Tägliche Geschäftsanwender experimentieren mit ChatGPT und anderen generativen KI-Tools. Tatsächlich prognostiziert Gartner, dass bis 2025 30 Prozent der Marketinginhalte durch generative KI erstellt und von Menschen verbessert werden.
Unternehmen wie Samsung haben jedoch festgestellt, dass Benutzer, die sich der Risiken neuer Technologien nicht bewusst sind, zu unwissenden Insider-Bedrohungen werden. Wenn man also zu schnell vorgeht, ohne Leitplanken zu errichten, kann es zu Datenschutzverletzungen und anderen Sicherheitsvorfällen kommen.
Es besteht kein Zweifel daran, dass generative KI ein nützliches Werkzeug für Unternehmen sein wird, sie muss jedoch sorgfältig implementiert werden.
Da sich unstrukturierte Daten vermehren und in neue Algorithmen und die sie nutzenden Anwendungen integriert werden, müssen Unternehmen verantwortungsvolle KI-Nutzungs- und Datenschutzstrategien entwickeln, die dieser neuen Ära standhalten können.
Insider-Bedrohungen sind größer denn je
Der Datenverstoß bei Samsung ist kein Einzelfall. Untersuchungen zeigen, dass Insider-Bedrohungsvorfälle in den letzten zwei Jahren um 44 Prozent gestiegen sind.
Zwar wird es immer ein gewisses Maß an menschlichem Versagen geben, dieses beispiellose Risiko kann jedoch gemindert werden.
Viele CIOs zögerten, die Regeln für generative KI festzulegen, weil sie befürchteten, dass sich die Mitarbeiter misstrauisch fühlen könnten. Ein freizügiger Ansatz macht Unternehmen jedoch anfällig für Risiken.
Letztlich muss die IT ein Gleichgewicht zwischen der Gewährung des Zugangs der Mitarbeiter zu den von ihnen benötigten Tools und Daten und der Möglichkeit, dass Menschen Fehler machen können, herstellen.
Menschliches Versagen ist eines der größten Sicherheitsrisiken. Der beste Weg, Daten zu schützen, besteht darin, sicherzustellen, dass sich alle Benutzer verantwortlich fühlen und wissen, wie sie dies tun.
Unternehmen sollten Mitarbeiter basierend auf ihren Rollen und Zugriffsebenen zu Datenverwaltern ausbilden.
CMOs, Entwickler, Datenbankadministratoren und HR-Assistenten haben alle unterschiedliche Beziehungen zu den Daten, mit denen sie arbeiten.
Jeder Mitarbeiter muss die damit verbundenen Risiken verstehen und wissen, wie er seine Daten besser schützen kann. Wenn wir alle aktive Bürger in unseren Gemeinden sind und Vorschriften wie Verkehrsregeln einhalten, um sicher zu sein, müssen die Mitarbeiter dasselbe tun und bei allem, was sie tun, Datensicherheit und eine Sicherheitseinstellung mitbringen.
Beseitigung der Schatten-IT
In einigen Organisationen ist generative KI möglicherweise nur eine von unzähligen Anwendungen, die die IT-Abteilung überwachen sollte, aber nicht immer den vollständigen Einblick in die ein- und ausgehenden Daten hat.
Die Realität ist, dass die meisten Unternehmen über „Schatten-IT“-Geräte verfügen, die es unstrukturierten Daten ermöglichen, ohne Buchhaltung oder Schutz durch die IT-Umgebung zu gelangen.
Erschreckenderweise ergab die Studie, dass 42 Prozent der IT-Führungskräfte angaben, dass mindestens die Hälfte ihrer Daten im Schatten liege, was bedeutet, dass sie nicht lokalisiert, verwaltet oder gesichert werden könnten.
Mitarbeiter, die nicht genehmigte Anwendungen wie generative KI-Tools verwenden, können unwissentlich betrügerische IT- und Dark-Data-Assets hinzufügen, sodass Unternehmen nur wenig Einblick haben, um versehentliche Datenschutzverletzungen zu verhindern.
Der Zugriff auf Daten und Anwendungen ist immer noch sehr wichtig, aber die Gewährleistung einer angemessenen Transparenz dieser Vermögenswerte und eine sorgfältige Zugriffsverwaltung können Unternehmen dabei helfen, ein Gleichgewicht zu finden.
Dies kann auf mehreren Ebenen erfolgen:
-
Zugriffsberechtigungen: Die IT sollte regelmäßig aktualisieren und überwachen, wer wirklich Zugriff auf Datensätze oder Anwendungen benötigt, und aktualisieren, wenn sich Rollen oder Beschäftigungsstatus ändern.
-
Data Scraping verhindern: Generative KI-Tools trainieren anhand von Internetdaten. Wenn ein Mitarbeiter vertrauliche Unternehmensdaten in einen Chatbot eingibt, könnte er diese Informationen preisgeben und unbeabsichtigt öffentlich zugänglich machen. Anbieter wie OpenAI und Anthropic arbeiten hart daran, Datenschutzkontrollen zu implementieren, aber Unternehmen sollten nicht warten und sich auch nicht auf Außenstehende verlassen, um ihre Vermögenswerte zu schützen. Sie müssen ihre eigenen Steuerelemente erstellen.
-
Proaktive Beobachtbarkeit: Regelmäßiges Scannen der Datenumgebung trägt dazu bei, Bedrohungen besser zu verstehen, von der Erkennung von Schattendaten und Anwendungen von Drittanbietern bis hin zur Messung des Datenflusses im gesamten Unternehmen. IT-Experten können beispielsweise erkennen, wenn ein überforderter Mitarbeiter Daten in eine Erweiterung eines Drittanbieters einfügt, und Maßnahmen ergreifen, um den Zugriff Dritter zu verhindern und den Mitarbeiter über seine Rolle beim Datenschutz aufzuklären.
organisationsweite Bemühungen
Der beste Weg, geschützte Datenschutzverletzungen durch generative KI zu verhindern, ist ein verantwortungsvoller Umgang mit KI. Die Implementierung einer bewussten Datenstrategie, die Sicherheit und Zugriff in Einklang bringt, ist für jedes Unternehmen von entscheidender Bedeutung.
Unternehmen können sich vor den heutigen Sicherheitsbedrohungen schützen und gleichzeitig die besten Aspekte der KI nutzen, aber nur, wenn die Datensicherheit zur Priorität wird: eine koordinierte Anstrengung, die technische Leitplanken und Rechenschaftspflichtprozesse umfasst, sowie maßgeschneiderte Mitarbeiterschulungen im gesamten Unternehmen.
Nur dann können Unternehmen die heutigen Sicherheitsbedrohungen wirklich abwehren und gleichzeitig die besten Aspekte der KI nutzen.