KI – Datenschutz ist nicht verhandelbar
Neil Thacker erläutert in seinem Gastbeitrag, wie Unternehmen Transparenz und Kontrolle über SaaS-Anwendungen wie ChatGPT im gesamten Unternehmen erreichen.
Künstliche Intelligenz verändert die Arbeitswelt. In Unternehmen verbreitet sie sich immer weiter. Das Ziel ist die Optimierung alltäglicher Aufgaben und damit die Steigerung der Produktivität für die gesamte Belegschaft.
Laut dem „Cloud & Threat Report: KI im Unternehmen 2024“ von Netskope Threat Labs setzen inzwischen 96 % der Unternehmen generative KI ein – eine Verdreifachung in den letzten zwölf Monaten. ChatGPT und Microsoft Copilot sind die beliebtesten Apps und im Durchschnitt nutzen Organisationen jetzt fast zehn genAI-Apps, im letzten Jahr waren es noch drei. Das oberste 1 % der Unternehmen nutzt bis zu 80 Apps, was das Wachstum der verfügbaren KI-Dienste verdeutlicht. Mehr als ein Drittel der sensiblen Daten, die mit KI-Tools ausgetauscht werden, sind regulierte Daten, zu deren Schutz Unternehmen gesetzlich verpflichtet sind – wie z. B. durch bestehende GDPR-Vorschriften der EU.
Gastautor: Neil Thacker, CISO von Netskope EMEA, verdeutlicht:
„Zweifellos bringen KI-Apps Unternehmen viele Vorteile. Organisationen müssen jedoch erkennen, dass sie ein potenzieller Weg für Datenexfiltration sind und daher eine robuste Datenschutzpolitik benötigen.“
Neil Thacker verfügt über mehr als 25 Jahre Erfahrung in der IT-Security-Branche. Er ist Beiratsmitglied der Cloud Security Alliance (CSA) und ehemaliger Berater der EU-Agentur für Cybersicherheit ENISA. Thacker ist CISSP-, CIPP/E- und CEH-zertifiziert, er spricht und veröffentlicht häufig zu Themen rund um Cybersicherheit, Datenschutz und den Schutz der Privatsphäre.
KI-Plattformen und sensible Daten
Zweifellos bringen KI-Apps Unternehmen viele Vorteile. Organisationen müssen jedoch erkennen, dass sie ein potenzieller Weg für Datenexfiltration sind und daher eine robuste Datenschutzpolitik benötigen. Es besteht ein doppeltes Risiko. Erstens könnten Mitarbeiter Daten mit unsicheren KI- Apps von Drittanbietern austauschen. Zweitens entwickeln und verbessern sich die Algorithmen, die KI-Plattfor- men antreiben, auf der Grundlage der ihnen zugeführten Daten. Ohne sich dessen bewusst zu sein, stellen Unternehmen möglicherweise ihre Daten zur Verfügung, um noch intelligentere KI-Plattformen zu trainieren, die Wettbewerbern Vorteile verschaffen können. Unternehmen müssen kontinuierliche Datenschutzrichtlinien und-Tools einsetzen, um sich zu schützen.
Chief Information Security Officers (CISOs) sollten eine Bestandsaufnahme der in ihrem Unternehmen genutzten KI-Dienste machen und die relevanten Dienste festlegen. Eine anschließende Überprüfung aller Plattformanbieter inkl. der Bewertungen ihrer Datenrichtlinien sowie ein Check, ob sie von Drittanbietern unterstützt werden, ist unerlässlich. Mit der KI-Technologie sind hohe Kosten verbunden. Es liegt nahe, dass kostenlose oder günstige Anbieter ihre Einnahmen auf andere Weise generieren – z. B. durch den Verkauf von Daten. Hier ist eine gründliche Prüfung der Geschäftsbedingungen für CISOs un- umgänglich, um den Schutz sensibler Daten und der Privatsphäre zu gewährleisten. Viele Unternehmen wissen nicht, dass beliebte KI-Apps oft private Abonnements anbieten, bei denen ge- gen eine Gebühr die Kundendaten nicht zur Aktualisierung des öffentlichen Modells verwendet werden. Angesichts der großen und wachsenden Zahl von Plattformen, die in Unternehmen genutzt werden, wäre es jedoch kostspielig und unpraktisch, dies für jede einzelne App zu tun, ohne die künftigen Risiken auszugleichen.
Risiken minimieren
Data-Loss-Prevention (DLP)-Tools müssen eingesetzt werden, um die Sicherheitslücken zu schließen. Ein Beispiel dafür ist SkopeAI für genAI von Netskope, das ein proprietäres System verwendet, um sicherzustellen, dass keine sensiblen Informationen in Eingabeabfragen für KI-Anwendungen ohne die Nutzerzustimmung verwendet werden. Unternehmen sollten binäre „Erlauben oder Sperren“- Richtlinien vermeiden. Stattdessen sollten sie ihre KI-Richtlinien datenorientiert gestalten und sich an „Zero Trust”- Grundsätzen orientieren, indem sie die Nutzung auf Basis von Nutzeridentität, Anwendung, Aktion und Datentyp erlauben. SkopeAI wird selbst von KI betrieben und lernt, sensible Daten auf der Grundlage der persönlichen Präferenzen eines Unternehmens zu erkennen und in Echtzeit zu identifizieren. Unternehmen können neben dem Datenschutzsystem auch ein Just-in-Time- Coaching für ihre Mitarbeiter einführen, das ihnen hilft, die richtigen Entscheidungen zu treffen. Wenn z. B. ein Risiko erkannt wird, könnte eine Pop- up-Meldung erscheinen, die den Mitarbeiter über die Risikostufe der verwen- deten App informiert. Studien zeigen, dass der verhaltensorientierte Ansatz für die Datensicherheit sehr effektiv ist, da unglaubliche 95 % der Vorfälle im Bereich der Cybersicherheit auf menschliches Versagen zurückzuführen sind. Neben technologischen Tools sind die kontinuierliche Schulung und Sensibilisierung der Mitarbeiter unabdingbar.
In Zukunft sicher
Mit der fortschreitenden digitalen Transformation von Unternehmen wird KI enorme Vorteile in Bezug auf Effizienz, Wettbewerbsfähigkeit und Nutzererfahrung bieten. Die Absicherung von genAI bedarf weiterer Investitionen und größerer Aufmerksamkeit, da sich die Nutzung von KI-Tools in Unternehmen durchsetzt und schnell wächst. Unternehmen müssen beachten, dass genAI-Outputs ungewollt sensible Informationen preisgeben, Fehlinformationen verbreiten oder sogar bösartige Inhalte einschleusen können. Das erfordert einen starken Risi- komanagement-Ansatz, um Daten, Ruf und Geschäftskontinuität zu schützen. Die 2012 gegründete Netskope-Plattform bietet Zugangskontrolle und Sicherheit für alle Daten – unabhängig vom Speicherort und der Zugriffsart. Basierend auf maschinellem Lernen und KI, hilft der datenzentrierte Sicherheits- und Netzwerkansatz von Netskope Unternehmen dabei, Zero- Trust-Prinzipien anzuwenden, um Da- ten zu schützen und sich gegen Cyberbedrohungen zu wehren – im Web, in der Cloud und bei privaten Apps.
