Die Nutzung von generativer KI (GenAI) hat im vergangenen Jahr enorm zugenommen. Dadurch haben sich die Schlagzeilen von 2023 zu 2024 auf bemerkenswerte Weise verändert. Im letzten Jahr berichtete Forbes darüber, dass JPMorgan Chase, Amazon und mehrere US-Universitäten die Nutzung von ChatGPT einschränken oder ganz verbieten. Zudem gab es Berichte, dass Mitarbeiter von Amazon und Samsung vertrauliche Daten wie Code im OpenAI-Chatbot preisgegeben hatten.
Die Schlagzeilen von 2024 klangen ganz anders. Jetzt lag der Fokus darauf, wie die KI-Assistenten in Unternehmen auf der ganzen Welt eingesetzt werden. J.P. Morgan führt ChatGPT für 60.000 Angestellte ein, damit diese effizienter arbeiten können. Und Amazon gab kürzlich bekannt, dank GenAI bei der Migration von 30.000 Anwendungen auf eine neue Plattform die Jahresarbeitszeit von 4.500 Entwicklern sowie 260 Millionen US-Dollar eingespart zu haben.
Auch die McKinsey Global Survey on AI 2024 zeigt, wie viel sich verändert hat. Die Umfrage ergab zum Beispiel, dass bei 65 % der Umfrageteilnehmer GenAI jetzt regulär im Unternehmen verwendet wird. Das sind fast verdoppelt so viele wie 10 Monate zuvor.
Dieser Trend zeigt, dass die meisten Unternehmen sich vor der Wahl sehen, entweder GenAI einzusetzen oder das Risiko einzugehen, den Anschluss zu verpassen. Doch wie können sie die mit generativer KI verbundenen Risiken minimieren? Genau darum geht es in diesem Blog-Beitrag.
Generative KI: Ein neues Insider-Risiko
Da es sich bei GenAI um ein Produktivitätstool handelt, öffnet es Tür und Tor für Risiken durch fahrlässige, kompromittierte oder böswillige Insider.
- Fahrlässig handelnde Insider: Diese Anwender können vertrauliche Daten (z. B. Kundendaten, proprietäre Algorithmen oder Informationen zu internen Strategien) in GenAI-Tools eingeben oder sie verwenden diese Daten zum Erstellen von Content, der nicht den rechtlichen oder gesetzlichen Standards des Unternehmens entspricht, weil er zum Beispiel diskriminierende Sprache oder unangemessene Bilder enthält. Dies führt zu rechtlichen Risiken. Zudem können einige Anwender nicht autorisierte GenAI-Tools verwenden und dadurch Sicherheitsschwachstellen und Compliance-Probleme verursachen.
- Kompromittierte Insider: Der Zugriff auf GenAI-Tools kann von Bedrohungsakteuren kompromittiert und missbraucht werden, um vertrauliche Daten zu extrahieren, zu generieren oder an externe Parteien weiterzugeben.
- Böswillige Insider: Einige Insider haben die Absicht, Schaden anzurichten, und könnten vertrauliche Daten an öffentliche GenAI-Tools leaken. Insider, die über Zugriff auf proprietäre Modelle oder Datensätze verfügen, könnten mit diesen Tools Mitbewerber-Produkte erstellen. Außerdem könnten sie mithilfe von GenAI Datensätze erstellen oder so verändern, dass die Diskrepanzen oder Compliance-Verstöße bei Audits schwer zu identifizieren sind.
Um diese Risiken zu beseitigen, benötigen Unternehmen eine Kombination aus personenzentrierten technischen Kontrollen, internen Richtlinien und Strategien. Dabei müssen sie nicht nur in der Lage sein, die KI-Nutzung und Datenzugriffe zu überwachen, sondern zusätzlich Maßnahmen (z. B. Mitarbeiterschulungen) sowie ein robustes ethisches Framework implementieren.
Personenzentrierte Sicherheit bei GenAI
Der sichere Einsatz dieser Technologie ist für die meisten CISOs ein wichtiges Thema. Proofpoint bietet eine adaptive, personenzentrierte Information Protection-Lösung an, die Ihnen dabei helfen kann. Mit unserer Lösung können Sie die Nutzung von GenAI in Ihrem Unternehmen auf Endpunkten, in der Cloud und im Web überwachen und kontrollieren. Und so funktioniert das:
Überblick über Schatten-GenAI-Tools:
- Überwachen Sie die Nutzung von über 600 GenAI-Websites durch Anwender, Gruppen oder Abteilungen.
- Kontrollieren Sie die Nutzung von GenAI-Anwendungen mit Kontext basierend auf dem Anwenderrisiko.
- Identifizieren Sie Autorisierungen von Drittanbieter-KI-Anwendungen, die mit Ihrem Identitätsspeicher verbunden sind.
- Sie erhalten Warnmeldungen, wenn unternehmenseigene Anmeldedaten für GenAI-Dienste verwendet werden.
Durchsetzen von Richtlinien über die akzeptable Nutzung von GenAI-Tools und Verhinderung von Datenverlust:
- Blockieren Sie Web-Uploads und verhindern Sie, dass vertrauliche Daten auf GenAI-Seiten per Copy/Paste eingefügt werden können.
- Verhindern Sie, dass vertrauliche Daten in Tools wie ChatGPT, Gemini, Claude, Copilot usw. eingegeben werden können.
- Machen Sie Autorisierungen des Zugriffs auf Drittanbieter-GenAI-Anwendungen rückgängig.
- Überwachen Sie die Nutzung von Copilot für Microsoft 365 und geben Sie eine Warnmeldung aus, wenn über E-Mails, Dateien und Teams-Nachrichten auf vertrauliche Dateien zugegriffen wird.
- Kennzeichnen Sie vertrauliche Dateien mit MIP-Labels (Microsoft Information Protection) und stellen Sie sicher, dass Copilot bei neuem Content, der aus diesen Dateien generiert wird, dieselben Label verwendet.
Überwachung auf Insider-Bedrohungen mit dynamischen GenAI-Richtlinien:
- Erfassen Sie Metadaten und Bildschirm-Screenshots, bevor und nachdem Anwender auf GenAI-Tools zugreifen.
Schulung Ihrer Mitarbeiter zur akzeptablen Nutzung von GenAI-Tools:
- Schulen Sie Ihre Anwender mit Videos, Postern, interaktiven Modulen und Newslettern zur sicheren Nutzung von GenAI.
- Automatisieren Sie die Zuweisung angepasster Schulungen für besonders riskante Anwender.
Außerdem können die von Proofpoint angebotenen Managed Services Sie dabei unterstützen, Ihr Programm für Informationsschutz für die Nutzung von GenAI und die entsprechenden Best Practices zu optimieren.
Weitere Informationen
Wenden Sie sich an unser Proofpoint-Kundenteam, wenn Sie erfahren möchten, wie Proofpoint Ihnen bei der Implementierung von Richtlinien zur akzeptablen Nutzung von GenAI-Tools helfen kann, oder wenn Sie sich für einen Test unserer Lösung interessieren.
In unserem On-Demand-Webinar zu den Häufigsten Datenverlust-Szenarien auf Endpunkten stellen wir zudem unsere Information Protection-Lösung für GenAI vor.