Neue Sicherheitsrisiken durch die rasche Einführung von Generativer KI, die Organisationen angehen müssen
Generative KI (GenAI) hat sich von einer Neugier zu einer zentralen Kraft in der Unternehmens-Technologie entwickelt. Ihre Fähigkeit, Texte, Codes, Bilder und Erkenntnisse auf Abruf zu generieren, macht sie für Mitarbeitende unverzichtbar, die Komplexität überwinden und die Produktivität steigern möchten. Doch mit dieser Innovation und Effizienz kommt ein erhebliches Risiko.
Die Herausforderung der Datensicherheit
In Gesprächen mit Führungskräften und Verantwortlichen für KI-Governance in verschiedenen Branchen wird immer wieder ein Thema deutlich: Die Datensicherheit hat sich von einem wichtigen Anliegen zu einem zentralen Bestandteil ihrer Strategie entwickelt und ist nun die entscheidende Herausforderung bei der Einführung von KI. Im Gegensatz zu herkömmlicher Software oder früheren Wellen des maschinellen Lernens verändert GenAI grundlegend den Prozess zur Sicherung von Daten innerhalb einer Organisation.
Statistiken zur Einführung von GenAI
Aktuelle Studien zeigen, dass 95% der Unternehmensprojekte mit GenAI scheitern. Dies liegt nicht an der Schwäche der Technologie, sondern daran, dass Unternehmen die Governance- und Sicherheitsrahmen fehlen, die nötig sind, um GenAI angemessen und verantwortungsvoll zu operationalisieren. Führungskräfte haben Datensicherheit als das größte geschäftliche und sicherheitstechnische Risiko identifiziert, das eine schnellere Einführung von KI behindert.
Risiken durch Schatten-KI
„Schatten-KI“, also die unautorisierte Nutzung öffentlicher Tools durch Mitarbeitende, wird weithin als ein Faktor angesehen, der die Datenrisiken außerhalb der Kontrolle des Unternehmens in die Höhe treibt.
Das Modell des minimalen Zugriffs
Das Modell des minimalen Zugriffs gewährt jeder Entität, ob Benutzer, Programm oder Prozess, nur das Mindestmaß an Zugriffsrechten, das zur Erfüllung ihrer legitimen Funktionen erforderlich ist. GenAI hingegen stellt dieses Paradigma auf den Kopf: Der minimale Zugriff selbst wird zu einer Einschränkung, die den Designs dieser Systeme widerspricht.
Expositionen durch GenAI
Eingabeverlust
GenAI kann Daten in roher Form, einschließlich Text, Bilder, Audio, Video und strukturierte Daten, aufnehmen. Endbenutzer können GenAI-Tools mit minimalem Aufwand oder Expertenwissen auf neue Datensätze lenken.
Ausgabeverlust
Generative Modelle konsumieren nicht nur, sondern synthetisieren auch. Eine Eingabeaufforderung kann unbeabsichtigt Erkenntnisse aus verschiedenen Datensätzen ziehen und diese ohne die erforderliche Genehmigung offenlegen.
Zugänglichkeit ohne Aufsicht
Traditionelle Unternehmenssysteme erforderten die Einarbeitung von Anbietern und IT-Bereitstellung. Heute ist GenAI überall integriert, was die Governance umgeht.
Risiken in der Lieferkette
Ein Anbieter mag sicher erscheinen, aber er verlässt sich oft auf Subunternehmer. Empfindliche Unternehmensdaten können durch mehrere unsichtbare Hände gelangen, während die Verantwortung beim Unternehmen bleibt.
Governance-Lücken in Trainingsdaten
Sobald Daten in ein KI-Modell eingegeben werden, endet die Kontrolle effektiv. Unternehmen können nicht leicht zurückrufen oder steuern, wie ihre Informationen verwendet werden.
Risiko durch Anwendungs-Code
KI schreibt zunehmend den Code, der die Geschäftssysteme untermauert. Entwickler, die GenAI-Tools verwenden, könnten unwissentlich unsichere Abhängigkeiten einführen.
Risiken durch GenAI angehen
GenAI ist bereits in die Unternehmensabläufe integriert, daher ist die Frage für Unternehmen nicht, ob sie es einführen sollen, sondern wie sie dies verantwortungsvoll tun können. Die Einführung von GenAI ohne Governance birgt kostspielige Verstöße, regulatorische Strafen und Reputationsschäden.
Fazit
GenAI stellt eine ganz neue Schicht von Risiken und Chancen für Unternehmen dar. Sein Management erfordert die Denkweise, dass Sicherheit kein Hemmnis für Innovation ist, sondern die Grundlage, die sie sicher macht.
