Ohne Regeln wird die GenAI-Nutzung zum Glücksspiel

ChatGPT hat auf fast alle Fragen eine Antwort parat. Kein Wunder, dass viele Mitarbeiter inzwischen oft den Chatbot nutzen, wenn sie Informationsbedarf haben. Aber auch bei der Erstellung von Bildern und Videos verbessern sich die Ergebnisse generativer KI in rasantem Tempo. Das macht ChatGPT, Bard, Jasper, Copilot und andere Tools zu einem beliebten Werkzeug im Arbeitsalltag – beispielsweise im Marketing zur Erstellung von Werbetexten und Akquise-E-Mails oder in der IT-Entwicklung für die Optimierung von Quellcode. Immer öfter ersetzen KI-Tools sogar die herkömmliche Google-Suche, da sie direkte Antworten liefern und damit einen weiteren Arbeitsschritt erledigen.



Allen GenAI-Diensten ist gemein, dass sie Mitarbeitern im Arbeitsalltag viele zeitraubende Tätigkeiten abnehmen. Entsprechend gerne werden sie genutzt. Die Kehrseite dieser Begeisterung ist allerdings häufig der blinde Fleck beim Datenschutz. Die Eingabe von sensiblen und kundenbezogenen Informationen kann nämlich schnell einen Verstoß gegen Datenschutzgesetze und interne Compliance-Vorgaben zur Folge haben. Da viele GenAI-Anbieter die Daten auf Systemen außerhalb der EU verarbeiten, kann aus einer harmlosen Situation schnell eine rechtlich verzwickte Lage werden. Etwa wenn Quellcode, Präsentationen oder E-Mails während eines Datenlecks an die Öffentlichkeit gelangen.



Verlust der Datensouveränität



Die eingegebenen Informationen werden von KI-Anbietern zudem zur laufenden Optimierung der Modelle eingesetzt. Dadurch kann es passieren, dass sich vertrauliche Informationen in den Antworten der KI für andere Anwender wiederfinden. Wer selbst geschriebenen Quellcode analysieren lässt, muss damit rechnen, dass besonders innovative oder effiziente Code-Fragmente anderen Entwicklern als Optimierungsmöglichkeit vorgeschlagen werden. Das gilt natürlich auch für andere Datenformen, wie beispielsweise technische Dokumentationen oder Präsentationen.



Im Grunde verlieren Unternehmen die Kontrolle über ihre Daten, sobald diese bei KI-Diensten landen. Auch wenn Anbieter versichern, dass die eingegebenen Informationen nicht für das Training der KI-Modelle verwendet werden, lässt sich das in der Realität nicht überprüfen. Darüber hinaus besteht das Risiko, dass diese Daten bei Cyberangriffen oder Erpressungsversuchen missbraucht werden. Für Unternehmen besteht deshalb Handlungsbedarf: Um die Kontrolle über ihre sensiblen Daten nicht zu verlieren, müssen sie sich für einen strategischen Umgang entscheiden.



Ein erster Schritt in die richtige Richtung ist die Sensibilisierung der Mitarbeiter durch Schulungen und Nutzungsregeln. Hier bietet es sich etwa an, dass Mitarbeiter nur die vom Unternehmen bereitgestellten und verwalteten Accounts verwenden und ohne Genehmigung keinen Code oder sensible Daten eingeben dürfen. Einen vollständigen Schutz sensibler Daten garantiert dieses Vorgehen jedoch nicht. Denn gerade unter Zeitdruck oder in arbeitsintensiven Phasen sind Fehler vorprogrammiert.



Blocken ist keine Lösung



Das Sperren der KI-Dienste mit URL- oder DNS-Filtern scheint deshalb die vermeintlich einfachste Lösung zu sein. Allerdings funktionieren diese Sperren nur innerhalb des Unternehmensnetzwerks, sodass Mitarbeiter sie leicht umgehen können, indem sie aus dem Homeoffice auf die Dienste zugreifen. Zudem sollten Unternehmen sich wirklich gut überlegen, ob sie modernen KI-Tools vollständig den Rücken kehren wollen, deren Mehrwert im Arbeitsalltag bereits hoch ist, obwohl ihre Entwicklung noch in den Kinderschuhen steckt. Eine vollständige Blockierung bedeutet nämlich auch, auf effizientere Arbeitsweisen und produktivere Mitarbeiter zu verzichten. Wir bei Forcepoint sind deshalb davon überzeugt, dass es viel zielführender ist, die KI-Transformation sicher zu gestalten, als durch Verbote zu Frust und Demotivation in den Teams beizutragen und ins Hintertreffen gegenüber der Konkurrenz zu geraten.



Es ist daher der zielführendere Ansatz, den Zugang zu den Diensten ähnlich wie den Zugang zu Cloud-Services zu reglementieren. So können Mitarbeiter die Möglichkeiten von GenAI nutzen, ohne Compliance-Vorgaben zu unterlaufen und die Datensicherheit zu gefährden. Dafür müssen diejenigen KI-Dienste per Evaluation ermittelt werden, die einen wirklichen Mehrwert bringen und deren Preis- und Lizenzmodelle am besten zu den eigenen Budgets passen. Anschließend können unternehmensinterne Richtlinien definiert werden.


Frank Limberger, Data & Insider Threat Security SpecialistForcepoint



Zero Trust verhindert Datenabflüsse



Ein effektiver Ansatz für die Reglementierung ist ein Zero-Trust-Modell mit Sicherheitslösungen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), DLP-Endpoint-Agent und automatisierter Datenklassifizierung. Mit Hilfe von SWG und CASB können IT-Verantwortliche sicherstellen, dass Mitarbeiter auf Firmengeräten nur die freigegebenen und geprüften KI-Tools verwenden. Soll ein nicht zugelassenes Tool aufgerufen werden, erfolgt der Redirect zu einer intern freigegebenen Alternative. Das Herzstück der sicheren Nutzung von generativen KI-Tools spielt sich jedoch auf der Content-Ebene ab, wie z.B. bei der Überprüfung, ob sensible und personenbezogene Informationen via Datei-Upload oder Texteingabe mit der KI geteilt werden. Hier kommt der DLP-Endpoint-Agent ins Spiel, der verhindert, dass sensible und personenbezogene Daten das Hoheitsgebiet des Unternehmens verlassen. Handelt es sich um weniger kritische Informationen, kann eine Warnmeldung anzeigen werden.



Um den KI-Einsatz auf diese Weise reglementieren zu können, müssen IT-Verantwortliche die Datenbestände überblicken und sensible Informationen gezielt identifizieren. Die Datenmengen wachsen ständig und sind oft weit verzweigt gespeichert. Ein Data Security Posture Management (DSPM) hilft, Daten über alle Speicherorte hinweg aufzuspüren, zu klassifizieren, nach Risiken zu priorisieren und kontinuierlich zu schützen und zu überwachen. Der Einsatz von KI bietet hier einen entscheidenden Mehrwert, um sensible Daten in der Systemlandschaft anhand von Vergleichsdokumenten aufzuspüren. So nutzt die Forcepoint-Lösung für Data Security Posture Management (DSPM) innovative KI-Mesh-Technologie, um in Echtzeit und vollständig automatisiert Datenrisiken zu erkennen – etwa nicht-autorisierte Zugriffe, veraltete Daten oder personenbezogene Informationen. Mit diesem Zero-Trust-Ansatz sinkt das Risiko für blinde Flecken beim Datenmanagement – und das selbst dann, wenn die zu schützenden Inhalte sich in einem Screenshot verstecken. Durch die Kombination von DSPM-Lösung und DLP-Endpoint-Agent kann eine geräteunabhängige sichere Nutzung von generativer KI sichergestellt werden, da u.a. sichergestellt werden kann, dass sensible Informationen und Dateien gar nicht erst lokal auf BYOD-Geräten in unreglementierten Speicherorten abgelegt werden können.



Auf diese Weise ermöglichen Unternehmen nicht nur die sichere Nutzung von generativer KI, sondern legen auch den Grundstein für Zertifizierungen und Testate wie ISO 27001:2022, TISAX, NIS-2 und C5, deren hohe Anforderungen an Datensicherheit und Datenschutz sich mit einem DSPM leichter erfüllen lassen. Lesen Sie den „Executive Guide to Securing Data within Generative AI“, um zu erfahren, welche Best Practices es bei der Einführung von generativer KI zu beachten gibt. 


Registrieren Sie sich jetzt