Mit KI können Unternehmen in atemberaubendem Tempo und Maßstab Anwendungen entwickeln und perfektionieren. Dieser Wandel in der Softwareentwicklung wird durch die schnelle Einführung von generativen KI-Tools wie ChatGPT und GitHub Copilot vorangetrieben.
KI kann unter anderem rasch Code generieren (und das weitgehend präzise), vorhandenen Code bereinigen, nützliche Algorithmen aufspüren, Softwaredokumentation erstellen und den manuellen Programmierprozess beschleunigen.
Einfach ausgedrückt: KI kann ein leistungsstarkes Entwicklungstool sein: Wenn man ihr spezifische, sorgfältig formulierte Anweisungen gibt, kann sie qualitativ hochwertige Ergebnisse liefern, die viel Zeit und Arbeit sparen.
Jede Technologie hat jedoch ihre Grenzen und im Fall von KI haben sich einige ernsthafte Sicherheits- und Datenschutzrisiken gezeigt, die die von ihr gebotenen Effizienzvorteile überwiegen können – von der Unfähigkeit, kritische Fehler zu erkennen, bis hin zur Offenlegung von firmeneigenem Code. Eine Möglichkeit, diese Risiken einzudämmen, ist der Einsatz von Maßnahmen zum Schutz vor Datenverlust (Data Loss Protection – DLP). Dies hilft Unternehmen dabei, die Verschiebung sensibler Daten zu erkennen, Bestimmungen zum Datenschutz und zur Datensicherheit einzuhalten und der Datenexfiltration entgegenzuwirken.
Doch wegen der Neuartigkeit von KI-Tools sind viele herkömmliche Sicherheitslösungen den Risiken und Unwägbarkeiten, die diese Werkzeuge für Unternehmensdaten darstellen, nicht gewachsen. Unternehmen, die KI im Entwicklungsprozess einsetzen möchten, sollten darum zunächst eine KI-resistente Datenschutzstrategie implementieren. Erst dann steht der sicheren Nutzung dieser Tools nichts mehr im Wege. Moderner Datenschutz trägt dazu bei, die Gefährdung vertraulicher Informationen, Verstöße gegen Vorschriften, feindliche Angriffe und den Verlust von geistigem Eigentum zu verhindern.
KI-gestützte Entwicklung kann Unternehmen dabei helfen, Innovationen in großem Stil voranzutreiben. Werden diese Tools jedoch eingesetzt, ohne auf die damit verbundenen Gefahren und Grenzen zu achten, können sie nicht nur den Entwicklungsprozess behindern, sondern den anwendenden Unternehmen sogar Schaden zufügen.
Generative KI-Tools nehmen die ihnen bereitgestellten Informationen auf und verwenden diese Daten dann, um Muster und Strukturen zu erkennen, die es ihnen ermöglichen, neue Inhalte zu generieren. Je mehr Daten diesen Large Language Models (LLMs) zugeführt werden, desto ausgefeilter und umfangreicher werden sie.
Dies wirft wichtige Fragen hinsichtlich der sicheren Nutzung proprietärer Daten auf. So hat beispielsweise Samsung die Verwendung von ChatGPT verboten, nachdem ein Entwickler versehentlich internen Quellcode in das Tool hochgeladen hatte. Auch wenn diese Daten nicht im herkömmlichen Sinne offengelegt wurden, werden Daten, die mit KI-Tools geteilt werden, oft auf Servern gespeichert, die sich der Kontrolle eines Unternehmens entziehen. Als Unternehmen kann man dann nicht mehr steuern, wie diese Daten verwendet und verteilt werden.
Eines der häufigsten Probleme für Unternehmen ist die Art und Weise, wie KI-Plattformen Nutzerdaten sammeln, um ihre LLMs weiter zu trainieren. Beliebte KI-Plattformen wie OpenAI und GitHub Copilot trainieren ihre KI-Modelle anhand der Daten, die sie erhalten – und haben diese Daten bei mehreren Gelegenheiten bei der Erstellung von Ergebnissen für andere Nutzer dieser Plattformen reproduziert. Dies wirft Bedenken hinsichtlich des Datenschutzes auf, wenn urheberrechtlich geschützter Code, sensible Daten oder personenbezogene Informationen (PII) öffentlich zugänglich sind.
Letztendlich verhält sich die gemeinsame Nutzung von Daten mit KI-Plattformen wie die gemeinsame Nutzung von Daten mit jedem anderen Unternehmen. Die Nutzer vertrauen auf die Sicherheit der eingegebenen Daten, ohne zu erkennen, dass die Datensicherheit kein wesentliches Merkmal ist. Und je mehr Daten sie anhäufen, desto lukrativer werden sie als Ziel.
Viele der Lecks im Zusammenhang mit KI-Tools sind unbeabsichtigt entstanden: Ein Entwickler lädt einen Code hoch, der nicht außerhalb der internen Umgebung hätte veröffentlicht werden dürfen, oder ein Unternehmen entdeckt ChatGPT-Antworten, die vertraulichen Unternehmensdaten sehr ähnlich sind.
Andere Fälle von Kompromittierungen sind heimtückischer. FraudGPT und WormGPT sind zwei KI-Tools, die speziell auf gestohlene Daten trainiert wurden, um Phishing-Kampagnen zu erstellen, Malware zu automatisieren und ausgefeiltere und scheinbar menschliche Social-Engineering-Angriffe durchzuführen. Die meisten KI-Plattformen werden zwar überwiegend für nützliche Zwecke eingesetzt, aber die leistungsfähige Technologie, die ihnen zugrunde liegt, kann so trainiert werden, dass sie Angriffe beschleunigt und vorantreibt.
Neben dem Missbrauch gestohlener Daten können harmlosere KI-Tools auch instabilen Code erzeugen. In einer kürzlich durchgeführten Studie wurde festgestellt, dass 40 % des von GitHub Copilot generierten Codes mindestens eine der 25 häufigsten von MITRE identifizierten Schwachstellen enthielt. Die Autoren der Studie stellten fest, dass dies das Ergebnis des Trainings von Copilot auf dem Open-Source-Repository von GitHub war, in das jeder Nutzer Code hochladen konnte.
Schließlich können auch die KI-Tools selbst zum Ziel von Angreifern werden. Kürzlich gab es bei ChatGPT eine Datenschutzverletzung bei der über 100.000 Konten kompromittiert wurden. Dabei wurden Namen, E-Mail- und Zahlungsadressen sowie Kreditkartendaten preisgegeben, ebenso wie vertrauliche Chat-Titel und Nachrichten, die mit dem Tool erstellt wurden.
Die Leichtigkeit, mit der KI-Tools manipuliert werden können, wirft die Frage auf, inwieweit Unternehmen Nutzerdaten beim Einsatz dieser Technologien vollständig schützen können. Ob versehentlich oder böswillig, die Verwendung von KI-Software kann Daten gefährden und zu weitreichenden Compliance-Problemen führen.
So entdeckten Forscher eine kritische Schwachstelle in der KI-Software von Nvidia, die es ihnen ermöglichte, die beabsichtigten Datenschutz- und Sicherheitsbeschränkungen zu umgehen. In weniger als einem Tag gelang es ihnen, das KI-System so zu manipulieren, dass es personenbezogene Daten preisgab.
Um sensible Daten vor KI-Risiken zu schützen, sollte man KI als eine der gefährlicheren Arten von Schatten-IT betrachten. Einfach ausgedrückt: Der Einsatz von KI-Tools von Drittanbietern geht oft mit einem kritischen Mangel an Transparenz darüber einher, wie Daten verarbeitet, gespeichert und verteilt werden.
Da Open-Source-KI-Tools nicht mit Blick auf Sicherheit und Datenschutz entwickelt wurden, liegt es an den Unternehmen, ihre Systeme, ihren Code und die Daten ihrer Nutzer proaktiv vor Missbrauch zu schützen. Ohne den Einsatz von KI komplett zu verbieten, können Unternehmen verschiedene Strategien anwenden, um diese Risiken zu minimieren, z. B:
Bevor Sie neue KI-Tools von Drittanbietern einführen, bewerten Sie die geplanten Anwendungsfälle für KI. Wird KI eingesetzt werden, um natürlichsprachliche Dokumentation vorzuschlagen? um Low-Code- oder No-Code-Softwareanwendungen zu entwickeln? um Schwachstellen im bestehenden Code zu bewerten und beheben? in interne Anwendungen oder für die Öffentlichkeit zugängliche Produkte integriert werden?
Sobald diese Anwendungsfälle priorisiert sind, ist es wichtig, potenzielle Risiken zu bewerten, die durch den Einsatz von KI-Tools entstehen oder verschlimmert werden können. KI-Risiken können äußerst vielfältig sein. Darum müssen Unternehmen klare Richtlinien zur Vermeidung und Behebung von Sicherheitslücken aufstellen. Es kann auch hilfreich sein, auf bestehende Dokumentationen von Sicherheitslücken zu verweisen, die mit einer bestimmten KI-Software zusammenhängen.
Es versteht sich von selbst, dass Unternehmen keinen uneingeschränkten Zugang zu KI gewähren sollten, insbesondere dann nicht, wenn es um geschützte Informationen und Nutzerdaten geht. Abgesehen von Sicherheits- und Datenschutzbedenken stellen sich bei KI-Tools auch Fragen zu Bias und Transparenz, die den Nutzen einer KI-gestützten Entwicklung weiter beeinträchtigen können.
Aus diesem Grund sollten Unternehmen Richtlinien und Protokolle für die Nutzung von KI durch Dritte entwickeln. Legen Sie fest, welche Daten mit KI-Tools geteilt werden können, in welchem Kontext diese Daten geteilt werden können und welche KI-Tools darauf zugreifen dürfen. Untersuchen Sie potenzielle Vorurteile, die KI-Tools mit sich bringen, dokumentieren Sie, wie KI innerhalb des Unternehmens eingesetzt wird, und legen Sie Standards für die Qualität des von KI generierten Outputs fest, der erhoben wird.
KI entwickelt sich ständig weiter und muss daher laufend überwacht werden. Passen Sie beim Einsatz von KI-Modellen bestehende Protokolle und Datenbeschränkungen an neue Anwendungsfälle an. Durch die kontinuierliche Bewertung von KI-generiertem Code und Funktionen können Unternehmen potenzielle Risiken leichter erkennen und die Wahrscheinlichkeit einer Kompromittierung minimieren.
Interne Kontrollen sollten durch regelmäßige Evaluierungen von KI-Tools Dritter ergänzt werden. Immer wieder werden neue Schwachstellen in ChatGPT, Copilot oder anderer KI-Software bekannt. Überprüfen Sie daher die Art der Daten, die in diese Tools eingespeist werden, oder sperren Sie gegebenenfalls den Zugang zu den Tools, bis die Fehler behoben sind.
Herkömmliche Datenschutzlösungen sind nicht anpassungsfähig oder flexibel genug, um mit den sich entwickelnden KI-Datenrisiken Schritt zu halten. Viele herkömmliche Produkte zum Schutz vor Datenverlust (DLP) sind kompliziert einzurichten und zu warten und werden von Nutzern oft als störend empfunden. Dies führt dazu, dass DLP-Kontrollen in der Praxis oft nicht ausreichend genutzt oder ganz umgangen werden. Unabhängig davon, ob sie als eigenständige Plattform oder integriert in andere Sicherheitsdienste eingesetzt werden, sind DLP-Dienste allein oft zu ineffizient und ineffektiv, um gegen die verschiedenen Möglichkeiten des Missbrauchs von KI vorzugehen.
Unternehmen müssen stattdessen in Datenschutztechnologien investieren, die flexibel genug sind, um KI-Risiken abzufedern und geschützte Informationen und Nutzerdaten vor Missbrauch, Kompromittierung und Angriffen zu schützen. Entscheiden Sie sich bei der Evaluierung moderner Datenschutzlösungen für eine Lösung, die so konzipiert ist, dass sie Entwicklercode an allen Standorten, an denen sich wertvolle Daten befinden, schützt und sich gleichzeitig mit den sich ändernden Sicherheits- und Datenschutzanforderungen eines Unternehmens weiterentwickelt.
Unternehmen sind gerade erst dabei zu erkunden, wie und für welche Anwendungsfälle sie generative KI am besten in ihrem Unternehmen einsetzen können. Doch selbst in diesen frühen Tagen der KI ist es bereits zur Offenlegung von Daten gekommen und neue Datenschutzrisiken entstanden. Um diese Risiken effektiv zu minimieren, muss man bereits jetzt Menschen, Prozesse und Technologien strategisch koordinieren.
Cloudflare ist darauf ausgelegt, modernen Datenrisiken wie aufkommenden KI-Tools stets einen Schritt voraus zu sein. Cloudflare One vereint mehrere Datenschutzlösungen auf einer einzigen SSE-Plattform, um die Verwaltung zu vereinfachen, und setzt Kontrollen überall durch – in allen Web-, SaaS- und privaten Umgebungen – und zwar schnell und einheitlich. Da alle Dienste auf dem programmierbaren Netzwerk von Cloudflare basieren, können neue Funktionen schnell entwickelt und an allen 330 Netzwerkstandorten bereitgestellt werden.
Dieser Ansatz hilft Unternehmen bei ihrer Datenschutzstrategie – und ermöglicht folgendes:
Sicherheitsteams können Daten effektiver schützen, indem sie die Konnektivität vereinfachen. Dies umfasst auch flexible Inline- und API-basierte Optionen, um Traffic an Cloudflare zu senden und Datenkontrollen durchzusetzen.
Mitarbeitende werden produktiver durch zuverlässige, konsistente Nutzererfahrungen, die nachweislich schneller als bei anderen Wettbewerbern sind.
Unternehmen können agiler werden, indem sie schnell Innovationen einführen, um die sich entwickelnden Anforderungen an Datensicherheit und Datenschutz zu erfüllen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Holen Sie sich das Whitepaper „SaaS-Anwendungen jetzt einfacher schützen“ und erfahren Sie, wie Unternehmen mit Cloudflare ihre Anwendungen und Daten mit einem Zero Trust-Ansatz schützen können.
Folgende Informationen werden in diesem Artikel vermittelt:
Wie KI proprietäre Daten gefährdet
Wo der herkömmliche Datenschutz versagt
Strategien zur Minimierung von KI-Risiken – bei gleichzeitiger Produktivitätssteigerung
Eine detaillierte Roadmap zum Aufbau einer Zero Trust-Architektur
Infografik: Auswirkungen von modernem Programmieren, KI und der Cloud auf die Datenschutzstrategie