Vedran Vujasinović, Setcor: Wir müssen sicherstellen, dass alle Algorithmen transparent sind

Mit der zunehmenden Verbreitung von künstlicher Intelligenz stellt sich die Frage nach den Sicherheitsherausforderungen bei ihrer Nutzung. Vedran Vujasinović, Direktor der Direktion für Informationssicherheit bei Setcor, warnt, dass Unternehmen auch bei der Nutzung von KI sehr vorsichtig sein müssen.

Wie sollten wir künstliche Intelligenz aus sicherheitstechnischer Sicht betrachten?

– Die größte Sicherheitsherausforderung besteht darin, sicherzustellen, dass KI-Modelle nicht zum Nachteil der Nutzer missbraucht werden können, während gleichzeitig angestrebt wird, intelligente Systeme zu entwickeln, die den gleichen Kategorien wie Menschen ausgesetzt sind, wie Ethik, Altruismus und Manipulation. Künstliche Intelligenz sollte beispielsweise keine Anleitungen geben, wie man in ein Fahrzeug einbricht, aber was ist, wenn die Frage im Kontext der Rettung eines gefährdeten Kindes gestellt wird, das dringend ins Krankenhaus gebracht werden muss? Es ist daher notwendig, sicherzustellen, dass KI-Systeme korrekte und ethische Entscheidungen treffen.

Wie können wir Risiken im KI-Umfeld, wie das Leck vertraulicher Daten, verhindern?

– Sicherheitsrisiken können aus mehreren Perspektiven betrachtet werden. Erstens können Mitarbeiter versehentlich oder absichtlich die vertraulichen Informationen des Unternehmens preisgeben, indem sie diese in generative KI wie ChatGPT eingeben, indem sie beispielsweise darum bitten, eine Präsentation basierend auf einem Dokument mit vertraulichen Informationen zu erstellen. Zweitens kann KI Inhalte wie Code, Bilder oder Dokumente generieren, deren Quelle wir nicht kennen, und Mitarbeiter könnten diese unbestätigten Inhalte sorglos in ihre Anwendungen, Unterstützungssysteme oder Produktionssysteme integrieren.

Drittens können Hacker und Kriminelle KI nutzen, um perfekt gestaltete gefälschte Phishing-E-Mails zu erstellen, die Schutzmechanismen umgehen und ihr Ziel erreichen, wodurch sie auf vertrauliche Daten zugreifen. Auf diese Weise können Angreifer ohne vorherige Erfahrung KI für effektive Angriffe nutzen, was eine erhebliche Sicherheitsherausforderung darstellt. Daher ist es wichtig, Maßnahmen zu ergreifen, um sicherzustellen, dass die Daten, die zum Trainieren von KI-Modellen verwendet werden, überprüft und sicher sind, dass Algorithmen transparent sind, dass die Entscheidungsfindung nachverfolgt werden kann und dass KI-Modelle nicht für Angriffe oder unbefugte Datensammlungen missbraucht werden können.

Wie können generative KI-Anwendungen sicher übernommen werden?

– Heute möchten viele Unternehmen KI-Technologie nutzen, um Produktivität, Kreativität und Geschäftswert zu steigern, aber viele vergessen die Risiken, die unkontrollierter Zugang zu KI tatsächlich mit sich bringt. Kann ein Unternehmen beispielsweise seinen Mitarbeitern erlauben, geheimen Quellcode über KI ins Internet zu senden? Weiß das Unternehmen überhaupt, dass dies geschieht?

Um generative KI-Anwendungen sicher zu übernehmen, ist es notwendig, einen Überblick über den aktuellen Stand der Nutzung von KI-Anwendungen im Unternehmen zu haben und Entscheidungen und Richtlinien darüber zu treffen, was erlaubt ist und was nicht. Wenn wir KI bereits akzeptieren, müssen wir sicherstellen, dass alle Algorithmen transparent sind und dass nachverfolgt werden kann, wie Entscheidungen in der generativen KI-Anwendung getroffen werden. Schließlich ist es bei der Übernahme von generativer KI für interne Anwendungen notwendig, die Anwendung vor der Nutzung zu testen und zu überprüfen.

Warum wird Zero Trust zur Grundlage der Cybersicherheit?

– Aus mehreren Gründen. Traditionelle Sicherheitsmodelle basieren auf Perimeterschutz, was bedeutet, dass alles hinter der Firewall als sicher innerhalb des Netzwerks betrachtet wird. Dieser Ansatz ist jedoch in der heutigen Umgebung, in der immer mehr Geschäftsanwendungen und Daten in der Cloud sind, nicht effektiv. Der Zero Trust-Ansatz hingegen basiert auf der Idee, dass jede Aktivität, ob innerhalb oder außerhalb des Netzwerks, als unsicher betrachtet wird, bis das Gegenteil bewiesen ist.

Das bedeutet, dass jede Aktivität strengen Authentifizierungs- und Autorisierungsüberprüfungen unterliegt. In Kombination mit Überprüfungen auf bösartigen Code oder vollständiger Inhaltsisolierung erhöht der Zero Trust-Ansatz nicht nur die Systemsicherheit, sondern verbessert auch die Flexibilität und Effizienz, während er vollständige Zugriffskontrolle aufrechterhält und den Mitarbeitern ein Gefühl der Sicherheit in ihrer Arbeit vermittelt.

Welche Sicherheitslösungen sind am besten für Unternehmer?

– Im Kontext von generativer KI umfasst dies unvermeidlich Lösungen zur Sichtbarkeit und Kontrolle sensibler Daten, wie Data Loss Prevention (DLP) und Cloud Access Security Broker (CASB)-Lösungen (zum Beispiel Broadcom/Symantec). Diese Lösungen ermöglichen es Unternehmern zu sehen, wer KI-Dienste nutzt, zu kontrollieren, wer Zugang zu diesen Diensten hat, und alle Anfragen an ChatGPT oder andere KI-Tools auf sensible Inhalte zu überprüfen. Sie können auch Bilder, die an KI gesendet werden, mithilfe von OCR überprüfen, um Datenlecks in Fotografien zu verhindern. Das Sicherheitsbewusstsein der Mitarbeiter wird jedoch wichtiger denn je, da es zunehmend schwieriger wird, computer-generierte Inhalte von verfassten Inhalten zu unterscheiden.

*In Zusammenarbeit mit Setcor erstellter Inhalt