Sicherheitsrisiken von KI-Tools – Die unterschätzte Gefahr: Angesichts des Hypes um ChatGPT & Co. seit Herbst 2022, wird die von Beschäftigten angetriebene Nachfrage nach KI-Tools stark zunehmen. Da aktuelle Studien zeigen, dass einige Mitarbeiter mithilfe generativer KI ihre Produktivität um 40 % steigern, wird der Druck auf Unternehmen, die KI-Einführung zu beschleunigen – und dabei die Augen vor der nicht genehmigten Nutzung von KI-Tools zu verschließen – größer. Diesem Druck nachzugeben, kann zu ernsthaften Datenlecks und Sicherheits-Verstößen führen.
Mitarbeiter stellen täglich ohne große Bedenken Verbindungen zu cloudbasierten KI-Anwendungen (SaaS) her. Sie sehen dabei die möglichen Vorteile, aber nicht die damit verbundenen technischen und menschlichen Sicherheitsrisiken und sind sich nicht bewusst, dass sie möglicherweise eine nicht genehmigte KI-Anwendung mit den hochsensiblen Daten Ihres Unternehmens füttern.
Was ist Saas?
Software-as-a-Service, kurz SaaS, bezeichnet auf Cloud-Computing basierende Dienstleistungen, Services und Anwendungen, die von Unternehmen und Organisationen zur Umsetzung und Erleichterung von Arbeitsprozessen genutzt werden.
Mittlerweile gibt es zehntausende KI-Apps, die mit ihren cloudbasierten Freemium-Modellen und ihrer produktorientierten Wachstumsmarketingstrategie erfolgreich Mitarbeiter als Nutzer anlocken. Solche KI-Apps und -Tools schreiben Briefe, Marketing-Texte, generieren Bilder und Videos, entwerfen Präsentationen, erledigen komplexe Berechnungen, helfen bei der Automatisierung von Routine-Aufgaben oder Prozessen und sie entwickeln sogar Apps. Doch welche Risiken gehen mit der Verwendungen dieser verlockenden, arbeitserleichternden Tools einher?
Unterschätzte Cybersicherheitsrisiken beim Einsatz von KI-Tools
Datenlecks: KI-Tools, insbesondere generative KI mit Sprachmodellen (LLMs), haben umfassenden Zugriff auf die Eingabeaufforderungen, die Mitarbeiter eingeben. Sie speichern Eingabeaufforderungen als „Trainingsdaten“ oder für „Debugging-Zwecke“, sodass diese Daten anfällig für eine Offenlegung oder Kompromittierung sind.
Qualität der Inhalte: LLMs sind anfällig für Halluzinationen – ein Phänomen bei dem LLMS „Muster oder Objekte wahrnehmen, die nicht existieren oder für menschliche Beobachter nicht wahrnehmbar sind, und Ergebnisse erzeugen, die unsinnig oder völlig ungenau sind, wie beispielsweise Google Bard.“ Wenn sich dein Unternehmen bei der Generierung oder Optimierung von Inhalten auf ein LLM verlassen möchte, ohne dass menschliche Überprüfungen und Protokolle zur Faktenprüfung vorhanden sind, ist die Wahrscheinlichkeit hoch, dass ungenaue oder inkorrekte Informationen veröffentlicht werden.
Sicherheitslücken und Produktschwachstellen: Je kleiner die Organisation, die das KI-Tool entwickelt, desto wahrscheinlicher ist es, dass die Entwickler Produktschwachstellen und Sicherheitslücken nicht beheben. Beispielsweise können solche KI-Tools anfälliger für Prompt-Injection und herkömmliche Schwachstellen wie SSRF, IDOR und XSS sein.
Compliance-Risiken: Das Fehlen ausgereifter Datenschutzrichtlinien, Rechtevergaben und interner Vorschriften bei KI-Tools kann zu hohen Bußgeldern und Strafen bei Verstößen führen, wenn Mitarbeiter Tools verwenden, die geltende Standards, Gesetze, Regeln und Verordnungen nicht einhalten.
Die Verbindung von KI-Anwendungen mit SaaS-Apps steigert die Produktivität – und die Wahrscheinlichkeit von Backdoor-Angriffen
Mit KI-Tools erreichen (oder nehmen) Mitarbeiter erhebliche Prozessverbesserungen und Ergebnisse wahr. Doch schon bald möchten sie ihre Produktivität steigern, indem sie KI mit den SaaS-Systemen verbinden, die sie täglich nutzen, wie Google Workspace, Salesforce oder MS Office 365.
KI-Anbieter fördern diese Verbindungen innerhalb der Produkte und gestalten den Prozess zur Ein- und Anbindung relativ nahtlos. Da KI-Tools weitgehend auf OAuth-Zugriffstokens angewiesen sind, um eine KI-zu-SaaS-Verbindung herzustellen, erhalten KI-Tools kontinuierliche API-basierten Zugriff auf Anwendungen wie z. B. Slack, Gmail und Google Drive.
So reduzierst du die Sicherheitsrisiken von KI-Tools
- Prüfe die Nutzungsbedingungen und Datenschutzhinweise: Stelle sicher, dass jemand in deinem Team oder ein Mitglied der Rechtsabteilung die Nutzungsbedingungen und Datenschutzhinweise für alle KI-Tools liest, die Mitarbeiter anfordern und verwenden. Natürlich ist dies nicht unbedingt ein Schutz vor Datenschutzverstößen oder -lecks. Wenn du die Bedingungen jedoch genau kennst, kannst du bei Verstößen durch den Serviceanbieter die Schuldfrage schnell klären und ggf. von dir weisen.
- Implementiere (oder überarbeite) Anwendungs- und Datenrichtlinien: Eine Anwendungs- und Datenrichtlinie schafft Transparenz. Eine einfache „Zulassungsliste“ von KI-Tools schafft die erforderliche Klarheit beim Einsatz von KI-Tools. Alles, was nicht enthalten ist, fällt in das „nicht zulässige“ Lager. Alternativ kannst du eine Datenrichtlinie festlegen, die vorschreibt, welche Arten von Daten Mitarbeiter in KI-Tools einspeisen dürfen. Du kannst beispielsweise die Eingabe von geistigem Eigentum in KI-Programme oder den Datenaustausch zwischen SaaS-Systemen und KI-Apps verbieten.
- Regelmäßige Mitarbeiterschulung: Nur wenige Mitarbeiter suchen mit böswilliger Absicht nach KI-Tools, die der Arbeitserleichterung dienen. Die überwiegende Mehrheit ist sich einfach nicht der Gefahr bewusst, der sie Ihr Unternehmen aussetzen, wenn sie nicht genehmigte KI einsetzen. Biete deshalb regelmäßig Schulungen an, damit Mitarbeiterinnen und Mitarbeiter Datenlecks und -verstöße bei KI-Tools verstehen und wissen, welche Risiken KI-zu-SaaS-Verbindungen mit sich bringen. Schulungen dienen auch als Gelegenheit, Anwendungs- und Datenrichtlinien zu erläutern und zu vertiefen.
- Anbieterbewertung: Setze dich kritisch mit angebotenen KI-Tools auseinander, bevor du sie zum Einsatz freigibst. Dieser Prozess muss deinen Sicherheitsstatus und die Einhaltung von Datenschutzgesetzen umfassen. Bespreche mit den Mitarbeitern oder dem Team Fragen wie: Wer erhält Zugriff auf das KI-Tool? Ist es auf bestimmte Einzelpersonen oder Teams beschränkt? Welche Drittanbieter speichern und verarbeiten Daten des KI-Tools? Was würde passieren, wenn das KI-Tool kompromittiert wird? Welche Auswirkungen könnte das haben? Kann das Tool Folgeaktionen durchführen, beispielsweise Änderungen an Dateien, Benutzern, Benutzerrechten oder anderen Objekten? Verfügt das KI-Tool über Funktionen, bei denen das Potenzial für das Auftreten herkömmlicher Schwachstellen besteht (z. B. SSRF, IDOR und XSS)?
Mach den Einsatz von KI zur Chefsache
Die Auswirkungen von KI-bezogenen Datenlecks und -verstößen in Bezug auf finanzielle Verluste und verlorene Chancen sorgen dafür, dass die damit verbundenen Cyber-Risiken bei den Mitarbeiterinnen und Mitarbeitern Anklang finden.
Stelle sicher, dass die Anwendungs- oder Datenzulassungslisten für KI-Anwendungen klar formuliert, verständlich, leicht auffindbar und verfügbar sind!
Wenn Mitarbeiter wissen, welche Daten in ein LLM aufgenommen werden dürfen oder welche zugelassenen KI-Tools sie auswählen und verwenden können, ist die Wahrscheinlichkeit weitaus größer, dass du bzw. dein Unternehmen als Förderer und nicht als Bremser des Fortschritts angesehen werden.
In Sachen KI wissen wir, worauf es ankommt, wenn produktivitätssteigernde KI-Anwendungen in Unternehmen zum Einsatz kommen sollen. Wir unterstützen dich dabei, die Sicherheitsrisiken richtig einzuschätzen und zu minimieren und Anwendungs- und Datenrichtlinien für Ki-gestützte Systeme und -Anwendungen im Unternehmen zu etablieren. Damit der Einsatz von KI-Tools rundum gelingt, trainieren wir deine Mitarbeiterinnen und Mitarbeiter im produktivitätssteigernden, sicherheits- und compliance-konformen Umgang mit KI-Tools.
Jetzt anrufen und einen Termin vereinbaren: +49 4762 363 9555