Unternehmen und der Einsatz von generativer KIFragen gehören im Vorfeld geklärt
11. September 2024Ehe Unternehmen generative Künstliche Intelligenz (KI) einführen, sollten sie einige Fragen klären, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden.
Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten. Oft nutzen die Mitarbeiter sogar schon einige Tools – was ebenso wie eine überhastete Einführung mit Risiken insbesondere für Datenschutz und Datensicherheit verbunden ist.
Um diese Risiken zu vermeiden, sollten Unternehmen zunächst Antworten auf die folgenden Fragen finden:
- Welche KI-Tools dürfen genutzt werden? Unternehmen müssen sorgfältig abwägen, welche Tools überhaupt eingesetzt werden dürfen. Das geht nur in enger Abstimmung zwischen Fachbereichen, IT-Abteilung, Sicherheitsteams, Datenschutzverantwortlichen und Rechtsexperten. Die Fachbereiche schlagen Tools vor oder formulieren funktionale Anforderungen, denn sie kennen ihre spezifischen Herausforderungen im Alltag am besten. Sicherheitsteams, Datenschutzverantwortliche und Rechtsexperten bewerten anschließend die Risiken, etwa ob Datenschutzverletzungen durch Angebote außerhalb der EU drohen, während die IT-Abteilung die Umsetzbarkeit prüft.
- Gibt es Richtlinien zur KI-Nutzung? Richtlinien geben den Mitarbeitern klare Vorgaben an die Hand, welche KI-Tools sie nutzen dürfen und wie sie diese nutzen dürfen. Sie machen unter anderem Vorgaben zum Umgang mit personenbezogenen oder vertraulichen Daten bei der KI-Nutzung. Darüber hinaus ist es unerlässlich, dass die Richtlinien auch genau definieren, für welche Mitarbeiter und Abteilungen und für welche Tools und Anwendungsbereiche sie gelten. Und nicht zuletzt klären sie Verantwortlichkeiten und Haftungsfragen, etwa wer Entscheidungen rund um KI fällt und für die Einhaltung der Richtlinien verantwortlich ist – und was passiert, wenn es zu Datenschutz- oder Sicherheitsverletzungen kommt.
- Wurden die Mitarbeiter geschult? Den Mitarbeitern ist oft gar nicht bewusst, welche Risiken mit der Nutzung von KI-Tools einhergehen oder dass die Tools nicht unfehlbar sind. In Schulungen können sie Erfahrung sammeln und sich eine richtlinienkonforme Nutzung der Tools aneignen. Zudem lernen sie, die Ausgaben der KI zu hinterfragen und zu überprüfen, um darin steckende Vorurteile oder Fehler zu erkennen.
- Lässt sich die KI-Nutzung auf genehmigte Tools und autorisierte Mitarbeiter beschränken? Idealerweise stellen Unternehmen nicht nur Richtlinien zur KI-Nutzung auf, sondern können deren Einhaltung auch technisch kontrollieren und durchsetzen. Unerwünschte KI-Dienste über URL- und DNS-Filter zu blockieren reicht nicht aus, da diese umgangen werden können und es schlicht zu viele alternative KI-Angebote gibt. Besser ist es, mit einer einheitlichen Sicherheitslösung, die Services wie Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Web Gateway (SWG) umfasst, sicherzustellen, dass nur geprüfte und freigegebene Tools genutzt werden, und das auch nur von autorisierten Mitarbeitern – unabhängig von deren Gerät oder Standort.
- Kann der Abfluss schützenswerter Daten verhindert werden? Trotz Schulungen kann es im Arbeitsalltag vorkommen, dass Mitarbeiter unachtsam sind und personenbezogene oder vertrauliche Daten eingeben – gerade in stressigen Arbeitsphasen. Datensicherheitslösungen verhindern das, indem sie über Dateneingaben und Uploads wachen und bei Datenschutz- oder Sicherheitsverletzungen einschreiten. Bei kleineren Verstößen reicht in der Regel ein Warnhinweis, der den Mitarbeiter auf das Problem aufmerksam macht. Bei schwerwiegenden Verletzungen wird die Übertragung der Daten ins Internet jedoch gesperrt, damit etwa wichtige Finanzdaten oder wertvolles geistiges Eigentum wie Quellcode oder Konstruktionszeichnungen das Unternehmen nicht verlassen. Voraussetzung dafür ist allerdings, dass Unternehmen einen Überblick über ihren gesamten Datenbestand haben, über alle Speicherorte hinweg. Ein Data Security Posture Management (DSPM) hilft, Sichtbarkeit herzustellen und sensible Daten unternehmensweit zu erkennen, zu klassifizieren und potentielle Datensicherheitsrisiken proaktiv zu beheben.
- Wie lässt sich Richtlinien-Wildwuchs verhindern? Unternehmen sollten darauf achten, dass die verschiedenen Sicherheitslösungen optimal zusammenarbeiten und einen einzigen, zentralen Richtliniensatz nutzen. Müssen die Richtlinien in allen Lösungen separat gepflegt werden, verursacht das nicht nur einen enormen Aufwand für das Security-Team, sondern es drohen auch voneinander abweichende Richtlinien, die Lücken im Schutz lassen. Darüber hinaus hilft ein zentraler Regelsatz für alle Sicherheitslösungen dabei, Datenschutz- und Sicherheitsverletzungen nicht nur bei KI-Tools zu verhindern, sondern über alle Kanäle hinweg, über die Daten das Unternehmen verlassen können, etwa Cloud-Services, SaaS-Dienste, Web, E-Mail, externe Speichermedien und Endgeräte.
Die KI-Nutzung braucht Regeln, sonst droht eine Schatten-IT, die Datenschutz und Datensicherheit gefährdet. Natürlich müssen Unternehmen diese Regeln auch durchsetzen können, um absichtliche oder versehentliche Verstöße zu verhindern.
Fabian Glöser ist Team Leader Sales Engineering bei Forcepoint.