Man sagt, dass Daten das Öl des Informationszeitalters sind. Und wenn das der Fall ist, dann Woche des Datenschutzes ist eine gute Erinnerung daran, dass Ihre Daten wertvoll sind. Die internationale Veranstaltung berät Einzelpersonen darüber, wie sie ihre Daten schützen, Datenschutzeinstellungen verwalten und fundiertere Entscheidungen darüber treffen können, wer (und was) diese Daten erhält.
Die Datenschutzwoche ist auch ein guter Zeitpunkt für Unternehmen, ihre Datenschutzpraktiken zu überdenken. Mit immer mehr Lösungen, die KI einsetzen und Nutzerdaten aufnehmen, hybrider Arbeit und mehr Nutzern, Geräten, Berechtigungen und Umgebungen als je zuvor, gibt es neue und komplexe Risiken für die Daten von Unternehmen.
Anlässlich der Data Privacy Week werde ich einige dieser neuen Risiken untersuchen. Ich erkläre, wie neue digitale Assistenten und KI-Modelle neue Sicherheitsrisiken mit sich bringen können, warum Lösungen für Identitätsmanagement und -verwaltung (IGA) die Grundlage für den Datenschutz bilden, und schlage einige bewährte Verfahren vor, die Unternehmen anwenden können, um ihre Daten zu schützen.
Das Thema der diesjährigen Datenschutzwoche lautet "Übernehmen Sie die Kontrolle über Ihre Daten". Das ist ein gutes Ziel, aber wie die meisten Dinge ist es leichter gesagt als getan. Jedes Gerät, jeder Benutzer, jedes Maschinenkonto und jede Ressource erstellt, überträgt und verarbeitet Daten. Aus diesem Grund brauchen Unternehmen ein IGA-Programm, das ihnen die nötigen Funktionen bietet:
- Behalten Sie den Überblick und die Kontrolle über alle Unternehmensdaten: Man kann nicht kontrollieren, was man nicht sieht oder versteht. IGA stellt sicher, dass die richtigen Konten Zugriff auf die richtigen Daten haben, indem es regelmäßige Zugriffsüberprüfungen durchsetzt und Dateneigentümern die Möglichkeit gibt, Berechtigungen nach Bedarf zu genehmigen oder zu entziehen. Außerdem erhalten Ihre Administratoren einen Überblick darüber, auf welche Daten die Benutzer derzeit zugreifen können.
- Kontinuierliche Einhaltung der Vorschriften sicherstellen: Ein Vorteil der IGA und des Einblicks in die Daten Ihres Unternehmens? Die Demonstration dieser Kontrolle gegenüber den Regulierungsbehörden. IGA kann Workflows, Audit-Berichte und Zugriffszertifizierungen automatisieren, um die Einhaltung von GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA und anderen wichtigen Vorschriften nachzuweisen.
- Schutz sensibler Daten: IGA-Lösungen können Ihrem Sicherheitsteam verwertbare Einblicke in den Datenzugriff verschaffen, um unbefugten Zugriff zu erkennen und einzudämmen und so Kundendaten und geistiges Eigentum zu schützen.
Generative KI-Modelle und Large Language Models (LLMs) bringen neue Risiken mit sich, denen Unternehmen Rechnung tragen müssen. Instanzen von Microsoft Copilot, DeepSeek und ChatGPT stützen sich auf Benutzereingaben, um ihre Modelle zu trainieren. Im Großen und Ganzen bedeutet dies, dass alles, was ein Benutzer in eine Eingabeaufforderung einträgt, Teil des Modells wird. Wenn Ihr Unternehmen einen KI-Assistenten einsetzt, hat das Tool möglicherweise einen umfassenderen Zugriff auf Unternehmensdaten und verfügt nicht über Sicherheitsvorkehrungen, die einschränken, wann, ob und wie es diese Daten verwenden darf.
Das kann natürlich erhebliche Risiken mit sich bringen. Man denke nur an den Azure Health Bot-Dienst von Microsoft, der "seitliche Bewegungen im gesamten Netzwerk und damit den Zugang zu sensiblen Patientendaten ermöglichte", so TechRadar. In einem Bericht vom April 2024 wurde festgestellt, dass 20% der britischen Unternehmen "potenziell sensible Unternehmensdaten durch die Nutzung generativer KI (GenAI) durch ihre Mitarbeiter offengelegt haben", so Infosecurity Magazin. Cisco schätzt, dass ein Viertel der Unternehmen die generative KI aufgrund dieser Bedenken verboten hat.
Diese Bedenken sind durchaus begründet. LLMs benötigen ein breites Spektrum an Kundendaten, um ihre Modelle zu trainieren, und die Nutzer sind darauf trainiert, dem "magischen Kasten" der Google-Suche zu vertrauen und ohne Angst das einzugeben, wonach sie suchen. Dadurch können Finanzinformationen, geistiges Eigentum, personenbezogene Daten oder andere sensible Daten in Gefahr geraten.
Nicht nur Benutzereingaben sind riskant. Wenn ein LLM auf Ihre Daten trainiert wird, können Dritte ihn abfragen, um Informationen zu finden, die Sie lieber nicht veröffentlichen würden. Ebenso besteht das Risiko, dass der Assistent selbst Informationen über jeden beliebigen Ausgangskanal verbreitet, über den er kommunizieren kann.
Wenn Ihr Unternehmen einen digitalen Assistenten installieren möchte, müssen Sie einige bewährte Verfahren anwenden, um ihn und Ihr Team zu schützen.
Lassen Sie Ihr Führungsteam zunächst die Risiken erläutern. Legen Sie fest, welche Arten von Informationen die Benutzer eingeben können und welche nicht. Bei RSA haben wir unserem Team erklärt, dass sie Informationen eingeben können, die für den öffentlichen Gebrauch bestimmt sind. Alles andere sollte nicht Teil einer Benutzerabfrage sein.
Zweitens: Stellen Sie sicher, dass Sie die richtigen Steuerelemente einschalten. Diese müssen nicht immer die Standardeinstellungen des Assistenten sein: Wenn sie falsch konfiguriert sind, können KI-Assistenten auf alles im Unternehmen zugreifen. Stellen Sie sicher, dass Ihr Chatbot weiß, welche Informationen er abfragen kann und welche er zurückgeben kann. Unternehmen müssen die Daten entsprechend trennen, damit Benutzer X keine Antworten erhält, die auf den Dateien von Benutzer Y basieren. Andernfalls riskieren Sie, dass Ihre Mitarbeiter gegenseitig ihre E-Mails lesen und auf unbeabsichtigte Informationen zugreifen.
Sie müssen auch wissen, worauf Ihr System zugreifen kann, wann es diesen Zugriff hat und wann es Empfehlungen an die Benutzer gibt. Stellen Sie sicher, dass diese Regelsätze für alle von Ihnen eingesetzten KI-Tools gelten (es gibt mehrere Versionen von Microsofts Copilot). Und diese Tools müssen sich in ein abgestimmtes Sicherheitskonzept einfügen.
Und schließlich sollten Sie Ihren Anbieter fragen, was mit Ihren Suchenden, Daten und Antworten geschieht. Bewahrt der Anbieter sie auf? Wenn ja, für wie lange? Werden andere Instanzen der Lösung auf Ihr Modell trainiert, oder bleibt das alles für Sie privat?
Ich habe vor allem die Risiken erörtert, die LLMs und generative KI für die Cybersicherheit von Unternehmen darstellen. Diese KI-Modelle sorgen für die meisten Schlagzeilen und stellen einige der größten Risiken dar, und sei es nur, weil immer mehr Benutzer Eingabeaufforderungen in ChatGPT, Copilot usw. eingeben.
Auch die Cybersicherheit kann von KI profitieren - allerdings muss Ihr Team das richtige Modell verwenden. Im Großen und Ganzen sind LLMs und generative KI derzeit nicht für Sicherheitsoperationen geeignet. Sie sind eine Blackbox, die Ergebnisse liefert, die ein menschlicher Operator nicht immer validieren kann, und ihre Ergebnisse sind nicht immer hilfreich.
Diese Modelle basieren auf nicht-deterministischen Modellen (ich gebe X Werte ein, ich weiß nicht, was herauskommt). Deterministische Modelle (ich gebe X Werte ein, ich weiß, was das Ergebnis sein wird und wie die Lösung zu diesem Ergebnis kommt) können für die Cybersicherheit äußerst nützlich sein.
Wir haben in der Vergangenheit RSA® Risiko AI seit Jahrzehnten, um Echtzeiteinblicke in Authentifizierungsanfragen zu erhalten. Risk AI ist ein risikobasiertes, deterministisches maschinelles Lernmodell, das die IP-Adresse und die Netzwerksignale eines Benutzers, die Verhaltensanalyse, die Geolokalisierung, die zeitbasierten Signale, die Anwendungssignale, die gerätebezogenen Signale und vieles mehr bewertet, um das Risiko zu beurteilen. Wenn diese Signale und Verhaltensweisen das typische Verhalten des Benutzers im Vergleich zu sich selbst und dem Rest des Unternehmens widerspiegeln, wird er als risikoarm eingestuft und kann sich mit Standardmethoden authentifizieren. Weichen diese Verhaltensweisen signifikant ab, automatisiert das System eine verstärkte Authentifizierungsanforderung und kann das Sicherheitsteam darauf hinweisen.
Wichtig ist, dass RSA Risk AI keine Informationen über Organisationen sammelt und dass wir keine Informationen aus einem bestimmten Einsatz verwenden, um zukünftige Iterationen zu trainieren. Wir verschlüsseln und tokenisieren alle Risk AI-Daten. Jede Risk AI-Instanz wird für jeden Kunden von Organisation zu Organisation bereitgestellt, und diese Bereitstellungen werden auf ihre Daten und nur auf ihre Daten feinabgestimmt.
Lassen Sie sich von den technischen Best Practices oder den Punkten zur Sicherheitsarchitektur nicht vom Wesentlichen ablenken: Ihre Daten sind wertvoll. Es ist die Zeit und die Ressourcen eines Unternehmens wert, in die Werkzeuge, Prozesse und Verfahren zu investieren, die die Daten schützen können.
Wenn Sie Fragen dazu haben, sind wir für Sie da Hilfe.
