Nun gut, legen wir los. Lassen Sie uns über die explosionsartige Verbreitung von Tools sprechen, die künstliche Intelligenz (KI) einsetzen – und darüber, wie Sie damit die Cybersicherheit in Ihrem Unternehmen verbessern können.
KI-Tools wie Midjourney, Stable Diffusion, Dall-E, ChatGPT, Jasper, LLaMa und Rewind haben sich Innerhalb des letzten Jahres von einem Nischen- zu einem Massenangebot entwickelt. Inzwischen werden ihnen teilweise sogar eigene geistige Eigenschaften zugeschrieben. Wahrscheinlich haben Sie wie ich die einfallsreichen Anwendungsmöglichkeiten für die Forschung, den Kreativbereich und hinsichtlich Produktivität bestaunt. Und wenn Sie eines dieser Tools schon selbst verwendet haben, wissen Sie auch, welche Faszination davon ausgehen kann, sie bei der Arbeit zu beobachten: Wie sie Eingabeaufforderungen interpretieren, Antworten generieren und mithilfe weniger Nutzeraktionen ihre Ergebnisse verfeinern und vertiefen.
Die schnelle und leichte Bedienbarkeit dieser Tools, und zwar unabhängig von den Vorkenntnissen der Nutzer, stellt einen echten Durchbruch dar. Ich persönlich finde die Ergebnisse von Large Language Models weniger überzeugend als ihre visuellen Gegenstücke. Aber in jedem Fall ist der interaktive, „generative“ Prozess bemerkenswert. Gegenüber bestehenden offenen Ressourcen wie Google, StackOverflow und Wikipedia stellen Tools mit generativer KI einen unglaublichen Sprung nach vorn dar, weil sie nutzungsbasierte, auf Interaktionen aufbauende Ergebnisse anstatt allgemeiner Erkenntnisse liefern. Aufgrund ihrer außergewöhnlichen Geschwindigkeit und Agilität bieten sie eine höhere Interaktivität als herkömmliche Methoden für die Suche, den Abruf und die Zusammenfassung von Daten. So werden Informationen auf effektive Weise ins Zentrum der Interaktion gestellt.
Nehmen wir zum Beispiel das folgende Bild, das ich mit Midjourney „erdacht“ habe: „Ein Wandgemälde aus einem früheren Zeitalter, dessen Hieroglyphen eine Zivilisation zu zeigen scheinen, die einen Computer und künstliche Intelligenz nutzt und von einem Feuer beleuchtet wird.“
Bildquelle: Midjourney, KI-generiert – von mir erdacht
Innerhalb von Organisationen und Unternehmen bieten sich unglaubliche Möglichkeiten für den Einsatz von KI-Tools. Wir können sie nutzen, um Computercode zu generieren, Nutzerdokumentation und an die Verbraucherinnen und Verbraucher gerichtete Inhalte zu verfassen, den Kundenservice zu entlasten oder nützlichere Wissensdatenbanken für das Onboarding neuer Mitarbeitender und den organisationsübergreifenden Wissensaustausch zu erstellen. Diese und andere Anwendungsfälle könnten letztendlich Milliarden an neuem Handels- und Geschäftswert generieren.
Zum Spaß habe ich ChatGPT gebeten, eine Unternehmensrichtlinie mit Checklisten für den Chief Information Security Officer zu erstellen. Ziel war es, die aktuellen Sicherheitsrisiken mittels KI-Tools zu überprüfen und eine Zusammenfassung auf einer Seite für den Vorstand und die Führungsriege eines Unternehmens vorlegen zu können. Hier ist die Antwort, die ich erhalten habe.
Wenn es Ihnen wie mir geht, machen Ihnen die offensichtlichen sicherheitsbezogenen und rechtlichen Probleme vermutlich Sorgen, die diese Tools neben ihrem großartigen Potenzial mit sich bringen. Als Führungskräfte sollten wir uns die Frage stellen: „Bin ich auf dem gleichen Stand wie der Rest des Unternehmens hinsichtlich der potenziellen Risiken und Chancen von KI-Technologien?“ Ist das der Fall, lautet die nächste Frage: „Wie stelle ich sicher, dass unser Einsatz dieser Tools keinen schwerwiegenden Schaden anrichtet?“
Wenn ich mit meinen Kolleginnen und Kollegen aus dem Cybersicherheitsbereich spreche, lehnt die Hälfte den Zugang zu diesen Technologien rundheraus ab, während die andere Hälfte ihren Einsatz begrüßt. Es ist nicht das erste Mal, dass ich beobachte, dass man dem Sicherheitsrisiko einer Technologie begegnen möchte, indem man sie vollständig verbannt. IT-Sicherheitsverantwortliche mit einer solchen Haltung stellen aber früher oder später fest, dass sie mit ihrem Unternehmen und ihren Kollegen und Kolleginnen nicht mehr auf einer Wellenlänge sind. Und diese finden in solchen Fällen immer Möglichkeiten, Verbote und Sperren zu umgehen. Deshalb sollte man sich jetzt mit diesen verschiedenen Perspektiven auseinandersetzen, sich nicht der Technikfeindlichkeit hingeben und sich stattdessen bewusst machen, dass die Menschen in Unternehmen diese Tools bereits nutzen. Es gilt, eine Führungsrolle zu übernehmen und den Einsatz dieser Technologie zwar zu erlauben, ihn aber so zu gestalten, dass die damit einhergehenden Risiken so gering wie möglich sind.
Wo sollte man ansetzen? Die Festlegung einiger grundlegender Richtlinien für das eigene Unternehmen kann dazu beitragen, das Risiko zu verringern, ohne das Potenzial von KI-Tools zu beschneiden.
1. Vertrauliche Daten haben in offenen Systemen nichts zu suchen.Es mag offensichtlich sein, soll hier aber noch einmal betont werden: Weder streng regulierte oder kontrollierte Daten noch Quellcode dürfen in ein offenes KI-Modell oder eines, das nicht der eigenen Kontrolle unterliegt, eingespeist werden. Das gilt unter anderem für Informationen zu Kunden und Mitarbeitenden oder andere vertrauliche Daten. Leider finden sich täglich Beispiele für Fälle, in denen genau das passiert. (Zu nennen wäre hier beispielsweise das Quellcode-Leck bei Samsung.) Das Problem ist, dass die meisten Tools für mit generativer KI nicht garantieren, dass die Vertraulichkeit dieser Informationen gewahrt wird. Sie weisen sogar ausdrücklich darauf hin, dass die eingespeisten Daten zur Durchführung von Forschungsarbeiten und zur Verbesserung künftiger Ergebnisse genutzt werden. Unternehmen müssen also zumindest ihre Datenschutzrichtlinien aktualisieren und ihre Mitarbeitenden schulen, damit sensible Informationen keinesfalls in diese KI-Tools gelangen.
2. Wer keine falschen Angaben macht, dem drohen auch keine negativen Konsequenzen. Wenn Sie jemals mit einem KI-Tool interagiert haben, haben Sie vielleicht festgestellt, dass die Antworten auf Eingabeaufforderungen oft ohne Kontext präsentiert werden. Möglicherweise ist Ihnen auch aufgefallen, dass diese Antworten nicht immer richtig sind. Einige beruhen möglicherweise auf veralteten Daten. ChatGPT beispielsweise verwendet Informationen, die bis September 2021 erhoben wurden.
Bildquelle: ChatGPT
Natürlich wissen wir alle, dass der derzeitige britische Premierminister Rishi Sunak heißt und Liz Truss die Nachfolgerin von Boris Johnson war. Die vorliegende Antwort und die aktuellen Schwächen der Technologie mindern die Bedeutung dieser Tools nicht. Doch sie helfen uns, die aktuellen Risiken besser zu verstehen. Das tut auch ein Fall, bei dem Anwälte KI-generierte Inhalte in einem Gerichtsverfahren verwendet haben und feststellen mussten, dass sich die Inhalte auf frei erfundene Fälle bezogen.
3. Unternehmen müssen für eine „offensive KI“ gewappnet sein.Wie bei vielen neuen Technologien haben Angreifer aus dem Cyberspace schnell begonnen, KI-Tools für kriminelle Zwecke einzusetzen. Wie das konkret funktioniert? Ein Angreifer kann beispielsweise ein Bild von Ihnen oder eine Aufnahme Ihrer Stimme im Internet finden und dann mithilfe von KI-Tools ein „Deepfake“ erstellen. Mit dieser gefälschten Version von Ihnen kann er dann z. B. Firmengelder veruntreuen oder Phishing-Angriffe gegen Ihre Kollegen und Kolleginnen ausführen, indem er diese in vermeintlich von Ihnen stammenden Sprachnachrichten nach ihren Anmeldedaten fragt. KI-Tools könnten auch zur Generierung von Schadcode verwendet werden, der schnell lernt und mit der Zeit immer besser darin wird, seine Ziele zu erreichen.
Um sich gegen KI zur Wehr zu setzten, die zu bösartigen Zwecken eingesetzt wird, braucht man möglicherweise … KI. Sicherheitstools, die sich KI und maschinelles Lernen (ML) zunutze machen, können einige gute Schutzmaßnahmen gegen die Schnelligkeit und Raffinesse offensiver KI-Angriffe bieten. Zusätzliche Sicherheitsfunktionen können Unternehmen dabei helfen, die Nutzung von KI-Tools zu überwachen, den Zugriff auf bestimmte Werkzeuge zu beschränken oder die Möglichkeit zum Hochladen sensibler Daten einzuschränken.
Wie können Sie sich also vor den Risiken schützen, die eventuell mit KI-Tools einhergehen? Zunächst sollten Sie sich bewusst machen, dass die KI sich bereits einen Platz erobert hat und nicht wieder verschwinden wird. Die heute verfügbaren Tools für generative KI zeigen das enorme Potenzial dieser Technologie für die Steigerung von Effizienz und Produktivität in Unternehmen und sogar für die firmeninterne Förderung von Kreativität. Als Verantwortliche für Cybersicherheit müssen wir uns aber auch der potenziellen Sicherheitsrisiken bewusst sein, die diese Werkzeuge mit sich bringen können. Durch die Umsetzung der richtigen Richtlinien, die Verbesserung interner Schulungen und in einigen Fällen die Implementierung neuer Sicherheitslösungen lässt sich die Wahrscheinlichkeit verringern, dass diese potenziell leistungsstarken KI-Tools zu einem Problem werden.
Bei Cloudflare haben wir uns für einen Zero Trust-Ansatz entschieden, um unserem Netzwerk und unseren Mitarbeitenden zu erlauben, KI auf sichere Weise einzusetzen. Näheres darüber, wie Cloudflare dies auch anderen Unternehmen ermöglicht, erfahren Sie hier.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Welche neuen Herausforderungen im Hinblick auf die Sicherheit KI-Tools für Unternehmen mit sich bringen
Wo Ihr Unternehmen steht, wenn es um die KI-Revolution geht
Drei Möglichkeiten zur Risikominderung, die das Potenzial von KI-Tools nicht beschneiden