Eindämmung der Cyber-Risiken bei der Einführung von KI am Arbeitsplatz

Das Interesse an künstlicher Intelligenz (KI) ist im letzten Jahr sprunghaft angestiegen, da generative KI-Tools wie ChatGPT mit potenziellen Anwendungen für eine wachsende Zahl von Geschäftsfällen auf den Plan getreten sind. Aber es gibt mehr als nur eine müßige Faszination für diese Fähigkeiten: Der Einsatz generativer KI am Arbeitsplatz nimmt rapide zu. Mehr als die Hälfte (56 %) der US-amerikanischen Arbeitnehmer geben an, dass sie zumindest gelegentlich generative KI-Tools bei der Arbeit einsetzen, und fast ein Drittel (31 %) nutzt sie regelmäßig, so eine aktuelle Umfrage des Conference Board[1].

KI-Funktionen im Allgemeinen - und generative KI-Tools im Besonderen - haben das Potenzial, den Arbeitsplatz zu verändern. Produktivitätssteigerungen durch generative KI könnten die Weltwirtschaft jährlich um das Äquivalent von 6,1 Billionen bis 7,9 Billionen Dollar bereichern, so ein aktueller Bericht von McKinsey.[2] Gleichzeitig haben McKinsey und viele andere jedoch auch die großen potenziellen Risiken dokumentiert, die generative KI neben dem erwarteten Produktivitätsschub für Unternehmen mit sich bringt.

Und diese Dualität macht es zu einem großen Problem - insbesondere für diejenigen, die sich mit Cybersicherheit befassen - dass ein Großteil der heutigen KI-Einführung am Arbeitsplatz undokumentiert, unkontrolliert oder sogar unbekannt ist. Nur etwa ein Viertel (26 %) der Befragten der Conference Board-Umfrage gab an, dass ihre Unternehmen über eine KI-Richtlinie verfügen. Schatten-KI - KI-Tools oder -Systeme, die ohne organisatorische Genehmigung oder Aufsicht verwendet oder entwickelt werden - stellt ein Risiko für Unternehmen dar. 

Im Marketing zum Beispiel besteht nachweislich ein Bedarf an Unterstützung bei der Analyse enormer Datenmengen. KI-Tools können Vermarktern helfen, das Signal im Rauschen zu finden. Norman Guadagno, CMO von Mimecast, hat eine einzigartige Perspektive auf dieses Thema. Er ist jemand, dessen Team von den Fortschritten in der KI profitieren kann, der aber auch einen Sitz in der ersten Reihe hat, um die Entwicklung der Cyber-Bedrohungslandschaft zu beobachten. "Es ist wirklich einfach für jeden, sich darauf einzulassen und alle Arten von KI-Tools zu verwenden, ohne sich Gedanken über die Auswirkungen auf die Sicherheit und die potenziellen Sicherheitslücken im Unternehmen zu machen", erklärte Guadagno in einer kürzlich erschienenen Folge des CMO Insights-Podcasts, der von Jeff Pedowitz moderiert wurde. "Aber wir werden erleben, dass bösartige Akteure KI nutzen, um in Unternehmen einzudringen.

Aus diesem Grund führte Guadagno eine Umfrage auf dem KI-Markt durch, um zu verstehen, was es auf dem Markt gibt, und entwickelte dann eine KI-Richtlinie, die vorsieht, dass die Mitglieder des Marketingteams vor dem Einsatz neuer KI-Tools eine Genehmigung einholen müssen. "Jedes Unternehmen, egal welcher Größe, sollte einen zentralen Ansatz für den Einsatz und das Testen von KI-Tools haben", so Guadagno gegenüber Pedowitz. "Wenn Sie nicht über eine zentrale Sichtweise verfügen, einschließlich [Input von] Rechts- oder Compliance-Teams, setzen Sie Ihr Unternehmen möglicherweise einem Risiko aus.

Wie die KI-Nutzung durch Mitarbeiter die Angriffsfläche vergrößert

Die Möglichkeiten, die KI-Funktionen in Bezug auf Produktivität, Innovation und Wachstum bieten, sind unbestreitbar. Laut der Conference Board-Umfrage werden generative KI heute am häufigsten für das Verfassen schriftlicher Inhalte (68 %), für das Brainstorming von Ideen (60 %) und für Hintergrundrecherchen (50 %) eingesetzt. Der McKinsey-Bericht stellt fest, dass der größte Teil des Werts der generativen KI aus Anwendungsfällen in den Bereichen Kundenbetrieb, Marketing und Vertrieb, Software-Engineering sowie Forschung und Entwicklung stammen wird.

Doch was geschieht mit den Informationen, die beispielsweise in Anfragen an ein öffentliches generatives KI-Tool übermittelt werden? Ein großer Elektronikhersteller entdeckte Anfang des Jahres drei verschiedene Fälle, in denen Mitarbeiter durch den Einsatz von generativen KI-Tools bei der Arbeit versehentlich eine Vielzahl sensibler Unternehmensinformationen - einen vertraulichen Geschäftsprozess, interne Besprechungsnotizen und Quellcode - weitergaben.[3] Die Daten, die den großen öffentlichen generativen KI-Tools zur Verfügung gestellt werden, werden für das fortlaufende Training dieser großen Sprachmodellplattformen (LLM) verwendet, damit sie im Laufe der Zeit bessere Leistungen erbringen. Aber vertrauen Sie Ihre Geschäftsgeheimnisse oder Preismodelle einem Dritten an, der nicht vertraglich verpflichtet ist, solche wichtigen Daten zu schützen?

Das ist nur eines der Datenschutzprobleme, die auftauchen, wenn Mitarbeiter mit KI experimentieren. Der ungezügelte Einsatz von KI-Tools kann für Unternehmen eine Reihe potenzieller Cyberrisiken mit sich bringen, darunter:

• Gefährdung durch Daten: KI-Systeme sind auf enorme Datenmengen angewiesen, von denen einige höchst sensibel oder persönlich sind. Ohne angemessenen Schutz - Datenverschlüsselung, Zugangskontrollen und sichere Datenspeicherung - riskiert ein Unternehmen, dass diese Daten Unbefugten zugänglich werden. Wie Neil Thacker, CISO für EMEA und Lateinamerika beim Mimecast-Partner Netskope, gegenüber ComputerWeekly erklärte, macht der zunehmende Einsatz von generativen KI-Tools am Arbeitsplatz Unternehmen anfällig für schwerwiegende Datenlecks[4].
• Datenschutzverletzungen: Cyber-Kriminelle folgen dem Geld. Und Geld kommt von hochwertigen Daten. Da immer mehr Unternehmen generative KI-Tools verwenden, werden böswillige Akteure nach Möglichkeiten suchen, alle hochwertigen Daten abzufangen, die über diese Schnittstellen ausgetauscht werden. "Analog zur Kontoübernahme (ATO), bei der sich ein Hacker in böswilliger Absicht Zugang zu einem Online-Konto verschafft, versuchen Hacker, sich Zugang zu trainierten KI-Modellen zu verschaffen, um das System zu manipulieren und auf unbefugte Transaktionen oder personenbezogene Daten zuzugreifen", schrieb Jackie Shoback, Mitbegründerin einer Risikokapitalfirma, die in Startups im Bereich der digitalen Identität investiert, kürzlich in Forbes. "Da die Komplexität von KI-Lösungen zunimmt, werden zweifellos mehr Schwachstellen in Modellen, Trainingsumgebungen, Produktionsumgebungen und Datensätzen auftreten."[5]
• Angriffe von Angreifern: Eine weitere bekannte Bedrohung ist die absichtliche Manipulation von KI-Modellen mit gefälschten Eingaben. Experten warnen seit langem vor der Gefahr von Angriffen auf KI-Systeme und -Plattformen, die darauf abzielen, deren Modelle und Ergebnisse zu verfälschen. Dennoch haben Forscher kürzlich einen Exploit aufgedeckt, der alle großen generativen KI-Plattformen aus den Angeln heben kann[6]. 
• Insider-Bedrohungen: Je mehr KI in den Geschäftsbetrieb integriert wird, desto mehr Möglichkeiten gibt es für Personen innerhalb eines Unternehmens, ihren Zugang zu nutzen, um Algorithmen oder Modelle für böswillige Zwecke oder monetäre Gewinne zu manipulieren. 

Neue Kontrollen für neue Bedrohungen

Die einzige todsichere Möglichkeit, die mit der KI verbundenen Cyberrisiken zu beseitigen, besteht darin, ihre Verwendung zu verbieten. Einige Unternehmen haben zwar ein Moratorium für bestimmte Arten von KI, wie z. B. generative KI, verhängt, aber für die meisten ist das wahrscheinlich keine nachhaltige Lösung. Stattdessen können Führungskräfte einen Ansatz für die Einführung und Nutzung von KI in Unternehmen entwickeln, der ihrem eigenen Risikoprofil und ihrer Risikobereitschaft entspricht, indem sie die folgenden Schritte unternehmen:

• Einrichten eines KI-Lenkungsausschusses. Die Einrichtung einer Gruppe mit Vertretern aus den Bereichen IT, Cybersicherheit, Daten und Analysen sowie den wichtigsten Geschäftsinteressenten ist ein wichtiger erster Schritt. Dieser Ausschuss kann die KI-Praktiken und -Richtlinien des Unternehmens überprüfen, einschließlich der Nutzung von Tools, der gemeinsamen Nutzung von Daten und der Parameter für die Speicherung und Löschung von Daten, und sie mit dem Risikoprofil und den Toleranzen des Unternehmens abgleichen.
• Durchführung einer grundlegenden AI-Risikobewertung. Als Nächstes ist es wichtig, herauszufinden, welche Arten von Tools und Systemen in der Organisation bereits eingesetzt werden und welche spezifischen Schwachstellen dadurch entstehen könnten. Die Unternehmensleitung kann der Minderung oder Beseitigung dieser Risiken auf der Grundlage einer Risiko-Ertrags-Kalkulation Priorität einräumen. Das vom National Institute of Standards and Technology (NIST) entwickelte KI-Risikomanagement-Rahmenwerk kann Unternehmensleitern dabei helfen, die mit dem Einsatz von KI-Systemen verbundenen Risiken für Cybersicherheit und Datenschutz zu durchdenken[7].
• Entwickeln Sie eine unternehmensweite Richtlinie für den Einsatz von KI. Während 46 % der Befragten, die in der Conference Board-Umfrage angaben, generative KI zu nutzen, auch angaben, dass ihr Management über den Einsatz von KI informiert ist, gaben 34 % an, dass ihr Unternehmen keine KI-Richtlinie hat (und weitere 17 % wussten nicht, ob es eine gibt). Es ist wichtig, dass Unternehmen unternehmensweite Regeln für die Nutzung von KI-Technologien durch die Belegschaft aufstellen - und diese auch kommunizieren (einschließlich der Frage, welche Tools erlaubt sind, welche Daten bei der Nutzung öffentlicher Tools geteilt werden können und welche Angaben Mitarbeiter zu allen mit Hilfe von KI erstellten Materialien machen müssen). So kann ein Unternehmen beispielsweise die Eingabe von personenbezogenen Daten, geistigem Eigentum und Systemcode in generative KI-Tools verbieten und Mitarbeiter daran hindern, solche Tools zu verwenden, bevor sie nicht in deren Verwendung und den damit verbundenen Risiken geschult wurden.
• Festlegung von Cyberstandards für KI-Tools. Wenn Unternehmen die Einführung neuer KI-Tools oder -Plattformen in Erwägung ziehen, sollten sie die Cybersicherheitskontrollen und -praktiken des Anbieters umfassend prüfen. Da KI-Tools so viele Daten erfassen, sind sie ein wertvolles Ziel für Cyberkriminelle, die ihre Schwachstellen ausnutzen wollen. So ist es beispielsweise wichtig zu wissen, ob eine KI-Plattform von vornherein sicher ist und welche Schwachstellen sie haben könnte. "Die Leute gehen hin und teilen Informationen mit KI-Tools, ohne zu wissen, was mit diesen Informationen geschieht", so Guadagno von Mimecast. "Wenn Sie [sensible Daten] Systemen anvertrauen, denen Sie nicht wirklich vertrauen, setzen Sie sich selbst einem Risiko aus. Wenn man sich bei Systemen anmeldet und die Anmeldeprotokolle nicht kennt, ist das Unternehmen potenziell anfällig für bösartige Angriffe.
• Kommunizieren und aufklären. Unternehmen sollten ihre Richtlinien zum Einsatz von KI am Arbeitsplatz allen Mitarbeitern (und Auftragnehmern) mitteilen und sie über die damit verbundenen Cyberrisiken aufklären. Durch die Integration des Themas in regelmäßige Schulungsmodule zur Cybersicherheit wird sichergestellt, dass alle Mitarbeiter über neue Bedrohungen und bewährte Verfahren auf dem Laufenden sind. 
• Überwachen Sie den Zugang und das Nutzerverhalten. Wie immer sollten CISOs Zugangskontrollen durchsetzen und auf Anomalien im Nutzerverhalten achten, um die Risiken von Insider-Bedrohungen zu minimieren.

Die Quintessenz

Es gibt ein außerordentliches Potenzial für Unternehmen, generative KI zur Produktivitätssteigerung zu nutzen, aber dieses Potenzial ist nicht risikofrei. Unternehmen müssen die Risiken, die mit fortschrittlicher KI einhergehen, proaktiv bewerten und angehen. Mit mehr Klarheit ausgestattet, können ein Unternehmen und seine Mitarbeiter diese neuen Fähigkeiten selbstbewusster einsetzen und gleichzeitig die Sicherheit der Unternehmens- und Kundendaten gewährleisten. Lesen Sie mehr darüber, wie Mimecast verschiedene Arten von künstlicher Intelligenz in seinen eigenen Cybersicherheitslösungen einsetzt.

[1 ] "Die Mehrheit der US-Arbeitnehmer nutzt bereits generative KI-Tools - aber die Unternehmensrichtlinien hinken hinterher", The Conference Board

[2 ] "The economic potential of generative AI: The next productivity frontier", McKinsey Digital

[3 ] "Samsung verbietet die Verwendung von generativen KI-Tools wie ChatGPT nach einem internen Datenleck im April", TechCrunch

[4 ] "ChatGPT bereitet den Unternehmen rechtliche und Compliance-Kopfschmerzen", ComputerWeekly

[5 ] "Management von Datenschutz- und Cybersicherheitsrisiken in einer KI-Geschäftswelt", Forbes

[6] "Ein neuer Angriff beeinträchtigt wichtige KI-Chatbots - und niemand weiß, wie man ihn stoppen kann", Wired

[7 ] "AI Risk Management Framework", National Institute of Standards and Technology