Die zunehmende Nutzung generativer KI in Unternehmen erhöht die Dringlichkeit robuster Sicherheitsrichtlinien

Die zunehmende Verbreitung generativer KI in Unternehmen beunruhigt die Cybersicherheitsgemeinschaft und unterstreicht den dringenden Bedarf an umfassenden Sicherheitsrichtlinien. Die rasante Entwicklung generativer KI, verbunden mit ihrem immensen Potenzial und den damit einhergehenden Sicherheitsrisiken, hat dazu geführt, dass die Richtlinien für ihre Nutzung hinter ihrer weitverbreiteten Anwendung zurückbleiben.

tronSicherheitsrichtlinien für generative KI etablieren

Für Chief Information Security Officers (CISOs) ist die Botschaft eindeutig: Angesichts der zunehmenden Nutzung von KI im Geschäftsbetrieb sind umgehend robuste KI-Sicherheitsrichtlinien erforderlich, die speziell auf die besonderen Herausforderungen generativer KI zugeschnitten sind. Im Gegensatz zu herkömmlicher KI entwickelt sich generative KI rasant und birgt ernsthafte Sicherheitsrisiken, die proaktive Maßnahmen erfordern.

Aktuelle Umfragen deuten auf einen deutlichen Anstieg bei der Nutzung generativer KI hin: 79 % der Organisationen im öffentlichen und 83 % im privaten Sektor setzen sie in ihren Produktionssystemen ein. Zu den Hauptgründen für diese Entwicklung zählen die Automatisierung zur Steigerung von Produktivität, Innovation und Ideenfindung sowie die Bewältigung von Cyberrisiken. Die rasante Verbreitung extern entwickelter großer Sprachmodelle (LLMs) gibt jedoch Anlass zur Sorge hinsichtlich Risiken durch Dritte und unterstreicht die Notwendigkeit ethischer Grundsätze für die Regulierung von KI und LLMs.

Gebotene Sicherheitsrichtlinien: Lehren aus der Schatten-IT

Aus den Herausforderungen der Schatten-IT lernen Unternehmen, nicht länger zu zögern und umgehend Sicherheitsrichtlinien für generative KI zu entwickeln. Historische Daten zeigen, dass verzögerte Reaktionen auf neue Technologien, wie sie bei der Schatten-IT zu beobachten waren, zu unkontrollierbaren Sicherheitsrisiken führen können. Es gilt, ein Gleichgewicht zu finden zwischen der Förderung von Innovationen und der Minderung der Risiken, die mit der rasanten Verbreitung generativer KI einhergehen.

Entwicklung effektiver, generativer KI-Sicherheitsrichtlinien

Die zentrale Herausforderung für CISOs besteht darin, Cybersicherheitsrichtlinien zu entwickeln, die nicht nur die Akzeptanz im Unternehmen fördern, sondern auch Risiken effektiv begegnen, ohne Innovationen zu ersticken. Diese Richtlinien sollten einen Top-Down-Ansatz verfolgen, der sich an den Geschäftszielen orientiert und Zugriffskontrolle, Datenverschlüsselung und proaktives Bedrohungsmanagement umfassen. Die dynamische Natur generativer KI erfordert einen kontinuierlichen Feedback-Loop, um Richtlinien an sich wandelnde Anwendungsfälle und neue Risiken anzupassen.

Die Abstimmung von Sicherheitsrichtlinien für generative KI auf die Geschäftsanforderungen stellt sowohl eine Herausforderung als auch eine Chance dar. Unternehmen beschaffen generative KI überwiegend, anstatt sie selbst zu entwickeln. Dies erfordert ein umfassendes Verständnis der verschiedenen Anwendungsfälle. Durch diese Abstimmung können Sicherheitskontrollen von Anfang an integriert werden. So wird verhindert, dass Sicherheitsrichtlinien isoliert existieren, und ihre Anwendbarkeit über verschiedene Geschäftsfunktionen hinweg sichergestellt.

Risikomanagement für Anwendungsfälle: Richtlinien an die Geschäftsanforderungen anpassen

Da die Anwendungsfälle generativer KI je nach Unternehmen und Abteilung variieren, wird CISOs empfohlen, einen differenzierten, fallbezogenen Risikomanagementansatz zu verfolgen. Pauschale Verbote der KI-Nutzung können Innovationen hemmen, weshalb ein detailliertes Verständnis der spezifischen Bedürfnisse der einzelnen Abteilungen unerlässlich ist. Die Differenzierung von Richtlinien anhand der Sensibilität der Informationen und der regulatorischen Anforderungen ist entscheidend, um Einheitslösungen zu vermeiden.

Angesichts der sich stetig weiterentwickelnden Möglichkeiten generativer KI stehen CISOs vor der Herausforderung, mit den technologischen Fortschritten Schritt zu halten. Aufgrund des Fachkräftemangels kann die Unterstützung externer Experten für CISOs unerlässlich sein, um die Sicherheit generativer KI proaktiv zu gewährleisten. Gleichzeitig müssen Unternehmen in die Mitarbeiterschulung investieren, um einen verantwortungsvollen Umgang mit generativer KI sicherzustellen und die damit verbundenen Risiken sowie den vom Unternehmen angewandten, verifizierten und sicheren Ansatz zu verdeutlichen.

Schlüsselelemente der generativen KI-Politik

Wirksame Sicherheitsrichtlinien für generative KI sollten Datensicherheitsmaßnahmen wie Verschlüsselung, Anonymisierung und Datenklassifizierung umfassen. Angesichts der großen Datenmengen, die von KI-Systemen verarbeitet werden, müssen robuste Kontrollen unbefugten Zugriff, unbefugte Nutzung oder Weitergabe sensibler Informationen verhindern. CISOs wird empfohlen, sich auf neue Bereiche des Insider-Risikomanagements zu konzentrieren, beispielsweise auf die Verhinderung und Erkennung von Datenverlusten, um die Nutzung generativer KI abzusichern.

Richtlinien für generative KI sollten nicht nur die Dateneingabe regeln, sondern auch die Zuverlässigkeit der generierten Inhalte gewährleisten. Bedenken hinsichtlich „Halluzinationen“ und Ungenauigkeiten in großen Sprachmodellen erfordern klare Prozesse für die manuelle Überprüfung, um sicherzustellen, dass generierte Inhalte validiert werden, bevor sie wichtige Geschäftsentscheidungen beeinflussen. Auch die Ausführung unautorisierten Codes und das Potenzial für KI-gestützte Angriffe sollten in den Sicherheitsrichtlinien berücksichtigt werden.

Zukunftsfähige Sicherheitsrichtlinien für generative KI

Für Unternehmen ist es dringend erforderlich, robuste Sicherheitsrichtlinien für generative KI zu etablieren. CISOs müssen sich in diesem dynamischen Umfeld zurechtfinden, Richtlinien an den Geschäftsanforderungen ausrichten und proaktiv aufkommende Bedrohungen bekämpfen. Angesichts des rasanten Aufstiegs generativer KI ist eine klar kommunizierte und leicht zugängliche Sicherheitsrichtlinie, die Lieferkettenmanagement und Mitarbeiterschulungen umfasst, entscheidend für die sichere und verantwortungsvolle Einführung von KI.