Zeit für diesen überfälligen KI-Chat ist jetzt

Die Zeit, in der Cybersecurity-Experten mit Unternehmensleitern über die Notwendigkeit von Kontrollen und Prozessen zur Sicherung von Plattformen und Diensten mit künstlicher Intelligenz sprechen sollten, ist nun offiziell überfällig.

Wie üblich reagieren die Cybersecurity-Teams wieder einmal auf eine neue Technologie, die ohne viel Rücksicht auf die Auswirkungen auf die Cybersicherheit eingesetzt wird. Die Herausforderung besteht darin, dass Plattformen wie ChatGPT für Endnutzer leicht zugänglich sind, die sich der potenziellen Risiken nicht immer bewusst sind. Einige Organisationen sind sogar so weit gegangen, die Nutzung dieser Dienste zu verbieten, bis sie einige Kontrollen eingeführt haben, aber wie immer verschärfen Cloud-Dienste die Schatten-IT-Herausforderungen weiter.

Das unmittelbarste Problem besteht darin, sicherzustellen, dass sensible Daten nicht in eine Eingabeaufforderung gelangen, die zur Generierung von Text, Code und bald auch Video verwendet wird. Während die Anbieter generativer KI-Dienste bei entsprechender Einstellung garantieren, dass die in einer Eingabeaufforderung verwendeten Daten nicht zum Trainieren der nächsten Iteration ihrer KI-Modelle verwendet werden, lesen die meisten Endbenutzer die Nutzungsbedingungen nicht so genau. Tatsächlich hat die Federal Trade Commission Anbieter von KI-Diensten gerade davor gewarnt, diese Geschäftsbedingungen zu einem späteren Zeitpunkt zu ändern, um Zugriff auf diese Daten zu erhalten.

Natürlich werden versierte Cybersicherheitsteams die Einhaltung der Geschäftsbedingungen nicht dem Zufall überlassen. Es gibt bereits mehrere Varianten von Tools zur Verhinderung von Datenverlusten (DLP), die speziell dafür entwickelt wurden, um sicherzustellen, dass sensible Daten wie Sozialversicherungsnummern oder, noch schlimmer, geschütztes geistiges Eigentum nicht in eine Eingabeaufforderung gelangen.

Schwieriger wird es, wenn Unternehmen beginnen, mithilfe ihrer eigenen Daten ein großes Sprachmodell (LLM) anzupassen oder zu erstellen. Die erstellten KI-Modelle gehören zum wertvollsten geistigen Eigentum eines Unternehmens. Es ist also nur eine Frage der Zeit, bis Cyberkriminelle Phishing-Angriffe starten, um Anmeldedaten zu stehlen, die ihnen den Zugang ermöglichen. Sobald sie diese Zugangsdaten haben, können sie sich damit begnügen, einen Ransomware-Angriff zu starten, um wertvolle Daten zu verschlüsseln oder den Datenpool zu vergiften, der zum Trainieren eines KI-Modells verwendet wird, um sicherzustellen, dass es zufällig halluziniert.

Schlimmer noch: Sie könnten einfach das gesamte LLM stehlen und es dann an den Meistbietenden verkaufen, den sie im Dark Web finden können.

Leider verfügen die Data-Science-Teams, die KI-Modelle entwickeln, nicht über viel Fachwissen im Bereich Cybersicherheit. Daher neigen sie zu Fehlern, die sich leicht als verheerend erweisen können, wenn sich herausstellt, dass ein KI-Modell entweder kompromittiert ist oder in böser Absicht verwendet wird. Ähnlich wie Anwendungsentwickler, denen es an Cybersecurity-Fachwissen fehlt, um sichere Anwendungen zu entwickeln und bereitzustellen, müssen sich Datenwissenschaftler auf Cybersecurity-Experten verlassen, die ihnen dabei helfen, die Arbeitsabläufe des maschinellen Lernens (MLOps) zu sichern, die zur Erstellung von Modellen verwendet werden.

Das National Cyber Security Centre für das Vereinigte Königreich hat diesen Monat einen Leitfaden veröffentlicht, den Cybersicherheitsteams nutzen können, um Gespräche mit Unternehmensleitern über die Art der Bedrohungen zu führen, denen ein Unternehmen bei der Einführung von KI wahrscheinlich ausgesetzt sein wird. Dieser Leitfaden basiert auf einer Reihe von Best Practices für die Sicherung von KI-Umgebungen, die in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency (CISA) erstellt und Ende des letzten Jahres veröffentlicht wurden.

Natürlich sind viele Führungskräfte in einer Welle irrationaler KI-Überschwänglichkeit gefangen, also wird es nicht immer einfach sein, sie dazu zu bringen, sich die nötige Zeit zu nehmen, um die Auswirkungen der Cybersicherheit zu verstehen. Allerdings ist es nach wie vor Teil der Stellenbeschreibung im Bereich Cybersicherheit, der Erwachsene im Raum zu sein.