Passwortpraktiken fördern oder durch Prompt-Injection-Angriffe manipuliert werden. „KI-Agenten können zwar komplexe Aufgaben schnell erledigen, aber sie sind genauso fehleranfällig wie Menschen – nur in größerem Maßstab“, erklärt Wang.

Präventive Maßnahmen gegen KI-basierte Risiken

1Password setzt auf eine proaktive Strategie, um Kunden vor den Gefahren von KI zu schützen. Ein zentraler Baustein ist ein On-Device-Agent, der die Nutzung von KI-Modellen überwacht und potenzielle Risiken erkennt. „Stellen Sie sich vor, Sie sind CISO und erfahren, dass Ihre Entwickler ein chinesisches KI-Modell wie DeepSeek in einem Code-Zweig nutzen – ein Modell, das bereits Sicherheitsbedenken aufwirft“, so Wang. Nach einer solchen Meldung folgten in einem Fall Sicherheitsgespräche mit den betroffenen Entwicklern.

Der Agent scannt zudem nach ungeschützten Anmeldedaten auf Geräten und verschiebt diese in den verschlüsselten Tresor von 1Password. „Wenn wir unverschlüsselte Anmeldedaten auf einem Gerät entdecken, können wir diese automatisch sichern“, erklärt Wang. Die Software von 1Password verschlüsselt alle gespeicherten Anmeldedaten Ende-zu-Ende, sodass das Unternehmen selbst keinen Zugriff auf die Passwörter hat. Selbst beim automatischen Ausfüllen verhindert die Architektur, dass KI-Agenten die Klartext-Passwörter einsehen können.

Schutz auch auf privaten Geräten

Unternehmen können ihre Mitarbeiter anweisen, den Device Trust Agent von 1Password auch auf privaten Geräten zu installieren. Dies adressiert eine häufige Angriffsfläche: die Nutzung unsicherer privater Geräte für berufliche Zwecke. Allerdings zeigt die Praxis, dass Compliance oft lückenhaft ist – ähnlich wie bei den oft ungenutzten Familienkonten, die in Business-Plänen enthalten sind.

Überwachung von KI-Agenten: Eine neue Herausforderung

KI-Agenten können zwar Routineaufgaben automatisieren, doch ihre nicht-deterministische Natur erfordert eine systematische Überwachung. Wang sieht darin eine „grüne Wiese“ für 1Password, um aus dem Verhalten der Agenten zu lernen. „Welche Eingabeaufforderung wurde verwendet? Was hat der Agent damit gemacht? War das Ergebnis korrekt?“, fragt sie. Die daraus resultierenden Protokolldateien sollen als Lernmechanismus für die Agenten und Modelle dienen.

Im Februar stellte 1Password den Security Comprehension and Awareness Measure (SCAM)-Index vor, einen Benchmark für das Verhalten von KI-Agenten. Dieses Tool soll Unternehmen helfen, die Sicherheit ihrer KI-gestützten Prozesse zu bewerten und zu verbessern.

„Sie müssen Ihren Kunden zunächst verdeutlichen, wie groß ihr ‚Blastradius‘ ist – und wie allgegenwärtig diese Herausforderung in ihrem Ökosystem ist.“
Nancy Wang, CTO von 1Password

Fazit: KI erfordert neue Sicherheitsstrategien

1Password zeigt, wie Unternehmen KI sowohl als Werkzeug als auch als potenzielle Bedrohung behandeln müssen. Durch präventive Maßnahmen, kontinuierliche Überwachung und Aufklärung der Nutzer versucht das Unternehmen, die Risiken zu minimieren. Gleichzeitig nutzt es KI, um Sicherheitslücken schneller zu erkennen und die allgemeine Cybersicherheit zu stärken.