Wie CISOs effektive KI-Governance vorantreiben können
Die wachsende Rolle von KI in Unternehmensumgebungen hat die Dringlichkeit für Chief Information Security Officers (CISOs) erhöht, eine effektive KI-Governance zu etablieren. Bei jeder aufkommenden Technologie ist Governance eine Herausforderung – aber effektive Governance ist noch schwieriger. Der erste Instinkt der meisten Organisationen ist es, mit starren Richtlinien zu reagieren. Ein Dokument zu erstellen, eine Reihe von Einschränkungen zu verbreiten und zu hoffen, dass das Risiko eingedämmt wird. Effektive Governance funktioniert jedoch nicht so. Sie muss ein lebendiges System sein, das prägt, wie KI täglich genutzt wird und Organisationen durch sichere transformative Veränderungen leitet, ohne das Tempo der Innovation zu verlangsamen.
1. Verstehen, was vor Ort geschieht
Als ChatGPT im November 2022 erstmals veröffentlicht wurde, eilten die meisten CISOs, strenge Richtlinien zu veröffentlichen, die den Mitarbeitern sagten, was sie nicht tun sollten. Diese Maßnahmen kamen aus einem positiven Ansatz, da die Sorge um sensible Datenlecks legitim war. Allerdings funktionieren Richtlinien, die aus diesem „Dokument rückwärts“-Ansatz geschrieben sind, in der Praxis selten. Aufgrund der schnellen Entwicklung von KI muss die Governance mit einem „realitätsnahen Vorwärts“-Denken gestaltet werden, das berücksichtigt, was in einer Organisation tatsächlich geschieht. Dies erfordert von CISOs ein grundlegendes Verständnis von KI: der Technologie selbst, wo sie integriert ist, welche SaaS-Plattformen sie ermöglichen und wie die Mitarbeiter sie nutzen, um ihre Aufgaben zu erledigen.
KI-Inventare, Modellregister und interdisziplinäre Ausschüsse mögen wie Modewörter klingen, sind aber praktische Mechanismen, die Sicherheitsleitern helfen können, diese KI-Flüssigkeit zu entwickeln. Ein AI Bill of Materials (AIBOM) bietet beispielsweise Transparenz über die Komponenten, Datensätze und externen Dienste, die ein KI-Modell speisen. Ähnlich wie ein Software Bill of Materials (SBOM) die Abhängigkeiten Dritter klarstellt, stellt ein AIBOM sicher, dass Führungskräfte wissen, welche Daten verwendet werden, woher sie stammen und welche Risiken sie mit sich bringen.
2. Richtlinien an das Tempo der Organisation anpassen
Ohne realitätsnahe Richtlinien laufen Sicherheitsleiter oft in die Falle, Kontrollen zu kodifizieren, die sie nicht realistisch umsetzen können. Ein CISO-Kollege von mir versuchte, die verantwortungsvolle Nutzung mehrerer GenAI-Anwendungen in seiner Belegschaft zu ermöglichen, als er wusste, dass die Mitarbeiter bereits mit KI experimentierten. Allerdings wurde er von einem neuen CIO, der der Meinung war, dass zu viele GenAI-Anwendungen genutzt wurden, angewiesen, alle GenAI zu verbieten, bis eine einheitliche Plattform ausgewählt wurde. Ein Jahr später war diese Plattform immer noch nicht implementiert, und die Mitarbeiter verwendeten unzulässige GenAI-Tools, die die Organisation anfällig für Shadow-AI machten. Der CISO war gezwungen, ein pauschales Verbot durchzusetzen, das er nicht umsetzen konnte, und sah sich Kritik ausgesetzt, ohne die Autorität, eine praktikable Lösung zu implementieren.
Solche Szenarien treten auf, wenn Richtlinien schneller geschrieben werden, als sie umgesetzt werden können, oder wenn sie das Tempo der organisatorischen Adoption nicht berücksichtigen. Governance muss flexibel genug sein, um sich anzupassen, da sie sonst die Sicherheitsabteilungen dazu bringt, das Unmögliche durchzusetzen.
3. KI-Governance nachhaltig machen
Selbst mit starken Richtlinien und Fahrplänen werden Mitarbeiter weiterhin KI auf nicht formell genehmigte Weise nutzen. Das Ziel der Sicherheitsleiter sollte nicht sein, KI zu verbieten, sondern die verantwortungsvolle Nutzung zur einfachsten und attraktivsten Option zu machen. Das bedeutet, die Mitarbeiter mit unternehmensgerechten KI-Tools auszustatten, sei es durch Kauf oder Eigenentwicklung, damit sie nicht auf unsichere Alternativen zurückgreifen müssen. Außerdem bedeutet es, positives Verhalten hervorzuheben und zu verstärken, sodass die Mitarbeiter den Wert der Einhaltung der Richtlinien erkennen, anstatt sie zu umgehen.
Nachhaltige Governance beruht auch auf der Nutzung von KI und Schutz von KI, zwei Säulen des kürzlich veröffentlichten Secure AI Blueprint des SANS-Instituts. Um KI effektiv zu steuern, sollten CISOs ihre SOC-Teams befähigen, KI für die Cyberabwehr effektiv zu nutzen – Lärmminderung und Anreicherung zu automatisieren, Erkennungen gegen Bedrohungsinformationen zu validieren und sicherzustellen, dass Analysten für Eskalation und Vorfallreaktion in den Prozess einbezogen werden. Zudem sollten sie sicherstellen, dass die richtigen Kontrollen zum Schutz von KI-Systemen vor feindlichen Bedrohungen implementiert sind.
Fazit
Die Einführung effektiver KI-Governance ist für CISOs entscheidend, um die Balance zwischen Sicherheit und Innovationsgeschwindigkeit zu finden. Durch das Verständnis der realen Gegebenheiten, die Anpassung von Richtlinien an das Tempo der Organisation und die Schaffung einer nachhaltigen Governance können CISOs sicherstellen, dass KI verantwortungsbewusst und effektiv eingesetzt wird. Dies wird nicht nur die Sicherheit erhöhen, sondern auch die Wettbewerbsfähigkeit des Unternehmens stärken.
