KI-Governance beginnt mit Data Governance
Für IT- und Sicherheitsverantwortliche hat KI-Governance mittlerweile hohe Priorität. Mit der zunehmenden Entwicklung weiterer KI-Modelle und Nutzung zusätzlicher KI-Lösungen müssen wir Kontrollen und Richtlinien im richtigen Umfang implementieren, die Risiken minimieren und die Sicherheit unseres Unternehmens gewährleisten.
Es besteht kein Zweifel, dass KI-Governance extrem wichtig ist. Da KI aber auf Daten angewiesen ist, muss KI-Governance mit Data Governance beginnen. Wir brauchen Funktionen für Datenintegrität, Datenschutz und Zugriffskontrolle für die Daten sowie Strategien zur Einhaltung der Datenschutz- und Lokalisierungspflichten.
Verbesserte Data Governance wird nicht nur die mit KI verbundenen Risiken verringern; sie wird uns auch helfen, die Vorteile der KI für unser Unternehmen zu maximieren. Wenn Ihr Unternehmen in KI investiert, kann die Stärkung der Data Governance nicht warten.
________________________________________________________________________
Problemfelder der Data Governance bei KI
Warum ist es so schwierig, die für KI verwendeten Daten zu kontrollieren? In den meisten Fällen stehen die Unternehmen vor denselben Herausforderungen im Bereich der Data Governance wie schon seit Jahren. Die Verwendung von Daten für die Erstellung von KI-Modellen sorgt jedoch für zusätzliche Komplexität, wie zum Beispiel:
Erhalt der Datenintegrität
Damit KI-Modelle die richtigen Antworten ausgeben können, benötigen sie vollständige, genaue und einheitliche Daten. Es kann jedoch schwierig sein, diese Daten zu aggregieren und ihre Integrität während ihres gesamten Lebenszyklus zu wahren.
Um die Datenintegrität zu gewährleisten, müssen Unternehmen einen mehrstufigen Ansatz verfolgen, der vor Datenbeschädigung, Verlust, Verstößen und anderen Risiken schützt. Dieser Ansatz sollte den Zugriff auf Daten und Modelle streng kontrollieren, um versehentliche oder absichtliche Korruption zu verhindern. Um eine Modellabweichung zu vermeiden, ist es außerdem wichtig, dass die für das Training verwendeten Daten mit den Daten übereinstimmen, die bei der Bereitstellung des Modells verwendet wurden.Wahrung von Datenschutz und Vertraulichkeit
Die Grundlage für eine solide Data Governance-Strategie beginnt mit dem Wissen, wo sich die Daten befinden. Datenschutz und Vertraulichkeit zu gewährleisten, ist schwieriger, wenn die Daten das Unternehmen verlassen haben. Und wenn Sie Ihre Daten zum Training großer KI-Modelle beitragen, verlassen diese mit ziemlicher Sicherheit Ihr Unternehmen.
Stellen Sie sich vor, die 20 wichtigsten Sicherheitsunternehmen beschließen, die Daten ihrer Security Operations Center (SOC) freizugeben, um ein externes Modell zu trainieren. Dieses in einer Public Cloud gehostete Modell könnte hochpräzise und aufschlussreiche Erkenntnisse liefern. Allerdings würden die Daten all dieser Unternehmen miteinander vermischt, sodass es unglaublich schwierig wäre, sicherzustellen, dass sensible Informationen jedes einzelnen Unternehmens vollständig geschützt bleiben.Kontrolle des internen Zugriffs auf interne KI-Modelle
Die Erstellung interner Modelle ist viel ungefährlicher als die Bereitstellung von Daten für externe Modelle. Mit internen Modellen können Sie besser verhindern, dass externe Personen oder Unternehmen auf Ihre Daten zugreifen. Dennoch müssen Sie den internen Zugriff auf Ihre Modelle kontrollieren.
Sie könnten zum Beispiel ein internes KI-Modell für die Personalabteilung erstellen. Das Personalteam möchte vielleicht einen KI-Chatbot einsetzen, um Fragen von Mitarbeitenden zu beantworten, oder KI zur Optimierung von Gehaltsabrechnungs- oder Verwaltungsaufgaben einsetzen. Da HR-Daten sehr sensible Informationen über Mitarbeitende enthalten, wie die Höhe der Vergütung der einzelnen Mitarbeitenden, müssten Sie sehr vorsichtig sein, wenn es darum geht, den internen Zugriff auf diese Daten und die Modelle zu kontrollieren, die trainiert werden.
Einhaltung von Verpflichtungen zur Datenlokalisierung und -souveränität
Gesetze zur Datenlokalisierung Datensouveränität stellen eine weitere Herausforderung für KI- und Data Governance dar. Große KI-Modelle werden oft in öffentlichen Clouds trainiert, die über die für das Training erforderlichen Rechen- und Speicherressourcen verfügen. Public Cloud-Rechenzentren sind jedoch nicht immer in den Ländern oder Regionen verfügbar, in denen sich die Daten befinden sollen. Daher benötigen Unternehmen Möglichkeiten, um Modelle innerhalb bestimmter Rechtsordnungen zu trainieren und auszuführen.
Vier wesentliche Elemente für die Stärkung von Data Governance
Die Implementierung einer effektiven Data Governance ist seit mindestens 20 Jahren ein zentrales Ziel für IT- und Sicherheitsteams. Die Siegeszug der KI unterstreicht die Notwendigkeit einer starken Data-Governance-Strategie, die alle Phasen des Datenlebenszyklus umfasst. Diese Strategie sollte Funktionen nutzen, die Datenintegrität gewährleisten, Datenverluste verhindern, den Zugriff auf Daten und Modelle kontrollieren und die Vorschriften zur Datenlokalisierung einhalten.
Erhalt der Datenintegrität
Wie lässt sich das Risiko verringern, dass Daten so verändert werden, dass die Modelle beeinträchtigt werden? Die Verschlüsselung von Daten und die Anwendung eines Zero Trust-Modells können helfen, unbefugte Änderungen zu verhindern, welche die Datenintegrität gefährden. In Prüfprotokollen kann man nachverfolgen, wohin die Daten übertragen werden, wer mit ihnen in Berührung kommt und welche Änderungen vorgenommen wurden.Verhindern von Datenexfiltration
Funktionen zum Schutz vor Datenverlust (Data Loss Prevention, DLP) sind der Schlüssel, um zu erkennen bzw. zu verhindern, dass Daten Ihr Unternehmen verlassen – und womöglich als Input für ein nicht genehmigtes KI-Modell verwendet werden.
Unternehmen benötigen auch Tools, die SaaS-Apps daran hindern, interne Daten zu sammeln und zu verwenden, um die externen Modelle der Anwendungsanbieter zu trainieren. Bei einem der Unternehmen, bei denen ich der CISO war, hat ein Anwendungsanbieter eine Richtlinie erstellt, die besagt, dass alles, was Nutzer in die App eingeben, in das Large Language Model (LLM) des Anbieters integriert werden darf. Ich verstand, warum der Anbieter das tun wollte: Sicherlicht könnte es ihm helfen, sein Produkt zu verbessern. Wenn wir beispielsweise KI verwenden würden, um unsere internen Support-Tickets zu beantworten, würden wir Daten über die häufigsten Anfragen in unserem Unternehmen erheben wollen.
Dennoch möchten wir nicht, dass potenziell sensible Informationen unser Unternehmen über die App eines anderen Anbieters verlassen. Der Einsatz eines Cloud Access Security Broker (CASB) in Kombination mit einer KI-Firewall kann helfen, diese Art von Datenverlust zu verhindern.Kontrolle des Zugriffs
Präzise Funktionen zur Zugriffskontrolle können dazu beitragen, die Datenintegrität zu gewährleisten und sensible Informationen zu schützen, die für interne Modelle verwendet werden. Im Gegensatz zu herkömmlichen VPNs können Zero Trust-Funktionen dazu beitragen, dass nur die richtigen Personen auf bestimmte Daten zugreifen können.
Warum ist ein fein abgestimmter Zugriff so wichtig? Lassen Sie uns auf den Einsatz von KI in der Personalabteilung zurückkommen: Vielleicht nutzt Ihr Unternehmen KI, um die Leistungsbeurteilung zu optimieren und Empfehlungen für die Vergütung auszusprechen. Vielleicht möchten Sie, dass ein Vorgesetzter seine eigenen Vergütungsdaten und die Vergütungsdaten seiner direkt unterstellten Mitarbeitenden sieht, aber nicht die aller anderen. Die richtigen Zero Trust-Funktionen können Ihnen dieses Maß an Kontrolle geben.Einhaltung der Regeln zur Datenlokalisierung
Mit den richtigen Lokalisierungskontrollen können Sie entscheiden, wo Daten geprüft werden, und sicherstellen, dass Daten und Metadaten eine bestimmte Weltregion nicht verlassen. Zum Beispiel könnten Sie über Protokoll-Metadaten verfügen, die IP-Adressen von Nutzern enthalten, die in der EU als personenbezogene Daten gelten. Diese Metadaten müssen in der EU bleiben. Mit den richtigen Kontrollen zur Datenlokalisierung würde sichergestellt werden, dass diese nicht zum Training eines Modells in den USA verwendet werden.
Mit einer Connectivity Cloud in die Zukunft
Wir befinden uns an einem kritischen Punkt in der Entwicklung der KI, da Unternehmen Modelle entwickeln und betreiben, die unsere Welt in den nächsten 20 bis 30 Jahren umgestalten könnten. Um sicherzustellen, dass wir KI-Modelle weiterhin sicher trainieren und betreiben können – ohne Daten preiszugeben, die Genauigkeit der Modelle zu beeinträchtigen oder die Einhaltung von Vorschriften zu gefährden – müssen wir jetzt damit beginnen, die Data Governance zu stärken.
Für viele Unternehmen kann eine Connectivity Cloud der beste Weg zur Verbesserung der Data Governance sein, da sie so die Kontrolle über die Daten während ihres gesamten Lebenszyklus zurückgewinnen können. Mit einer einheitlichen Plattform mit Cloud-nativen Diensten können Unternehmen die benötigten Funktionen für Datenschutz, Sicherheit und Datenlokalisierung anwenden und gleichzeitig die Komplexität der Verwaltung mehrerer unterschiedlicher Tools vermeiden.
Eine bessere Kontrolle der Daten wird es uns ermöglichen, leistungsfähigere KI-Modelle und Anwendungen zu entwickeln. Wir können sicherstellen, dass wir heute – und in der Zukunft – genaue Ergebnisse liefern und Risiken minimieren.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Erfahren Sie im Leitfaden „Ein Leitfaden zur Entwicklung einer skalierbaren KI-Strategie für CISO“ mehr darüber, wie Sie den Einsatz von KI im Unternehmen unterstützen und gleichzeitig die Sicherheit gewährleisten können.
Autor
Grant Bourzikas — @grantbourzikas
Chief Security Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Warum erfolgreiche KI-Governance auf eine starke Data Governance angewiesen ist
Vier zentrale Herausforderungen bei der Verwaltung von Daten, die für KI verwendet werden
Strategien zur Stärkung der Data Governance