Wie generative KI die Spielregeln der Datensicherheit ändert

Von Big Data zu generative KI: Eine datenschutztechnische Zeitenwende

Für fast neun von zehn Führungskräften steht fest, dass sie sich in den nächsten anderthalb Jahren auf generative KI konzentrieren werden. Jede zweite Führungskraft sieht die Implementierung von generativer KI und Large Language Models (LLMs) als oberste Priorität für die nächsten zwölf Monaten. Gleichzeitig zeigen sich Einkäufer aktionsfreudig: fast jeder achte Einkäufer erwartet die neuen Technologien im selben Zeitraum schon einsetzen zu können.

Während die Aufgeschlossenheit von Unternehmen als positiv betrachtet werden kann, sollte man sich der Vorfreude vorsichtig annähern, denn der voreilige Einsatz von KI birgt zahlreiche Risiken. Weiterhin wettbewerbsfähig bleiben ist oft der Antrieb für viele Unternehmen, um nur nicht den Anschluss verpassen. Dabei wiegt am schwersten, dass Datensicherheit bei der Implementierungseuphorie auf der Strecke bleibt. Nur 35 Prozent der Datenexperten geben an, dass die wichtigste Initiative, die ihre Organisation im Jahr 2024 ergreifen wird, die Implementierung strengerer Governance- und Sicherheitskontrollen ist. Gleichzeitig steigen die Budgets und Möglichkeiten für die Datensicherheit. Bei der Implementierung von KI-Lösungen sollten Unternehmen daher in die richtige Sorgfaltspflicht bei der Datenverarbeitung investieren.

Wenn es keine klaren Spielregeln, endet das Spiel im Chaos

Unabhängig davon, ob ein Unternehmen bereits offizielle Richtlinien für KI festgelegt hat oder nicht, hält das Mitarbeiter nicht davon ab sie zu nutzen – was nur noch mehr zu Lasten von Data-Experten fällt. So geben laut einer Studie 88 Prozent der Data Experts an, dass ihre Mitarbeiter KI nutzen – obwohl die Datensicherheitsstrategie ihres Unternehmens noch nicht für die rasante Entwicklung ausgelegt ist.

Wenn Mitarbeiter KI ohne die richtigen Leitplanken einsetzen, kann das schwerwiegende Konsequenzen haben, da die Verantwortlichen keinen Überblick über Prozesse haben, was echte Herausforderungen für die Datensicherheit darstellen können. Das Problem: Was man nicht sieht, lässt sich nur schwer erfassen.

Nutzung von strukturierten und unstrukturierten Daten

Bei strukturierten Daten sind die Prozesse klar und die Zuordnung ist insgesamt unkomplizierter. Sie sind einfach zu erkennen und ebenso leicht zu durchsuchen. So sind beispielsweise Informationen zu Terminen, Seriennummern oder Rufnummern formatiert und typisiert. Das Gute an ihnen ist vor allem: sie können relativ problemlos gefunden und abgerufen werden. Hier setzen Unternehmen in der Regel Sicherheitsprozesse auf der Rechnerebene ein. Oft nutzen sie dafür rollenbasierte Zugangskontrollen und abgestufte Zugangskontrollen. Auf diese Weise wird sichergestellt, dass nur Mitarbeiter auf bestimmte Informationen zugreifen können, die für ihr Aufgabengebiet relevant sind.

„Da generative KI uns noch in Zukunft weiter begleiten wird, ändern sich auch die Spielregeln. Denn immer mehr große Sprachmodelle werden direkt auf Daten aus der Speicherebene zugreifen. Was bedeutet, dass Unternehmen ihre Sicherheitsstrategien zum Datenschutz neu denken müssen.“

Moritz Plassnig, Immuta

Im Vergleich dazu sind unstrukturierte Daten komplexer, dazu zählen Dateien wie Videos, E-Mails, Bilder, PDFs und HTML-Inhalte, die sich in der Regel in Object Storages befinden. Obwohl diese Formate den Großteil der weltweit erzeugten Daten ausmachen, sind sie oft weniger nützlich als strukturierte Daten – da es schwieriger ist, aus ihnen Erkenntnisse zu gewinnen. Zusätzlich steigen Datenmengen in neue Höhen und Nutzerzahlen steigen, während zahlreiche Richtlinienanforderungen es Unternehmen nur schwerer machen, effektive Datensicherheitsmaßnahmen zu implementieren und präzise Zugriffskontrollen anzuwenden.

Aus Überforderung neigen einige Unternehmen dann dazu, diese Daten mit einem „Alles-oder-Nichts-Ansatz“ zu verwalten. Damit kommen die unstrukturierten Daten nicht in einen sicheren Safe mit Sicherheitscode, sondern landen in einem Raum mit offener oder eben zementierter Tür. Das bedeutet, entweder sie gehen das Risiko ein und gewähren uneingeschränkten Zugriff oder sie sperren die Daten vollständig und können sie nicht nutzen.

Datensicherheitsprozesse und was Unternehmen tun können

Fast jeder, der Daten in großem Umfang nutzt, hat bereits ein analytisches Data Warehouse, ein Data Lake oder ein Lake House implementiert. Daher konzentrierte man sich hauptsächlich auf die Datensicherheit strukturierter Daten. Für diese reichten traditionelle Kontrollen wie die rollenbasierte Zugriffskontrolle, die bei der Abfrage von Daten mit SQL durchgesetzt wird.

Da generative KI uns noch in Zukunft weiter begleiten wird, ändern sich auch die Spielregeln. Denn immer mehr große Sprachmodelle werden direkt auf Daten aus der Speicherebene zugreifen. Was bedeutet, dass Unternehmen ihre Sicherheitsstrategien zum Datenschutz neu denken müssen. Data Security Practices, die für die Rechnerebene gelten, können traditionell nicht für die Speicherebene angewendet werden. Um Daten aus der Speicherebene zu sammeln, braucht es eine zusätzliche Ebene, eine geheime Formel. Viele Unternehmen sind sich dessen oft nicht bewusst, aber wenn sie generative KI intensiver in ihre Geschäftsprozesse integrieren wollen, müssen sie hier genauer hinsehen.

Die attributbasierte Zugriffskontrolle (ABAC) basiert auf einer Reihe von Merkmalen, die als „Attribute“ bezeichnet werden. Dazu gehören Benutzerattribute, Umgebungsattribute und Ressourcenattribute. Im Wesentlichen verfügt ABAC über eine viel größere Anzahl möglicher Kontrollvariablen als RBAC (Rollenbasierte Zugriffskontrolle). ABAC wird eingeführt, um das Risiko eines unbefugten Zugriffs zu verringern, da es die Sicherheit und den Zugriff präziser steuern kann. Anstatt beispielsweise Mitarbeitern in der Personalabteilung immer den Zugriff auf Mitarbeiter- und Gehaltsinformationen zu ermöglichen, kann ABAC ihren Zugriff weiter einschränken, beispielsweise nur zu bestimmten Zeiten oder für bestimmte Zweigstellen, die für diesen Mitarbeiter relevant sind. Dies kann Sicherheitsprobleme reduzieren und auch bei nachfolgenden Prüfprozessen hilfreich sein.

Die Entwicklung der KI wird sich weiter beschleunigen. Heute hält die Hälfte der Unternehmen mit ihren Datensicherheitsstrategien nicht Schritt, und es besteht die große Gefahr, dass sensible Daten versehentlich oder ungewollt preisgegeben werden. Indem Tools wie ChatGPT in die Hände alltäglicher Nutzer gelegt wurden, sind Fragen zu persönlichen Daten und Geschäftsgeheimnissen zu heißen Gesprächen geworden. Eines ist sicher: Die Sicherung von Daten in dieser komplexen Landschaft erfordert neue Werkzeuge und Prozesse, um zu gewährleisten, dass die Daten sicher und vertrauenswürdig sind.

Über den Autor:
Moritz Plassnig ist Datensicherheitsexperte und Chief Product Officer von Immuta. Moritz Plassnigs Karriere begann, als er Codeship (ein SaaS CI/CD-Produkt) aufbaute und vermarktete. 2018 verkaufte er sein Produkt an CloudBees. Bei dem DevOps-Unternehmen CloudBees leitete Plassnig schließlich das Corporate Business Development. Im Mai 2021 kam Plassnig als erster Chief Product Officer zu Immuta, wo er seither für die Bereiche Technik, Produktmanagement und Marketing verantwortlich ist und mit persönlicher Überzeugung für eine ethische und gesetzeskonforme Datennutzung einsteht.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.