it-sa Spezial

Datenrisiken beim Einsatz von GenAI

Viele Mitarbeiter nutzen generative KI im Arbeitsalltag. Damit steigt für Unternehmen das Risiko, dass vertrauliche Daten abfließen oder personenbezogene Daten bei externen Diensten landen.

Wie können sie das verhindern, ohne ihre Mitarbeiter zu sehr einzuschränken?

Anzeige

ChatGPT hat auf fast alle Fragen eine Antwort. Kein Wunder, dass viele Mitarbeiter inzwischen oft den Chatbot statt einer Suchmaschine ansteuern, wenn sie Informationsbedarf haben. Sie sparen sich das Durchforsten langer Ergebnislisten und können leicht Anschlussfragen stellen. Außerdem fasst ChatGPT bei Bedarf auch Dokumente zusammen oder übersetzt sie, hilft beim Erstellen von Präsentationen und optimiert Quellcodes.

Neben ChatGPT gibt es noch unzählige weitere GenAI-Dienste, die Bilder und Videos generieren, Texte und Code verbessern oder Websites und Apps erstellen. Microsoft Copilot fungiert gar als persönlicher Assistent, der bei der Vorbereitung auf Besprechungen hilft und diese anschließend zusammenfasst. Darüber hinaus formuliert Copilot auch Antwortvorschläge für E-Mails, zieht die wichtigsten Erkenntnisse aus komplexen Excel-Tabellen, bereitet lange Word-Dokumente übersichtlich auf und liefert gut strukturierte, bereits mit den wesentlichen Informationen gefüllte PowerPoint-Präsentationen.

Allen GenAI-Diensten gemein ist, dass sie Mitarbeitern im Arbeitsalltag viele zeitraubende Tätigkeiten abnehmen und sie produktiver machen. Entsprechend gerne werden sie genutzt, wobei sich die Mitarbeiter häufig kaum Gedanken machen, welche Informationen sie gegenüber den Diensten preisgeben und was mit diesen Informationen geschieht. Geben Mitarbeiter personenbezogene Daten ein, damit die KI ein persönliches Anschreiben verfassen kann, verstößt das gegen Datenschutzgesetze, wenn der Dienst beispielsweise die Daten außerhalb der EU speichert und verarbeitet. Bei den meisten GenAI-Diensten ist das der Fall, da deren Anbieter ihren Sitz in Nordamerika oder Asien haben. Bereits das simple Zusammenfassen oder Übersetzen unbekannter Dokumente ist dann riskant, wenn sie personenbezogene Daten enthalten.

Kontrolle über Firmendaten geht verloren

Zudem nutzen die Anbieter der Dienste die Nutzereingaben teilweise, um ihre KI-Modelle zu verfeinern. Enthalten die Eingaben sensible Daten, ist das für Unternehmen ein unkalkulierbares Risiko, denn im Prinzip füttern ihre Mitarbeiter die Algorithmen mit neuem Wissen, das in der einen oder anderen Form in den Ausgaben für die Mitarbeiter anderer Unternehmen auftauchen kann. Wer selbst geschriebenen Quellcode analysieren lässt, muss daher damit rechnen, dass besonders innovative oder effiziente Code-Fragmente anderen Entwicklern als Optimierungsmöglichkeit vorgeschlagen werden. Und wer PDFs mit technischen Konzepten, Präsentationen zu einer anstehenden Firmenübernahme oder vertrauliche Finanzdaten hochlädt, damit KI diese übersetzen oder besser strukturieren kann, darf sich nicht wundern, wenn die Informationen an die Öffentlichkeit gelangen.

Im Grunde verlieren Unternehmen die Kontrolle über ihre sensiblen Daten, sobald diese einmal bei KI-Diensten eingegeben wurden. Selbst wenn die Anbieter die Daten nicht zum Training ihrer KI-Modelle verwenden, könnten sie im Falle eines Cyberangriffs geleakt oder für einen Erpressungsversuch missbraucht werden.

Blocken ist keine Lösung

Die vermeintlich einfachste Lösung, Datenrisiken im Zusammenhang mit generativer KI zu vermeiden, ist das Sperren der KI-Dienste mit URL- oder DNS-Filtern. Allerdings funktionieren diese Sperren nur innerhalb des Unternehmensnetzwerks, sodass Mitarbeiter sie leicht umgehen können, indem sie aus dem Homeoffice auf die Dienste zugreifen. Zudem ist es angesichts der riesigen und stetig wachsenden Anzahl von Angeboten ein nahezu aussichtsloses Unterfangen, wirklich alle Dienste zu sperren.

Abgesehen davon ist generative KI ein mächtiges Werkzeug. Sie zu blockieren, würde bedeuten, auf eine gesteigerte Produktivität zu verzichten und den Mitarbeitern liebgewonnene Tools wegzunehmen, was für Frust und sinkende Motivation sorgen kann. Besser ist es daher, den Zugang zu den Diensten ähnlich wie den Zugang zu Cloud-Services zu reglementieren, um die enormen Möglichkeiten von GenAI auszuschöpfen, ohne Compliance-Vorgaben zu unterlaufen und die Datensicherheit zu gefährden.

Unternehmen sollten verschiedene KI-Dienste evaluieren, um diejenigen zu ermitteln, die ihnen und ihren Mitarbeitern den größten Nutzen bringen und deren Preis- und Lizenzmodelle am besten zu den eigenen Budgets und Anforderungen passen. Anschließend können sie Richtlinien definieren, welche Dienste zugelassen sind und welche Mitarbeiter auf sie zugreifen dürfen. Sie müssen diese Richtlinien aber auch durchsetzen und dafür sorgen, dass keine sensiblen Daten mit den Diensten geteilt werden.

Im Grunde verlieren Unternehmen die Kontrolle über ihre sensiblen Daten, sobald diese einmal bei KI-Diensten eingegeben wurden.

Frank Limberger, Forcepoint

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

DSPM hilft beim Schutz sensibler Daten

Mit Sicherheitslösungen wie Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Web Gateway (SWG) stellen Unternehmen sicher, dass nur geprüfte und freigegebene KI-Dienste nur von autorisierten Mitarbeitern genutzt werden. Diese können unabhängig davon, ob sie sich im Unternehmensnetzwerk, im Homeoffice oder an anderen Standorten befinden, mit beliebigen Geräten sicher auf die Dienste zugreifen. Lösungen für Data Security wachen dann über die Eingaben und Uploads und verhindern, dass sensible und personenbezogene Daten das Unternehmen verlassen. Bei weniger kritischen Daten genügt auch ein einfacher Warnhinweis, während bei kritischen Daten die Übertragung direkt unterbunden wird.

Die Herausforderung dabei ist, einen Überblick über die eigenen Daten zu erhalten, um schützenswerte Informationen zu identifizieren. Schließlich wachsen die Datenbestände kontinuierlich und sind über eigene Server, das Web, die Cloud und die Endgeräte der teilweise remote arbeitenden Mitarbeiter verteilt. Ein Data Security Posture Management (DSPM) hilft, Daten über alle Speicherorte hinweg aufzuspüren, zu klassifizieren, nach Risiken zu priorisieren und kontinuierlich zu schützen und zu überwachen.

Moderne Lösungen nutzen dafür auch KI: Anhand von Beispielen besonders sensibler Daten, etwa Verträge, Kundenlisten, oder Daten aus Forschung und Entwicklung, die Fachabteilungen bereitstellen, spüren sie automatisiert vergleichbare Daten innerhalb der gesamten Systemlandschaft auf. Sobald diese Daten ganz oder in Teilen über KI-Dienste abzufließen drohen, sorgen die Lösungen dafür, dass die Sicherheitsrichtlinien durchgesetzt werden. Und das selbst dann, wenn die zu schützenden Inhalte sich in einem Screenshot verstecken.

Auf diese Weise ermöglichen Unternehmen nicht nur die sichere Nutzung von generativer KI, sondern legen auch den Grundstein für Zertifizierungen und Testate wie ISO 27001:2022, TISAX, NIS2 und C5, deren hohe Anforderungen an Datensicherheit und Datenschutz sich mit einem DSPM leichter erfüllen lassen.

it-sa Expo&Congress
Besuchen Sie uns in Halle 7-239

Frank

Limberger

Data and Insider Threat Security Specialist

Forcepoint

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.