Die schnelle Einführung von GenAI schafft Security-Herausforderungen

Cybersecurity-Teams hinken bei der Einführung von GenAI-Tools hinterher, was es wahrscheinlich macht, dass die Anzahl der Datenverletzungen in den kommenden Wochen und Monaten stark ansteigen wird, insbesondere da die Nutzung von Schatten-KI-Diensten weiter zunimmt.

Eine Umfrage von ManageEngine ergab, dass 70 % der IT-Entscheidungsträger (ITDMs) die unbefugte Nutzung von KI in ihren Organisationen festgestellt haben und 60 % der Mitarbeiter nicht zugelassene KI-Tools häufiger verwenden als vor einem Jahr. Ganze 91 % der Unternehmen haben Richtlinien eingeführt, jedoch haben nur 54 % klare, durchgesetzte KI-Governance-Richtlinien implementiert und überwachen aktiv die unbefugte Nutzung generativer KI-Tools.

85 % berichten außerdem, dass Mitarbeiter KI-Tools schneller übernehmen, als ihre IT-Teams sie bewerten können, wobei 32 % der Mitarbeiter vertrauliche Kundendaten in KI-Tools eingegeben haben, ohne die Genehmigung des Unternehmens einzuholen. Weit über zwei Drittel (37 %) haben private, unternehmensinterne Daten eingegeben. Mehr als die Hälfte (53 %) gab an, dass die Verwendung persönlicher Geräte für arbeitsbezogene KI-Aufgaben einen blinden Fleck in der Security ihres Unternehmens schafft.

Ein separater Bericht von Harmonic Security stellt fest, dass 8,5 % der Mitarbeiteranfragen an generative Tools sensible Unternehmensdaten enthalten. Fast die Hälfte der eingegebenen Daten (48 %) waren Kundendaten, verglichen mit 27 % sensiblen Mitarbeiterdaten.

Die Liste der potenziellen Cybersecurity-Probleme, die über Datenlecks hinausgehen und angegangen werden sollten, umfasst Prompt-Injection-Angriffe, die bösartige Ausgaben generieren oder vertrauliche Daten extrahieren; absichtliche Vergiftung der Daten, die zum Trainieren von KI-Modellen verwendet werden; Cyberangriffe, die speziell auf die KI-Infrastruktur und die Software-Lieferkette abzielen, die zur Erstellung von KI-Modellen verwendet wird; und der Diebstahl von KI-Modellen selbst.

Zum jetzigen Zeitpunkt ist es nicht möglich, die Verwendung generativer KI-Tools zu verbieten. Anstatt auf unvermeidliche Verstöße zu warten, gehen viele Cybersecurity-Teams daher proaktiv vor, um die Verwendung generativer KI zu erkennen, zu überprüfen und zu überwachen. Mit diesen Erkenntnissen ist es dann möglich, eine Reihe von Governance-Richtlinien für eine Reihe von genehmigten generativen KI-Tools und Workflows zu definieren, die von Cybersecurity-Teams geprüft wurden.

Es ist vielleicht nicht möglich, alle Vorfälle zu verhindern, die mit der zunehmenden Verbreitung generativer KI-Tools und -Plattformen auftreten werden, aber hoffentlich lässt sich mit etwas zusätzlicher Schulung die Zahl schwerwiegender Verstöße drastisch eindämmen.

Natürlich ist das nicht das erste Mal, dass Cybersecurity-Experten einer neuen Technologie nachjagen, nachdem das sprichwörtliche Scheunentor geschlossen wurde. In vielerlei Hinsicht ist die Einführung generativer KI-Tools und -Plattformen einfach die neueste Variante von Schatten-Cloud-Computing-Diensten. Der einzige Unterschied ist die Menge der vertraulichen Daten, die geteilt werden, was darauf hindeutet, dass viel zu viele Mitarbeiter noch keine Lehren aus früheren Cloud-Security-Vorfällen gezogen haben, die beispielsweise eine beliebige Anzahl von SaaS-Anwendungen betrafen.

Cybersecurity-Teams müssen bei der Bewältigung von Security-Vorfällen im Zusammenhang mit generativer KI erneut etwas Nachsicht walten lassen, aber es kann auch lehrreiche Momente geben. Schließlich sollte man, wie Winston Churchill einmal bemerkte, eine gute Krise niemals ungenutzt verstreichen lassen.