Als Cybersicherheitsexperte oder CISO arbeiten Sie wahrscheinlich in einem äußerst dynamischen Umfeld, in der die Nutzung von KI sowohl einen enormen Vorteil bietet als auch eine Herausforderung darstellt. Bei einem vor Kurzem veranstalteten Webinar mit Michelle Drolet, CEO von Towerwall, Inc., als Moderatorin und Diana Kelley, CISO bei Protect AI, und mir als Diskussionsteilnehmern ging es darum, wie Unternehmen die KI-Nutzung mit ihren Geschäftszielen vereinen und dabei gleichzeitig die Unternehmenssicherheit und Markenintegrität gewährleisten können.
In diesem Blog-Beitrag stelle ich die wichtigsten Erkenntnisse aus diesem Webinar vor. Meiner Meinung nach sollte jeder CISO und Cybersicherheitsexperte bei der Integration von KI in das eigene Unternehmen diese Empfehlungen beachten.
Verschaffen Sie sich zunächst einen Überblick über die KI-Nutzung
Der erste und wichtigste Schritt besteht darin, sich einen Überblick darüber zu verschaffen, wie KI in Ihrem Unternehmen verwendet wird. Unabhängig davon, ob es sich um GenAI-Tools (generative KI) wie ChatGPT oder speziell entwickelte prädiktive Modelle handelt, müssen Sie wissen, wo und wie die Technologien eingesetzt werden. Schließlich können Sie nur das schützen, was Sie kennen. Ermitteln Sie daher zunächst, welche Large Language Models (LLMs) und KI-Tools verwendet werden, und identifizieren Sie dann die damit verbundenen Datenströme.
Stellen Sie Leitlinien für die Nutzung neuer Tools auf
Dass KI-Tools genutzt werden, lässt sich nicht verhindern. Daher ist es selten sinnvoll, die Verwendung vollständig auszuschließen. Erstellen Sie stattdessen Richtlinien für die sichere Nutzung neuer Tools, die für Ihr Unternehmen maßgeschneidert sind und zum Beispiel Folgendes umfassen:
- Festlegungen dazu, welche Datentypen für KI-Tools genutzt werden dürfen
- Durchsetzungsmechanismen, die die versehentliche Weitergabe vertraulicher Daten verhindern
Diese Maßnahmen unterstützen Mitarbeiter bei der Nutzung von KI-Funktionen und stellen gleichzeitig sicher, dass strenge Sicherheitsprotokolle eingehalten werden.
Schulen Sie Ihre Mitarbeiter
Eine der größten Herausforderungen bei der Nutzung von KI besteht darin, die Mitarbeiter ausreichend für die damit verbundenen Risiken zu sensibilisieren. Herkömmliche Security-Awareness-Programme mit Fokus auf Phishing oder Malware müssen weiterentwickelt werden und KI-spezifische Schulungen zu diesen Themen umfassen:
- Erkennung von Risiken, die mit der Weitergabe vertraulicher Daten an KI-Tools verbunden sind
- Erstellung eindeutiger Richtlinien für komplexe Verfahren wie Datenanonymisierung, um die versehentliche Weitergabe vertraulicher Daten zu verhindern
- Verständnis der Wichtigkeit von Unternehmensrichtlinien und ihrer Einhaltung
Führen Sie proaktive Bedrohungsmodellierungen durch
Die Nutzung von KI ist mit deutlichen Risiken wie versehentlichen Datenverlust verbunden. Außerdem besteht die Gefahr von sogenannten „Confused Pilot“-Angriffen, bei denen KI-Systeme versehentlich vertrauliche Daten offenlegen. Führen Sie daher für jedes KI-Anwendungsszenario eine gründliche Bedrohungsmodellierung mit folgenden Schritten durch:
- Ermitteln Sie die bestehende Architektur und die Datenströme.
- Identifizieren Sie potenzielle Schwachstellen in Trainingsdaten, Prompts und Antworten.
- Implementieren Sie Scan- und Überwachungstools, um Interaktionen mit KI-Systemen zu beobachten.
Verwenden Sie moderne Tools wie DSPM
Data Security Posture Management (DSPM) ist ein hervorragendes Framework für die sichere Nutzung von KI-Tools. Die Technologie verschafft Unternehmen einen umfassenden Überblick über Datentypen, Zugriffsmuster und Risiken und bietet folgende Vorteile:
- Identifizierung von vertraulichen Daten, die für KI-Training oder -Inferenz verwendet werden
- Überwachung und Kontrolle des Zugriffs auf kritische Daten
- Gewährleistung der Einhaltung von Richtlinien für die Datenkontrolle
Führen Sie vor der Bereitstellung Tests durch
KI ist grundsätzlich nichtdeterministisch. Das bedeutet, dass ihr Verhalten unvorhersehbar schwanken kann. Daher sollten Sie vor der Bereitstellung von KI-Tools gründliche Tests durchführen:
- Testen Sie Ihre KI-Systeme mit der Red-Team-Methode, um potenzielle Schwachstellen aufzudecken.
- Simulieren Sie praxisnahe Szenarien mit KI-spezifischen Testtools.
- Richten Sie Beobachtbarkeitsebenen ein, um KI-Interaktionen nach der Bereitstellung zu überwachen.
Fördern Sie die abteilungsübergreifende Zusammenarbeit
Um die sichere Nutzung von KI-Tools zu gewährleisten, müssen die einzelnen Unternehmensbereiche zusammenarbeiten. Beziehen Sie Mitarbeiter aus den Bereichen Marketing, Finanzen, Compliance und anderen Abteilungen ein, um folgende Fragen zu klären:
- Was sind ihre KI-Anwendungsfälle?
- Welche Risiken bergen die Abläufe in den jeweiligen Abteilungen?
- Welche maßgeschneiderten Kontrollen können implementiert werden, um sie bei ihren Aufgaben zu unterstützen und gleichzeitig die Unternehmenssicherheit zu gewährleisten?
Fazit
Durch Transparenz, Schulungen und proaktive Sicherheitsmaßnahmen können wir das Potenzial von KI ausschöpfen und gleichzeitig Risiken minimieren. Wenn ich Ihnen einen Rat geben darf, dann folgenden: Warten Sie nicht, bis Vorfälle die Lücken in Ihrer KI-Strategie sichtbar machen. Machen Sie jetzt den ersten Schritt, indem Sie die KI-Nutzung in Ihrem Unternehmen überprüfen und grundlegende Sicherheitsmaßnahmen etablieren.
Weitere Informationen erhalten Sie in unserem Webinar „Safe AI Adoption: Protecting Your Brand and Culture“ (Sichere KI-Nutzung: Schutz für Ihre Marke und Kultur). Darüber hinaus können Sie sich über unsere neuesten Fortschritte im Bereich KI-Sicherheit informieren und unsere Website zu DSPM besuchen.
