Die verborgenen Gefahren von KI-Co-Piloten und wie man Sicherheit und Compliance stärkt
KI-Modelle wie Microsofts Copilot bringen neue Sicherheits-, Datenschutz- und Compliance-Risiken mit sich. Wenn diese Modelle nicht angemessen gesichert sind, riskieren Organisationen, die nächste Schlagzeile zu werden – von Datenverletzungen bis hin zu Verstößen gegen Datenschutzbestimmungen.
Die Risiken von KI-Co-Piloten sind nicht nur theoretischer Natur – reale Vorfälle haben bereits die Gefahren einer ungeregelten KI-Nutzung demonstriert. Kürzlich hat Microsofts Copilot AI die Inhalte von über 20.000 privaten GitHub-Repositories von Unternehmen wie Google, Intel, Huawei, PayPal, IBM, Tencent und, ironischerweise, Microsoft offengelegt. Darüber hinaus hat Microsoft AI im Jahr 2023 38 TB vertraulicher Daten durch falsch konfigurierte Zugriffssteuerungen auf GitHub geleakt.
Diese realen Vorfälle dienen als eindringliche Warnung vor den Risiken, die durch überexponierte Daten und unzureichende Governance entstehen.
Offenes System vs. Geschlossenes KI-Modell
Bevor wir darüber sprechen, wie man KI-Modelle sicher schützen kann, müssen wir verstehen, was es bedeutet, ob ein KI-Modell ein offenes System oder ein geschlossenes System ist.
Ein geschlossenes KI-Modell ermöglicht es Unternehmen, KI-Modelle nur mit ihren Daten innerhalb ihrer Azure-Umgebung zu trainieren. Ein geschlossenes System minimiert das Risiko, dass die KI sensible Daten über Kunden oder geografische Standorte hinweg teilt.
Im Gegensatz dazu sind KI-Modelle wie Copilot und ChatGPT keine geschlossenen Systeme und lernen kontinuierlich und aktualisieren ihre Antworten basierend auf Benutzeraufforderungen und Daten aus dem Internet. Während es viele Vorteile offener KI-Modelle gibt, bringen sie auch die oben genannten Risiken mit sich. Organisationen können sicherstellen, dass sie KI sicher einsetzen, wenn sie einen mehrschichtigen Ansatz für Sicherheit und Governance implementieren.
Ein mehrschichtiger Ansatz zur Sicherheit von generativer KI
Man kann nicht schützen, was man nicht kennt. Der erste Schritt, um Ihre Organisation auf KI vorzubereiten, ist die Fähigkeit, alle Daten, die in Ihren Systemen leben, zu klassifizieren und zu kennzeichnen, einschließlich dessen, was sensibel, vertraulich oder für die KI-Nutzung geeignet ist. Ohne ordnungsgemäße Klassifizierung und Kennzeichnung könnte die KI – wie Microsoft Copilot – Daten verarbeiten und offenlegen, die vertraulich bleiben sollten.
Organisationen müssen Governance-Maßnahmen implementieren, wie zum Beispiel:
- Umfassende Datenrisikobewertungen über Plattformen wie OneDrive, SharePoint und Teams durchführen
- Sensible, kritische oder regulierte Daten kennzeichnen und taggen, um Daten zu identifizieren, die sicher für das Training von KI sind (oder eingeschränkt)
- Automatisierte Richtlinien einrichten, um Richtlinienverstöße zu kennzeichnen oder zu beheben, bevor sie eskalieren
- Doppelte, redundante und veraltete Daten aus Datenspeichern löschen, die zum Training von KI verwendet werden
- KI-Zugriffsberechtigungen für Daten, die als sicher für die KI-Nutzung festgelegt und validiert wurden, einschränken
Sobald Organisationen Sichtbarkeit über ihre Daten geschaffen haben, ist der nächste entscheidende Schritt, den Zugriff zu kontrollieren. Wie aus der oben genannten Datenexposition bei GitHub hervorgeht, kann selbst klassifizierte und gekennzeichnete Daten ein Risiko darstellen, wenn wir den Zugriff auf die Art von Daten, die in ein KI-Modell eingespeist werden, nicht einschränken.
Sicherheitsleiter müssen in der Lage sein, nachzuvollziehen, welche Datensätze zum Trainieren von KI-Modellen verwendet werden, und die von der KI generierten Ausgaben auf mögliche Verstöße gegen die Compliance zu prüfen. Ohne erfolgreich implementierte starke Maßnahmen zur Datenverwaltung in Bezug auf KI riskieren Organisationen, gegen GDPR, CCPA oder andere Datenschutzbestimmungen zu verstoßen.
Diese regulatorischen Verstöße führen zu Geldstrafen gegen die Organisationen und könnten das Ansehen der Organisation schädigen sowie das Vertrauen der Verbraucher beeinträchtigen. Aus diesem Grund müssen Organisationen sicherstellen, dass Datenschutz in die Grundlage ihrer Strategie für KI-Sicherheit und Governance eingebaut ist, um unbeabsichtigte Verstöße gegen regulatorische Verpflichtungen zu vermeiden.
Datensicherheit und Governance in der KI-Ära
Die KI-gesteuerte digitale Transformation ist da, und sie erfordert eine neue Denkweise für Sicherheit und Compliance. Organisationen, die es versäumen, starke Governance-Maßnahmen zu implementieren, riskieren, ihr wertvollstes Gut – Daten – offenzulegen. Jetzt ist die Zeit für IT-Leiter, KI-Sicherheitsrichtlinien durchzusetzen und sicherzustellen, dass generative KI sicher und verantwortungsbewusst genutzt wird.
