Risikomanagement

Wie Unternehmen KI-Risiken mitigieren

, SANS Institute

Wie Unternehmen KI-Risiken mitigieren

Von David Hoelzer, Fellow beim SANS Institute

Aktuell dreht sich vieles um den Einsatz von KI auf beiden Seiten, sowohl der Angreifer- wie auch der Verteidigerseite. Doch was müssen Unternehmen nun wirklich tun, um ihre KI-Risiken zu managen und vor allem bei einem Sicherheitsvorfall mitigieren. Viel wurde über Voreingenommenheit und das Risiko negativer Ergebnisse durch KI-Technologie geschrieben und gesagt. Unternehmen geben unvollständige, selektive oder schlichtweg fehlerhafte Daten ein und deshalb übersehen sie möglicherweise andere, größere und gefährlichere Risiken. Diese Risiken sind mit KI-Technologien verbunden, nämlich erhöhte Cybersicherheitsrisiken und potentielle Datenschutzverletzungen.

David Hoelzer, Fellow beim SANS Institute

Experten sagen, dass KI-Technologien das Risiko ausgefeilter Cyberangriffe massiv erhöhen: Selbst einige häufig verwendete Chatbots erleichtern Phishing-Angriffe, erstellen fehlerfreie gefälschte Konten auf Social-Media-Plattformen und sind in der Lage, Viren umzuschreiben, um andere Programmiersprachen anzugreifen. Die Daten, die Unternehmen in diese Technologien eingeben, werden ebenfalls gespeichert und möglicherweise an Dritte weitergegeben.

Unternehmen sollten sich mit den Cybersicherheitsrisiken befassen, die mit KI-Technologien verbunden sind. Gleichermaßen müssen sie untersuchen, welche Schritte Risikomanager unternehmen können, um diese Risiken zu erkennen und zu mindern. Wir befinden uns in einer Phase, in der Führungskräfte verstanden haben, dass sie KI brauchen. Sie wissen weder genau warum, noch haben sie ein klares Verständnis davon, was sie ist. Dies hat zu einer überstürzten Einführung von KI-Lösungen geführt, in der Regel durch die Nutzung von API-Diensten, um die verschiedenen verfügbaren Modelle zu nutzen.

Ein lauerndes und erhebliches Risiko besteht darin, dass Mitarbeiter dann Daten in diese Lösungen einspeisen, ohne sich Gedanken über die Sensibilität oder Geheimhaltung der Daten zu machen. Das Risiko besteht darin, wo diese Daten nun gespeichert werden. Welche Schritte hat der API-Anbieter unternommen, um sicherzustellen, dass diese Daten nicht gespeichert oder protokolliert werden? Könnten diese Daten möglicherweise für künftige Schulungen verwendet oder an Dritte weitergegeben werden, um ein menschliches Feedback zur Verbesserung des Modells durchzuführen? Die Unternehmen können nicht davon ausgehen, dass die API-Anbieter diese Bedenken angemessen berücksichtigt haben. Natürlich besteht auch das Risiko, dass Menschen davon ausgehen, dass die KI richtig liegt. Ich bin mir sicher, dass ich nicht der Einzige bin, der mit Administratoren und IT-Sicherheitsexperten zusammenarbeitet, die ein KI-System zur Lösung eines Problems einsetzen und dann ratlos sind, wenn die von der KI generierte Lösung, der Code oder die Konfiguration nicht funktioniert. In der Regel streikt das System, weil die Aufgabe, die sie zu bewältigen versuchen, mit den ihnen zur Verfügung stehenden Tools nicht möglich ist, egal was die KI ihnen sagt.