Blog
Microsoft Entra Internet Access: Mehr Transparenz und Kontrolle für KI-Anwendungen
Die Einführung generativer KI-Tools hat die Arbeitswelt revolutioniert – und gleichzeitig eine neue Kategorie von Sicherheitsrisiken geschaffen. Mitarbeiter nutzen täglich Dutzende von KI-Diensten wie ChatGPT, Claude, Gemini oder spezialisierte KI-Assistenten, oft ohne Wissen oder Genehmigung der IT-Abteilung. Dieses Phänomen trägt einen Namen: Shadow AI.
Ähnlich wie Shadow IT – die unkontrollierte Nutzung nicht genehmigter Software und Cloud-Dienste – beschreibt Shadow AI die Verwendung von KI-Werkzeugen außerhalb des IT-Governance-Rahmens eines Unternehmens. Der Unterschied: Das Risiko ist potenziell gravierender. Während ein nicht genehmigtes File-Sharing-Tool hauptsächlich Datenverluste riskiert, können KI-Dienste sensible Geschäftsinformationen, Kundendaten oder geistiges Eigentum direkt in externe Modelle übertragen – ohne dass die IT-Abteilung auch nur eine Ahnung davon hat.
Laut Microsoft fühlen sich nur 9 % der Organisationen ausreichend vorbereitet, um Risiken wie Shadow AI, Prompt-Injection-Angriffe und fragmentierte Sicherheitskontrollen zu begegnen. Das ist eine alarmierende Zahl – und gleichzeitig ein klares Signal, dass hier Handlungsbedarf besteht.
Was ist Shadow AI – und warum ist es so gefährlich?
Shadow AI entsteht dort, wo Mitarbeiter KI-Tools nutzen wollen (und sollen), aber keine offiziell genehmigten Alternativen bereitstehen – oder wo das Onboarding neuer Tools einfach zu langsam ist. Das Resultat: Entwickler pasten intern klassifizierten Code in ChatGPT, Vertriebsmitarbeiter laden Kundendaten in einen KI-Assistenten hoch, HR-Teams verwenden öffentliche Modelle für die Analyse von Bewerbungsunterlagen.
Die Risiken sind vielschichtig:
- Datenlecks: Sensible oder vertrauliche Informationen gelangen unkontrolliert zu externen KI-Anbietern.
- Compliance-Verstöße: DSGVO, HIPAA, NIS2 und andere Regularien können verletzt werden, wenn personenbezogene Daten ohne Genehmigung verarbeitet werden.
- Prompt Injection: Angreifer können KI-Modelle durch manipulierte Eingaben dazu bringen, unbeabsichtigte Aktionen auszuführen oder sensible Informationen preiszugeben.
- Fehlende Auditierbarkeit: Ohne Sichtbarkeit in die KI-Nutzung ist eine nachträgliche Analyse von Sicherheitsvorfällen kaum möglich.
- Unkontrollierte Ausgaben: Niemand weiß, was die KI an Dritte zurückgibt oder in externe Systeme schreibt.
Microsoft Entra Internet Access: Eine Antwort auf Shadow AI
Microsoft hat mit Microsoft Entra Internet Access – als Teil von Global Secure Access – eine direkte Antwort auf diese Herausforderungen entwickelt. Internet Access ist ein cloudbasiertes, identitätsorientiertes Secure Web Gateway (SWG), das den gesamten ausgehenden Internetverkehr eines Unternehmens absichert. Es ist kein klassisches Proxy-Tool, sondern eine vollständig in die Microsoft Entra-Identitätsplattform integrierte Security-Schicht, die Netzwerk-, Identitäts- und Endpunktkontrolle zusammenführt.
Für das Thema Shadow AI bietet Internet Access folgende Kernfunktionen:
1. Shadow AI Discovery: Sichtbarkeit als erster Schritt
Der erste Schritt zur Kontrolle von Shadow AI ist Sichtbarkeit. Shadow AI Discovery analysiert den Netzwerkverkehr der Benutzer und identifiziert alle Verbindungen zu generativen KI-Anwendungen und -Diensten – einschließlich ChatGPT, Claude, Gemini, DeepSeek, SaaS-MCP-Servern und KI-Modell-Provider-Frameworks.
Erkannte Anwendungen werden automatisch mit dem Microsoft Defender for Cloud Apps Cloud App Catalog abgeglichen. Dieser Katalog kategorisiert Apps und vergibt Risiko-Scores basierend auf allgemeinen Sicherheits- und Compliance-Kriterien. Administratoren sehen auf einen Blick:
- Welche KI-Apps werden in der Organisation genutzt?
- Wie viele Benutzer nutzen eine bestimmte App?
- Welches Risikoprofil hat die jeweilige Anwendung?
- Wie hoch ist das transferierte Datenvolumen pro App?
Die Funktion ist über das Entra Admin Center unter Global Secure Access → Applications → Insights & Analytics → Cloud Applications erreichbar. Mit dem Filter „Generative AI apps and tools“ lassen sich alle KI-relevanten Dienste gezielt filtern und analysieren.
Shadow AI Discovery hilft Security-Teams nicht nur, unbekannte Risiken aufzudecken, sondern liefert auch die datenbasierte Grundlage für fundierte Entscheidungen: Welche Apps werden blockiert? Welche werden in den offiziellen Genehmigungsprozess aufgenommen?
2. Conditional Access für KI-Anwendungen
Sichtbarkeit allein genügt nicht. Internet Access ermöglicht die Anwendung von Conditional-Access-Richtlinien direkt auf entdeckte KI-Applikationen. Das bedeutet: Sicherheitsteams können differenziert reagieren.
- Risikoarme, genehmigungsfähige Apps werden in den regulären Freigabeprozess überführt.
- Hochriskante oder nicht-konforme Apps werden sofort blockiert.
- Für bestimmte Nutzergruppen (z. B. Entwickler) können spezifische Ausnahmen definiert werden.
Diese granulare Steuerung erlaubt es Unternehmen, KI-Nutzung zu ermöglichen, ohne die Kontrolle zu verlieren – ein entscheidender Vorteil gegenüber dem pauschalen Blocking-Ansatz vieler Legacy-Lösungen.
3. Blockieren von unsanktionierten MCP-Servern
Mit dem Aufkommen von Model Context Protocol (MCP) als Standard für die Integration von KI-Modellen in Unternehmensworkflows entsteht eine neue Risikoebene: SaaS-basierte MCP-Server. Internet Access ermöglicht das gezielte Blockieren von Zugriffen auf unsanktionierte MCP-Server per URL-Richtlinie, bevor diese überhaupt eine Verbindung zu internen Ressourcen aufbauen können.
4. TLS-Inspektion: Der Blick in den verschlüsselten Tunnel
Generative KI-Dienste kommunizieren ausschließlich über verschlüsseltes HTTPS. Ohne TLS-Inspektion bleibt der eigentliche Inhalt dieser Kommunikation – also die Prompts der Mitarbeiter und die Antworten der Modelle – für Sicherheits-Tools unsichtbar. Internet Access bietet TLS-Inspection, die HTTPS-Traffic entschlüsselt, inspiziert und anschließend wieder verschlüsselt.
So können Content-Filtering-Policies, DLP-Regeln und Prompt-Policies auf den tatsächlichen Inhalt der KI-Kommunikation angewendet werden – nicht nur auf Metadaten. Für den Einsatz ist die Verteilung eines Root-CA-Zertifikats auf verwaltete Geräte (z. B. über Microsoft Intune) erforderlich.
5. Prompt Shield: Schutz vor KI-Manipulation
Prompt Shield ist eines der innovativsten Features von Entra Internet Access. Es operiert auf Netzwerkebene und inspiziert Prompts in Echtzeit, bevor sie das KI-Modell erreichen. Konkret erkennt und blockiert Prompt Shield:
- Jailbreak-Versuche: Manipulationsversuche, die KI-Modelle zur Umgehung ihrer Sicherheitsrichtlinien veranlassen sollen.
- Datenlecks durch Prompt Injection: Angriffe, bei denen durch versteckte Anweisungen sensible Informationen aus dem KI-Kontext extrahiert werden sollen.
- Manipulationen des KI-Verhaltens: Versuche, die KI zu unerwünschten Aktionen zu verleiten.
Prompt Shield integriert sich mit Azure AI Content Safety zur Klassifizierung und Filterung unsicherer Inhalte und kann über Security-Profile und Conditional-Access-Policies granular auf Benutzergruppen angewendet werden. OWASP listet Prompt Injection als LLM01:2025 – also das kritischste Risiko für LLM-basierte Anwendungen.
6. Web Content Filtering und Threat Intelligence
Jenseits des KI-spezifischen Schutzes bietet Internet Access umfassende Filterung von Web-Inhalten nach Kategorien (z. B. Social Media, Glücksspiel, Malware-Seiten) sowie Threat Intelligence Filtering, das Traffic zu bekannten Malware-Domänen, Phishing-Seiten und Command-and-Control-Infrastrukturen blockiert – und das für alle Benutzer, unabhängig von ihrem Standort.
Die Architektur: Wie Internet Access Shadow AI kontrolliert
Benutzer (GSA Client)
│
▼
Global Secure Access Edge
│
├── TLS Inspektion (entschlüsseln/inspizieren/verschlüsseln)
│
├── Shadow AI Discovery (Erkennung & Risiko-Scoring)
│
├── Prompt Shield (Echtzeit-Prompt-Inspektion)
│
├── Web Content Filtering / Threat Intelligence
│
└── Conditional Access Policy Enforcement
│
├── Genehmigt: Zugriff erlaubt
└── Blockiert: Zugriff verweigert + Log-Eintrag
Alle Kontrollen greifen auf Netzwerkebene und sind damit unabhängig vom verwendeten Browser oder Gerätezustand. Der GSA-Client auf dem Endgerät (Windows, macOS, iOS, Android) stellt sicher, dass der Datenverkehr durch das GSA-Edge geführt wird.
Fazit: KI-Sicherheit beginnt im Netzwerk
Shadow AI ist keine theoretische Bedrohung – sie ist gelebte Realität in nahezu jedem Unternehmen. Die Lösung liegt nicht im pauschalen KI-Verbot, das ohnehin an der Realität scheitert, sondern in kontrollierter Sichtbarkeit und differenzierter Steuerung.
Microsoft Entra Internet Access als Teil von Global Secure Access bietet genau das: Eine identitätsorientierte, netzwerkbasierte Schutzschicht, die KI-Nutzung nicht verhindert, sondern sicher macht. Von der Erkennung unsanktionierter Tools über granulare Zugriffskontrollen bis hin zu Echtzeit-Schutz vor Prompt Injection – Internet Access ist die zentrale Komponente einer modernen KI-Sicherheitsstrategie.
Lizenzierung (Überblick, Stand Mai 2026)
- Microsoft Entra ID P1/P2: Voraussetzung; ermöglicht grundlegende GSA-Funktionen (M365-Profil, Compliant Network Check)
- Internet Access Standalone: ca. 5 $/Benutzer/Monat (zusätzlich zu P1/P2)
- Entra Suite: ca. 12 $/Benutzer/Monat – enthält Private Access, Internet Access, Entra ID Governance, ID Protection (P2) und Verified ID Premium
- Microsoft 365 E7 (GA ab Mai 2026): Erste M365-SKU mit vollständiger Entra Suite inklusive