Unbekannte Daten sind ein unterschätztes Risiko – für Datenschutz, IT-Sicherheit und den verantwortungsvollen KI-Einsatz gleichermaßen. Wie Unternehmen mit Data Discovery und Datenklassifizierung Transparenz schaffen, erklärt Fabian Glöser, Manager Sales Engineering Nordics, Central & Eastern Europe bei Forcepoint, im Interview.
Bis zu 80 Prozent der Daten von Unternehmen gelten als Dark Data – sind also Daten, von denen Unternehmen gar nicht so genau wissen, was sie da gespeichert haben. Warum ist das problematisch?
Fabian Glöser: Dieser riesige Berg an unbekannten Informationen enthält üblicherweise viele sensible Daten. Das können personenbezogene Daten sein oder firmenspezifische Daten wie Strategiepapiere, Verträge, Kundenlisten, Angebotskalkulationen, Quellcode und Konstruktionszeichnungen. Für all das gibt es interne und externe Vorgaben, was mit den Daten passieren darf und was nicht – die Unternehmen aber nur einhalten können, wenn sie wissen, was wo gespeichert ist.
Nehmen wir die DSGVO, die nicht nur das Speichern von Daten auf Systemen außerhalb der EU verbietet, sondern Unternehmen auch verpflichtet, Auskünfte zu erteilen und Daten auf Anfrage zu löschen. Wie wollen sie dem nachkommen, wenn unklar ist, welche Daten sie überhaupt besitzen und wo diese liegen?
Letztlich haben Unternehmen keinerlei Kontrolle über Dark Data und können nicht verhindern, dass ein Mitarbeiter personenbezogene Daten in eine US-Cloud hochlädt oder ein Dokument mit sensiblen Informationen von einem KI-Tool auswerten lässt. Viele Datenschutz- und Sicherheitsverletzungen erfolgen ja nicht einmal in böswilliger Absicht.
Könnten Sie das etwas genauer formulieren?
Fabian Glöser: Der Arbeitsalltag der meisten Menschen hat sich in den vergangenen Jahren verdichtet – sie müssen mehr in kürzer Zeit erledigen, hantieren mit mehr Daten und mehr Tools. Da kann es leicht passieren, dass man eine Mail an den falschen Empfänger schickt oder einen Freigabe-Link ohne Einschränkungen teilt. Solche Versehen sind erfahrungsgemäß eine größere Gefahr als gezielte Insider-Angriffe, die in der Praxis nur einen kleinen Teil der Sicherheitsvorfälle ausmachen.
Immer häufiger sehen wir auch vergessene S3-Buckets. Von diesen Speichern in der Cloud haben Unternehmen inzwischen so viele, dass irgendwann der Überblick verloren geht. Sind die Buckets schlecht geschützt, stehen sensible Daten nahezu frei zugänglich im Internet – so wie vor anderthalb Jahren die Bewegungsdaten von 800.000 E-Autos bei der VW-Tochter Cariad.
Gibt es andere typische Fehler oder Nachlässigkeiten?
Fabian Glöser: Ein großes Problem ist, dass in den Unternehmen ein regelrechtes Oversharing stattfindet. Informationen werden lieber mit zu vielen als mit zu wenigen Leuten geteilt – man will ja niemanden vergessen. Im Zweifelsfall sucht man sich dafür eigene Tools, wenn es keine offiziellen gibt oder diese Einschränkungen haben, sodass eine Schatten-IT entsteht. Die Unternehmen tappen völlig im Dunkeln, was über welche offiziellen und inoffiziellen Kanäle ausgetauscht wird.
Gerade der Einsatz von KI-Tools befeuert das Oversharing sogar noch, weil etwa Copilot oder ChatGPT einen Zugriff auf möglichst viele Dateien erhalten sollen, damit sie universell einsetzbar sind. Genaugenommen sind Dark Data und Oversharing aber Gift für KI.
Welche Auswirkungen haben Dark Data und Oversharing auf KI?
Fabian Glöser: Wenn Tools wie Copilot auf zu viele Informationen zugreifen können, kann das zu schlechteren Antworten führen, weil Copilot auch veraltete oder mehrfach abliegende Dateien auswertet. Oder Nutzer erhalten eine Antwort, in der sich Informationen befinden, die nicht für sie bestimmt sind.
Ohne regelmäßige Scans oder ein kontinuierliches Monitoring entsteht erneut Dark Data und damit ein Datensicherheitsrisiko bzw. eine Hürde für den KI-Einsatz.
Fabian Glöser, Forcepoint
Solche Probleme treten nicht nur bei KI-Tools von Drittanbietern auf, sondern auch wenn Unternehmen eigene GenAI-Anwendungen entwickeln und Modelle fine-tunen. Befinden sich in den Trainingsdaten viele identische oder ähnliche Informationen, wird das Modell diese stärker gewichten. Sind die Daten veraltet oder überflüssig, eignet sich das Modell falsches oder unnützes Wissen an. Lernt es vertrauliche Informationen, wird es diese irgendwann als Antwort ausgeben.
Unternehmen müssen also sorgfältig entscheiden, welche Daten sie der KI zur Verfügung stellen, und dafür müssen sie ihre Daten kennen. In der Realität tun sie das meist nicht und lassen Copilot relativ uneingeschränkt auf SharePoints zugreifen. Einer Untersuchung der EPC Group zufolge finden sich in Unternehmen durchschnittlich 150 bis 300 SharePoint-Sites mit zu weitreichenden Freigaben wie „Jeder außer externen Benutzern“ oder fehlerhaft vererbten Berechtigungen.
Wie können Unternehmen einen Einblick in ihren dunklen Daten erhalten?
Fabian Glöser: Der Schlüssel sind Data Discovery und Datenklassifizierung – und ein strukturiertes Vorgehen, damit keine Datenquellen übersehen werden. Im Endeffekt müssen IT und Fachbereiche zusammenarbeiten, um alle Speicherorte zu identifizieren. Erst dann können Discovery-Tools sie vollständig erfassen und katalogisieren. Dabei werden auch redundante, veraltete und überflüssige Daten sichtbar und lassen sich entfernen, um etwa die Speicherkosten zu senken oder Backups und Restores zu beschleunigen.
Darüber hinaus zeigt die Data Discovery, wer auf Dateien zugreifen kann, sodass überflüssige Berechtigungen entfernt werden können. Was überflüssig ist und was nicht, entscheidet idealerweise nicht die IT – das ist eine Aufgabe für den Fachbereich bzw. den Data Owner. Ein Stück weit lässt sich der Vorgang allerdings vereinfachen, indem bestimmte kritische Sharing-Einstellungen automatisiert geändert werden.
Wie läuft im Anschluss die Datenklassifizierung ab?
Fabian Glöser: Früher war es sehr aufwendig, die einzelnen Dateien manuell den verschiedenen Kategorien zuzuordnen, doch mittlerweile erfolgt die Datenklassifizierung weitgehend automatisiert. Neben klassischen Regeln und regulären Ausdrücken kommen ganz unterschiedliche KI-Technologien zum Einsatz, darunter kleine Sprachmodelle und statistische Verfahren aus dem Machine Learning. Mit ihnen ist es möglich, Dateien zuverlässig zu kategorisieren und zu verschlagworten, sodass eine solide Basis für die Auswahl von Daten für die KI-Nutzung und die Definition von Sicherheitsrichtlinien entsteht. Wobei Unternehmen die Richtlinien nicht komplett selbst erstellen müssen, denn gute Tools bringen vordefinierte Richtlinien mit, um typische Anforderungen und Standard-Regularien wie DSGVO oder PCI-DSS abzudecken.
Übrigens setzen gute Tools nicht auf starre Richtlinien, sondern passen diese an das jeweilige Risiko an. Sie berücksichtigen den Kontext von Nutzeraktionen, also ob etwa eine einzelne Datei oder der halbe Fileserver heruntergeladen wird oder ob ein Zugriff zu ungewöhnlichen Zeiten und von ungewöhnlichen Orten erfolgt. Auf diese Weise muss nicht gleich alles blockiert werden, sodass Mitarbeiter frei arbeiten können, ohne sich über zu restriktive Regeln zu ärgern.
Welchen Zeitrahmen müssen Unternehmen für Data Discovery und Datenklassifizierung einplanen?
Fabian Glöser: In vielen Projekten haben wir Data Discovery und Datenklassifizierung nach zwei bis vier Wochen abgeschlossen und die ersten unternehmensspezifischen Richtlinien definiert, die das Set aus Default-Richtlinien ergänzen. Allerdings muss Unternehmen klar sein, dass eine einmalige Anstrengung nicht ausreicht – schließlich werden Daten fortwährend bearbeitet, kopiert und verschoben und es kommen immer neue Daten hinzu. Ohne regelmäßige Scans oder ein kontinuierliches Monitoring entsteht erneut Dark Data und damit ein Datensicherheitsrisiko beziehungsweise eine Hürde für den KIEinsatz.
Herr Glöser, wir danken für das Gespräch.