Überwindung von KI-Müdigkeit
KI ist mittlerweile überall in Unternehmen präsent. Viele Sicherheitsverantwortliche fühlen sich zwischen dem Wunsch, voranzukommen, und der Ungewissheit, wo sie beginnen sollen, gefangen. Die Angst, sowohl die Nutzung von KI im Bereich Sicherheit als auch die Absicherung von KI innerhalb der Organisation falsch zu handhaben, hindert oft den Fortschritt, bevor er beginnt.
Im Gegensatz zu anderen großen technologischen Wellen wie Cloud, Mobil und DevOps haben wir jedoch die Möglichkeit, Leitplanken um die KI zu ziehen, bevor sie in jeder Ecke des Unternehmens vollständig verankert ist. Dies ist eine seltene Gelegenheit, die wir nicht verschwenden sollten.
Von KI-Müdigkeit zu dringend benötigter Klarheit
Ein großer Teil der Verwirrung kommt von dem Begriff „KI“ selbst. Wir verwenden dasselbe Etikett, um über einen Chatbot zu sprechen, der Marketingtexte erstellt, und über autonome Systeme, die Vorfälle managen. Technisch gesehen sind beides KI, aber die Risiken sind nicht ansatzweise gleich. Der einfachste Weg, durch den KI-Hype hindurchzukommen, besteht darin, KI in Kategorien zu unterteilen, basierend darauf, wie unabhängig das System ist und wie viel Schaden es anrichten könnte, wenn etwas schiefgeht.
Am einen Ende haben wir generative KI, die nicht eigenständig handelt. Sie reagiert auf Eingaben, erstellt Inhalte und hilft bei der Recherche oder beim Schreiben. Das größte Risiko besteht hier darin, dass Menschen sie auf Weise nutzen, die sie nicht sollten – wie das Teilen sensibler Daten oder das Einfügen proprietärer Codes. Die gute Nachricht ist, dass diese Probleme managebar sind. Klare akzeptable Nutzungsrichtlinien, Schulungen für Mitarbeiter und technische Kontrollen können viele Sicherheitsbedenken bei generativer KI abdecken.
Das Risiko steigt, wenn Unternehmen generative KI in Entscheidungen einbeziehen. Wenn die zugrunde liegenden Daten falsch, vergiftet oder unvollständig sind, sind auch die Empfehlungen, die auf diesen Daten basieren, falsch. Hier müssen Sicherheitsverantwortliche auf die Datenintegrität achten, nicht nur auf den Datenschutz.
Am anderen Ende des Spektrums steht die agentische KI. Hier steigen die Einsätze. Agentische Systeme beantworten nicht nur Fragen – sie treffen Entscheidungen und können sogar Arbeitsabläufe auslösen. Je unabhängiger das System, desto größer der potenzielle Einfluss. Im Gegensatz zur generativen KI können wir uns nicht auf „bessere Eingaben“ verlassen, um das Problem zu beheben.
Wenn eine agentische KI „schlechtes Verhalten“ zeigt, können die Konsequenzen schnell eintreten. Daher müssen Sicherheitsverantwortliche hier proaktiv handeln. Sobald das Unternehmen von autonomen Systemen abhängig wird, ist es fast unmöglich, nachträglich Sicherheitsmaßnahmen zu implementieren.
Warum Sicherheitsverantwortliche jetzt eine Chance haben
Wer lange genug im Sicherheitsbereich tätig ist, hat wahrscheinlich mindestens eine Technologiewelle erlebt, bei der das Geschäft voranschritt und die Sicherheit hinterherlaufen musste. Die Cloud-Einführung ist ein aktuelles Beispiel. Sobald dieser Zug abgefahren ist, gibt es kein Zurück und keine Verlangsamung.
Die KI ist anders. Die meisten Unternehmen – selbst die fortschrittlichsten – sind noch dabei herauszufinden, was sie von KI wollen und wie sie sie am besten einsetzen können. Viele Führungskräfte experimentieren ohne echte Strategie. Dies schafft ein Zeitfenster für Sicherheitsverantwortliche, um frühzeitig Erwartungen zu definieren.
Jetzt ist der Moment, um die „unveränderlichen Regeln“ festzulegen, zu bestimmen, welche Teams KI-Anfragen prüfen und Struktur in die Entscheidungsfindung zu bringen. Sicherheitsleiter haben heute mehr Einfluss als bei früheren Technologieschüben, und die KI-Governance ist schnell zu einer der strategischsten Verantwortlichkeiten in dieser Rolle geworden.
Datenintegrität: Grundpfeiler des KI-Risikos
Wenn über das CIA-Dreieck gesprochen wird, erhält „Integrität“ oft die wenigste Aufmerksamkeit. In den meisten Organisationen wird die Integrität im Hintergrund still behandelt. Doch die KI verändert unser Denken darüber.
Wenn die Daten, die Ihre KI-Systeme speisen, kompromittiert, unvollständig, falsch oder manipuliert sind, können die darauf basierenden Entscheidungen finanzielle Prozesse, Lieferketten, Kundeninteraktionen oder sogar die physische Sicherheit beeinflussen. Die Aufgabe des Sicherheitsverantwortlichen umfasst nun die Gewährleistung, dass KI-Systeme auf vertrauenswürdigen Daten basieren, nicht nur auf geschützten Daten. Diese beiden Aspekte sind nicht mehr dasselbe.
Ein einfacher, gestufter Ansatz zur KI-Governance
Um die verschiedenen KI-Anwendungsfälle zu verstehen, wird ein gestufter Ansatz empfohlen. Dieser spiegelt wider, wie viele Unternehmen bereits mit Drittanbieter-Risiken umgehen: Je höher das Risiko, desto mehr Kontrolle und Prüfung wird angewendet.
Schritt 1: KI-Nutzung kategorisieren
Ein praktisches KI-Governance-Programm beginnt mit der Kategorisierung jedes Anwendungsfalls anhand von zwei Kernmetriken: dem Grad der Autonomie des Systems und seiner potenziellen Auswirkungen auf das Unternehmen. Die Autonomie reicht von reaktiver generativer KI über unterstützte Entscheidungsfindung bis zu agentischen Systemen mit menschlicher Einbindung und schließlich zu vollständig unabhängigen KI-Agenten.
Jeder KI-Anwendungsfall muss hinsichtlich seiner Auswirkungen auf das Unternehmen bewertet werden, wobei die Auswirkungen einfach als niedrig, mittel oder hoch kategorisiert werden. Systeme mit niedrigem Einfluss und niedriger Autonomie benötigen möglicherweise nur eine leichte Aufsicht, während hochautonome und hochwirksame Anwendungsfälle formale Governance, rigorose Architekturüberprüfungen und kontinuierliches Monitoring erfordern – und in einigen Fällen eine explizite menschliche Aufsicht oder die Hinzufügung eines Not-Aus-Schalters.
Schritt 2: Grundlegende Kontrollen für alle KI definieren
Sobald die Risikostufung festgelegt ist, müssen Sicherheitsverantwortliche sicherstellen, dass grundlegende Kontrollen konsequent auf alle KI-Einsätze angewendet werden. Unabhängig von der Technologie muss jede Organisation klare und durchsetzbare akzeptable Nutzungsrichtlinien sowie Schulungen zur Sicherheitsbewusstheit anbieten, die auf KI-spezifische Risiken eingehen.
Schritt 3: Bestimmen, wo die KI-Überprüfung stattfinden wird
Mit diesen Grundlagen müssen Organisationen festlegen, wo die KI-Governance tatsächlich stattfinden wird. Das richtige Forum hängt von der organisatorischen Reife und bestehenden Strukturen ab. Einige Unternehmen integrieren KI-Überprüfungen in einen etablierten Architekturprüfungsausschuss oder ein Datenschutz- oder Sicherheitskomitee; andere benötigen möglicherweise ein eigenständiges, funktionsübergreifendes KI-Governance-Gremium.
Schritt 4: Unantastbare Regeln und kritische Kontrollen festlegen
Bevor ein KI-Anwendungsfall genehmigt wird, muss die Organisation ihre nicht verhandelbaren Regeln und kritischen Kontrollen artikulieren. Dies sind die Grenzen, die KI-Systeme niemals überschreiten dürfen, wie das autonome Löschen von Daten oder das Offenlegen sensibler Informationen. Einige Systeme benötigen möglicherweise eine explizite menschliche Aufsicht, und jede agentische KI, die menschliche Kontrollmechanismen umgehen kann, muss einen zuverlässigen Not-Aus-Schalter enthalten.
Das Prinzip des geringsten Privilegs und die Zero-Trust-Prinzipien sollten ebenfalls auf KI-Systeme angewendet werden, um zu verhindern, dass sie mehr Autorität oder Sichtbarkeit erhalten, als beabsichtigt. Diese Regeln sollten dynamisch sein und sich weiterentwickeln, während die KI-Fähigkeiten und Geschäftsbedürfnisse sich ändern.
Fazit
KI ist nicht mehr optional, aber gute Governance kann ebenfalls nicht optional sein. Sicherheitsverantwortliche müssen keine Experten für maschinelles Lernen werden oder das Geschäft verlangsamen. Was sie brauchen, ist ein klarer, umsetzbarer Weg, um KI-Risiken zu bewerten und die Sicherheit während des Wachstums der Einführung zu gewährleisten. Durch die Unterteilung von KI in verständliche Kategorien, die Kombination mit einem einfachen Risikomodell und die frühzeitige Einbindung der richtigen Personen kann die Überwältigung deutlich reduziert werden.
KI wird jede Ecke des Unternehmens umgestalten. Die Frage ist, wer die KI gestalten wird. Zum ersten Mal seit langem haben Sicherheitsverantwortliche die Möglichkeit, die Regeln festzulegen, anstatt zu versuchen, sie durchzusetzen.
