Die Analystenfirma Gartner rät Unternehmen in ihrem aktuellen Bericht „Cybersecurity Should Block AI Browsers for Now“, die Nutzung von KI-Browsern (AI Browser) wie Perplexity Comet oder ChatGPT Atlas im Unternehmensnetz vorerst zu unterbinden oder stark einzuschränken. Begründet wird dies mit erheblichen Risiken für Cybersecurity, Datenschutz und Compliance, die in vielen Organisationen derzeit unterschätzt werden.
Was sind KI-Browser und warum sind sie ein Sicherheitsrisiko?
Unter KI-Browsern versteht Gartner Anwendungen, die einen klassischen Webbrowser mit einer LLM-basierten Seitenleiste (Large Language Model) kombinieren. Diese Sidebars können Webseiteninhalte, Browserverlauf und offene Tabs analysieren und auf dieser Basis als Agenten eigenständig Aktionen ausführen – etwa Formulare ausfüllen, durch Portale navigieren oder Bestellungen anstoßen.
Das Problem: Die Standardeinstellungen dieser Tools sind auf maximalen Komfort ausgelegt, nicht auf Sicherheit. Häufig haben die KI-Agenten weitreichende Berechtigungen, es gelten nur geringe Beschränkungen für Datensammlung und -übertragung, und bestehende Unternehmensrichtlinien greifen nur unzureichend. In stark regulierten Branchen (Finanzsektor, Gesundheitswesen, kritische Infrastrukturen) kann dies direkt zu Verstößen gegen Vorgaben wie DSGVO, HIPAA oder PCI DSS führen.
Datenschutz- und Compliance-Risiken durch Cloud-Backends
Ein zentrales Risiko liegt in der Art und Weise, wie KI-Sidebars Daten an Cloud-Backends der Anbieter übertragen. Häufig werden aktive Webseiteninhalte, Teile des Browserverlaufs sowie Informationen zu geöffneten Tabs an externe Server gesendet, um Antworten zu generieren oder Aktionen zu planen. In Unternehmensumgebungen umfasst dies schnell Geschäftsgeheimnisse, Kundendaten, interne Dokumente oder vertrauliche Kommunikation.
Gartner empfiehlt, vor einer Freigabe systematisch zu prüfen, wo die Daten gespeichert werden, welche Verschlüsselung eingesetzt wird, ob die Daten zum Training der Modelle verwendet werden und welche Subdienstleister Zugriff erhalten. Fehlt Transparenz oder erscheinen die Schutzmaßnahmen unzureichend, sollte die Installation von KI-Browsern unternehmensweit blockiert werden – idealerweise per Endpoint- und Web-Filtering.
Selbst bei vertrauenswürdigen Anbietern bleibt das Restrisiko, dass jede im Browser angezeigte Information potenziell das Unternehmen verlässt. Als pragmatische Maßnahme sollten Organisationen daher vorschreiben, dass bei der Arbeit mit hochsensiblen Informationen KI-Sidebars deaktiviert oder getrennte, besonders geschützte Browserprofile genutzt werden.
Agentenfunktionen als neue Angriffsfläche für Cyberangriffe
Besondere Aufmerksamkeit widmet Gartner den Agentenfunktionen von KI-Browsern. Erhält das System die Befugnis, im Namen des Nutzers im Web zu agieren, entstehen neue Angriffsvektoren, die klassische Security-Kontrollen nur begrenzt abdecken.
Prompt-Injection, Fehlentscheidungen und Phishing
Ein erster Risikotyp sind indirekte Prompt-Injection-Angriffe. Angreifer platzieren versteckte Anweisungen im Webseiteninhalt (z. B. in HTML-Kommentaren oder unsichtbaren Elementen). Die KI interpretiert diese als legitime Befehle und kann dadurch sensible Daten exfiltrieren oder schädliche Aktionen ausführen. Erste Studien von Universitäten und Sicherheitsanbietern zeigen, dass viele LLM-Agenten für solche Manipulationen hochgradig anfällig sind.
Hinzu kommt, dass LLMs zu „Halluzinationen“ und fehlerhaften Schlussfolgerungen neigen. In Kombination mit Agentenfähigkeiten kann dies zu realen wirtschaftlichen Schäden führen: falsch ausgefüllte Verträge, fehlerhafte Bestellungen, versehentliche Stornierungen oder ungewollte Zahlungen. In Beschaffungs- oder Buchungssystemen können sich kleine Fehler bei großen Stückzahlen schnell zu erheblichen Kosten summieren.
Ein weiterer kritischer Punkt ist die Gefährdung von Zugangsdaten. Wird dem KI-Agenten Zugriff auf Passwörter, API-Keys oder Single-Sign-On-Sessions gewährt, kann er unbemerkt auf Phishing-Seiten umgeleitet werden und dort Anmeldedaten automatisch eingeben. Der Verlust privilegierter Konten gehört zu den folgenschwersten Vorfällen in der Cybersecurity und ist häufig Ausgangspunkt für Ransomware-Angriffe oder Datendiebstahl.
Missbrauch durch Mitarbeitende und sinkende Sicherheitskultur
Gartner weist zudem auf den Faktor Mensch hin. Mitarbeitende können KI-Browser nutzen, um lästige, aber sicherheitsrelevante Pflichten zu automatisieren – etwa obligatorische Security-Awareness-Trainings. Wenn ein KI-Agent diese Aufgaben „im Hintergrund“ erledigt, erscheinen Compliance-Anforderungen zwar formal erfüllt, der tatsächliche Sicherheitsreifegrad der Belegschaft sinkt jedoch messbar.
Empfohlene Sicherheitsmassnahmen für Unternehmen
Vor diesem Hintergrund stuft Gartner KI-Browser derzeit als nicht reif für den unkontrollierten Unternehmenseinsatz ein. Organisationen sollten ein strukturiertes Vorgehen etablieren, bevor sie solche Tools zulassen:
- Risikobewertung pro Produkt: Technische und rechtliche Analyse des jeweiligen KI-Browsers und seines Backends, inklusive Datenflüsse, Speicherort, Verschlüsselung und Auftragsverarbeitungsverträgen.
- Definierte Verbotszonen: Klare Ausschlussbereiche wie Finanzsysteme, Beschaffung, privilegierte Admin-Konten, HR- und Gesundheitsdaten sowie geschäftskritische OT-/ICS-Umgebungen.
- Beschränkung von Agentenrechten: KI-Agenten nur lesenden Zugriff gewähren, wo immer möglich. Kein automatisierter Zugang zu E-Mail, Zahlungsprozessen oder Administrationskonsolen.
- Strenge Datenschutz-Policies: Übertragene Daten minimieren, Löschfristen festlegen, Speicherung und Modelltraining mit Unternehmensdaten standardmäßig untersagen.
- Gezielte Schulungen: Mitarbeitende über spezifische Risiken von KI-Browsern, Prompt-Injection und Datenabfluss sensibilisieren und klare Do-and-Don’t-Listen bereitstellen.
Unternehmen, die KI-Browser nicht unreflektiert freigeben, sondern frühzeitig Governance, technische Kontrollen und Schulungsprogramme etablieren, verringern die Wahrscheinlichkeit von Datenlecks, finanziellen Verlusten und regulatorischen Sanktionen erheblich. Zugleich schaffen sie die Grundlage, die Potenziale von KI-gestützter Produktivität später kontrolliert und sicher zu nutzen. Jetzt ist der richtige Zeitpunkt, eine unternehmensweite AI-Security-Strategie zu entwickeln, Pilotprojekte streng zu begrenzen und jede Freigabe von KI-Browsern an klare Sicherheitsanforderungen zu koppeln.
