Viele Unternehmen erkennen zunehmend den Nutzen generativer KI und streben danach, solche Dienste zu implementieren, um ihre Mitarbeitenden zu unterstützen und Prozesse zu optimieren. Es kommt vor, dass Mitarbeitende bereits einige dieser Tools verwenden, was jedoch, ähnlich wie eine vorschnelle Implementierung, Risiken für den Datenschutz und die Datensicherheit birgt.
Um diese Risiken zu vermeiden, sollten Unternehmen, laut dem IT-Sicherheitsanbieter Forcepoint, zunächst Antworten auf die folgenden sechs Fragen finden:
- Welche KI-Tools dürfen genutzt werden?
- Gibt es Richtlinien zur KI-Nutzung?
- Wurden die Mitarbeitenden geschult?
- Lässt sich die KI-Nutzung auf genehmigte Tools und autorisierte Mitarbeitende beschränken?
- Kann der Abfluss schützenswerter Daten verhindert werden?
- Wie lässt sich Richtlinien-Wildwuchs verhindern?
Welche KI-Tools dürfen genutzt werden?
Unternehmen müssen sorgfältig abwägen, welche Tools überhaupt eingesetzt werden dürfen. Das geht nur in enger Abstimmung zwischen Fachbereichen, IT-Abteilung, Sicherheitsteams, Datenschutzverantwortlichen und Rechtsexperten. Die Fachbereiche schlagen Tools vor oder formulieren funktionale Anforderungen, denn sie kennen ihre spezifischen Herausforderungen im Alltag am besten. Sicherheitsteams, Datenschutzverantwortliche und Rechtsexperten bewerten anschließend die Risiken, etwa ob Datenschutzverletzungen durch Angebote außerhalb der EU drohen, während die IT-Abteilung die Umsetzbarkeit prüft.
Bei Künstlicher Intelligenz den Durchblick behalten!
Das ist nicht immer einfach, doch wir wollen es Ihnen leichter machen! Daher haben wir für Sie einen praktischen Überblick zu den wichtigsten Fragen erstellt: "Künstliche Intelligenz - verständlich erklärt". Damit können Sie Ihr KI-Wissen auffrischen.
Anwendungsbeispiele, Einordnungen und vieles mehr finden Sie in unserem Fokusthema KI.
Gibt es Richtlinien zur KI-Nutzung?
Richtlinien geben den Mitarbeitenden klare Vorgaben an die Hand, welche KI-Tools sie nutzen dürfen und wie sie diese nutzen dürfen. Sie machen unter anderem Vorgaben zum Umgang mit personenbezogenen oder vertraulichen Daten bei der KI-Nutzung. Darüber hinaus ist es unerlässlich, dass die Richtlinien auch genau definieren, für welche Mitarbeitenden und Abteilungen und für welche Tools und Anwendungsbereiche sie gelten.
Und nicht zuletzt klären Richtlinien die Verantwortlichkeiten und Haftungsfragen, etwa wer Entscheidungen rund um KI fällt und für die Einhaltung der Richtlinien verantwortlich ist. Außerdem ist dort festgelegt, was passiert, wenn es zu Datenschutz- oder Sicherheitsverletzungen kommt.
"Die KI-Nutzung braucht Regeln, sonst droht eine Schatten-IT, die Datenschutz und Datensicherheit gefährdet. Und natürlich müssen Unternehmen diese Regeln auch durchsetzen können, um absichtliche oder versehentliche Verstöße zu verhindern."
Fabian Glöser, Team Leader Sales Engineering bei Forcepoint in München
Wurden die Mitarbeitenden geschult?
Mitarbeitenden ist oft gar nicht bewusst, welche Risiken mit der Nutzung von KI-Tools einhergehen oder dass die Tools nicht unfehlbar sind. In Schulungen können sie Erfahrung sammeln und sich eine richtlinienkonforme Nutzung der Tools aneignen. Zudem lernen sie, die Ausgaben der künstlichen Intelligenz zu hinterfragen und zu überprüfen, um darin steckende Vorurteile oder Fehler zu erkennen.
Lässt sich die KI-Nutzung auf genehmigte Tools und autorisierte Mitarbeitende beschränken?
Idealerweise stellen Unternehmen nicht nur Richtlinien zur KI-Nutzung auf, sondern können deren Einhaltung auch technisch kontrollieren und durchsetzen. Unerwünschte KI-Dienste über URL- und DNS-Filter zu blockieren reicht nicht aus, da diese umgangen werden können und es schlicht zu viele alternative KI-Angebote gibt.
Besser ist es, mit einer einheitlichen Sicherheitslösung, die Services wie Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Web Gateway (SWG) umfasst, sicherzustellen, dass nur geprüfte und freigegebene Tools genutzt werden, und das auch nur von autorisierten Mitarbeitenden – unabhängig von deren Gerät oder Standort.
Kann der Abfluss schützenswerter Daten verhindert werden?
Trotz Schulungen kann es im Arbeitsalltag vorkommen, dass Mitarbeitende unachtsam sind und personenbezogene oder vertrauliche Daten eingeben – gerade in stressigen Arbeitsphasen. Datensicherheitslösungen verhindern das, indem sie über Dateneingaben und Uploads wachen und bei Datenschutz- oder Sicherheitsverletzungen einschreiten.
Bei kleineren Verstößen reicht in der Regel ein Warnhinweis, der den Mitarbeitenden auf das Problem aufmerksam macht. Bei schwerwiegenden Verletzungen wird die Übertragung der Daten ins Internet jedoch gesperrt, damit etwa wichtige Finanzdaten oder wertvolles geistiges Eigentum wie Quellcode oder Konstruktionszeichnungen das Unternehmen nicht verlassen.
Voraussetzung dafür ist allerdings, dass Unternehmen einen Überblick über ihren gesamten Datenbestand haben, über alle Speicherorte hinweg. Ein Data Security Posture Management (DSPM) hilft, Sichtbarkeit herzustellen und sensible Daten unternehmensweit zu erkennen, zu klassifizieren und potenzielle Datensicherheitsrisiken proaktiv zu beheben.
Lassen Sie sich von KI-Anwendungsbeispielen inspirieren!
Theorie ist gut, Praxis ist besser. Die Redaktion sucht immer wieder nach interessanten Anwendungsbeispielen und stellt sie Ihnen vor. Finden Sie Ihre KI-Idee:
- Wie Künstliche Intelligenz die Laserbearbeitung optimiert
- Maschinenbau: So bewährt sich KI im Praxiseinsatz
- Das kann künstliche Intelligenz in der Robotik (noch nicht)
- Bosch setzt auf generative KI in der Produktion
Alle Artikel zu künstlicher Intelligenz und Implementierungsmöglichkeiten in der Industrie finden Sie in unserem zugehörigen Fokusthema.
Wie lässt sich Richtlinien-Wildwuchs verhindern?
Unternehmen sollten darauf achten, dass die verschiedenen Sicherheitslösungen optimal zusammenarbeiten und einen einzigen, zentralen Richtliniensatz nutzen. Müssen die Richtlinien in allen Lösungen separat gepflegt werden, verursacht das nicht nur einen enormen Aufwand für das Security-Team, sondern es drohen auch voneinander abweichende Richtlinien, die Lücken im Schutz lassen.
Darüber hinaus hilft ein zentraler Regelsatz für alle Sicherheitslösungen dabei, Datenschutz- und Sicherheitsverletzungen nicht nur bei KI-Tools zu verhindern, sondern über alle Kanäle hinweg, über die Daten das Unternehmen verlassen können, etwa Cloud-Services, SaaS-Dienste, Web, E-Mail, externe Speichermedien und Endgeräte.
Quelle: Forcepoint