Thought Leadership
KI ist ein Gamechanger – im positiven wie im negativen Sinne. Schließlich steckt in ihr nicht nur das Potenzial, Prozesse und Entscheidungen erheblich zu verbessern.
Sie verändert auch den Umgang mit Daten fundamental, weil sie von hochwertigen Informationen abhängt und ganz neue Datenrisiken schafft. Nur mit einem strukturierten Ansatz, lassen sich die hohen Anforderungen an Datenqualität und Datensicherheit zuverlässig erfüllen.
Für viele Unternehmen ist die Einführung von KI weniger eine technologische Herausforderung als ein Governance-Problem. Sie tun sich einerseits schwer damit, ihre KI-Modelle mit den richtigen Daten zu versorgen, sodass sie präzise arbeiten und korrekte, faire sowie vorurteilsfreie Ergebnisse liefern. Andererseits laufen Unternehmen mehr und mehr Gefahr, die Kontrolle über ihre Daten zu verlieren, wenn Mitarbeiter die KI-Anwendungen im Geschäftsalltag mit den verschiedensten Informationen füttern oder KI-Agenten untereinander Daten austauschen und verarbeiten.
Der Schlüssel, um diese Risiken zu beherrschen, ist ein strukturiertes Vorgehen, das die Grundlagen für eine erfolgreiche und sichere Einführung und Nutzung von KI schafft. Bewährt hat sich etwa das „AI Security Maturity Framework“ von Forcepoint, das bereits weltweit umgesetzt wurde, darunter auch im Banking-Umfeld, welches naturgemäß sehr hohe Compliance-Anforderungen erfüllen muss.
Die Datenlandschaft verstehen
KI lebt von Daten, und falsche, veraltete, überflüssige oder mehrfach existierende Trainingsdaten sind Gift für sie, weil diese die Gewichte in den Modellen verschieben und zu schlechten KI-Ergebnissen führen. Darüber hinaus sollen bestimmte Daten nicht in den Modellen landen – welche das sind, hängt vom jeweiligen Use Case ab. Ein Chatbot auf der Website beispielsweise darf keine vertraulichen internen Informationen oder personenbezogene Daten von Kunden ausgeben.
Unternehmen müssen daher sicherstellen, dass sie für das Training der Modelle, aber auch bei der Bereitstellung von Daten via Retrieval-Augmented Generation (RAG) geeignete und hochwertige Informationen nutzen – was ihnen nur gelingen kann, wenn sie einen jederzeit aktuellen Überblick über ihren gesamten Datenbestand von lokalen Systemen bis in die Cloud haben. Eine umfassende Data Discovery und anschließende sorgfältige Datenklassifizierung sind deshalb die wichtigsten erste Schritte und legen die Basis für alle aktuellen und kommenden KI-Projekte.
Das Verständnis der eigenen Datenlandschaft hilft dann übrigens auch, sensible Daten zu schützen, wenn die KI-Modelle trainiert sind und im Geschäftsalltag eingesetzt werden oder wenn fertige KI-Tools von Drittanbietern angeschafft werden. Erst die Kenntnis davon, wo welche Daten liegen, erlaubt es, ihre Nutzung zu reglementieren.
Mit Automatismen Zeit sparen
Um die Belastung auf den Systemen und in den Netzwerken gering zu halten und laufende Geschäftsprozesse nicht zu stören, sollten Unternehmen die Discovery-Scans stufenweise vornehmen. Entscheidend ist, dass am Ende tatsächlich alle Systeme erfasst und durchsucht werden – unabhängig von ihrem Standort. Andernfalls bestehen blinde Flecken fort und schränken die Wirksamkeit der folgenden Maßnahmen ein. Ist der Datenbestand vollständig erfasst, lassen sich redundante, veraltete und überflüssige Daten gezielt entfernen, was sowohl die Datenqualität erhöht als auch Kosten spart.
Der Schlüssel, um die Risiken zu beherrschen, ist ein strukturiertes Vorgehen, das die Grundlagen für eine erfolgreiche und sichere Einführung und Nutzung von KI schafft.
Fabian Glöser, Forcepoint
Anschließend steht die Datenklassifizierung an, die früher viel Handarbeit erforderte, mit modernen Tools aber weitgehend automatisch ablaufen kann. Ein Mix aus unterschiedlichen Technologien – von klassischen Regeln und Regular Expressions über statistische Verfahren bis hin zu spezialisierten KI-Modellen – katalogisiert selbst umfangreiche Datenbestände effizient und weist aussagekräftige Tags zu. Damit lassen sich verschiedene Dateninhalte später zuverlässig identifizieren, um KI mit optimalem Datenmaterial versorgen und Datensicherheitsverletzungen verhindern zu können.
Sobald Unternehmen einen Überblick über ihre Datenlandschaft haben, fällt ihnen auch die Bewertung möglicher Use Cases für KI leichter. Sie können besser einschätzen, ob die verfügbaren Datenbestände für ihren KI-Use-Case relevant sind und können darüber hinaus ihre weiteren KI-Initiativen sinnvoll priorisieren. Dabei sollten sie Data Discovery und Datenklassifizierung nicht als einmalige Aufgabe verstehen, sondern als fortlaufenden Prozess. Schließlich werden Daten gerade im KI-Zeitalter mehr denn je bewegt, verändert und neu generiert.
KI zur Laufzeit schützen
Setzen Unternehmen dann KI-basierte Anwendungen im Tagesgeschäft ein, müssen sie kontinuierlich überwachen, auf welche Daten die Nutzer und die KI zugreifen und über welche Kanäle und Netzwerkgrenzen sie fließen. Auf dieser Basis können sie Risiken ermitteln und Richtlinien zum Schutz von Daten durchsetzen – idealerweise adaptiv, also genau angepasst an das Risiko der jeweiligen Aktion. Auf diese Weise verhindern sie allzu restriktive Eingriffe, die Mitarbeiter im Arbeitsalltag behindern.
Moderne Sicherheitslösungen ermöglichen dies, indem sie den Kontext von Aktionen berücksichtigen. Dazu gehören beispielsweise die Inhalte, die Dateitypen, die Dateiverschlüsselung oder Label der Daten, der Kanal, über den sie geteilt werden, sowie die Empfänger-Sender-Konstellation. Die Richtlinien passen sie dynamisch an, sodass bei geringem Risiko beispielsweise nur ein Warnhinweis eingeblendet und die Aktion nicht gleich blockiert wird.
Zu den Lösungen, die Daten zur KI-Laufzeit schützen, gehören – auch in Abhängigkeit von den individuellen Use Cases – unter anderem Data Loss Prevention (DLP), Cloud Security Access Broker (CSAB), Web Application Firewall (WAF), Application Control und API-Schutz. Darüber hinaus sollten Unternehmen eine Threat Detection nutzen und ihre KI-Anwendung auf Missbrauch überwachen, um riskantes und gefährliches Verhalten frühzeitig zu erkennen.
Prozesse für dauerhafte Compliance verstetigen
Neben den Daten sollten Unternehmen auch ihre KI-Modelle schützen. Das beginnt schon mit der Auswahl robuster und vertrauenswürdiger Modelle und reicht bis hin zu einer steten Überprüfung der Modelintegrität und der Widerstandsfähigkeit gegenüber Angriffen. In diesen Bereichen ist viel menschliche Expertise gefragt, doch die Zahl der Tools, die KIModelle überwachen und beispielsweise Anomalien im Verhalten oder eine Verschlechterung der Vorhersagegenauigkeit erkennen, wächst. Liegt die Ursache in Veränderungen der Datenbasis begründet, spricht man von Model Drift. Dem gegenüber stehen gezielte Manipulationen – sogenannte Evasion Attacks, bei denen Modelle durch Prompt Injections oder das Ausnutzen von Jailbreaks geschwächt werden.
Um eine kontinuierliche Qualitätssicherung und Einhaltung von Compliance-Vorgaben sicherzustellen, auch wenn sich Abläufe, Daten oder Tools verändern, müssen Unternehmen schlussendlich die Prozesse zum Schutz von Daten und KI stetig anpassen. Das versetzt sie zudem in die Lage, neue KI-Use-Cases auf Basis der laufenden Data Discovery und Datenklassifizierung schnell, sicher und erfolgreich umzusetzen. Im Grunde entsteht eine reibungslos laufende Governance-Engine für KI, und das dank eines schrittweisen Vorgehens in wenigen Wochen.
