Generative KI braucht Schutz

Generative KI bietet Unternehmen enorme Chancen, konfrontiert sie aber auch mit neuen Risiken für IT-Sicherheit und Compliance. Mit den richtigen Maßnahmen lassen sich diese gut adressieren. Vorintegrierte und getestete Lösungen helfen dabei.

Digitale Assistenten im Kundenservice, die automatisierte Erstellung von Marketing-Inhalten, Computer-Vision-Systeme in der Fertigung, Coding-Assistenten in der Softwareentwicklung: Generative KI macht Unternehmen an vielen Stellen effizienter, produktiver und kreativer. Sie wird zunehmend zu einem entscheidenden Faktor für Innovation und Wettbewerbsfähigkeit, weshalb immer mehr Unternehmen diese Technologie im großen Stil nutzen und breit in ihre Geschäftsprozesse integrieren möchten. Doch sie bietet ihnen nicht nur viele Chancen, sondern konfrontiert sie auch mit einer Reihe neuer Risiken für IT-Sicherheit und Compliance.

So öffnen die Large Language Models der generativen KI potenzielle Einfallstore für neue Cyberattacken wie Prompt Injection, Adversarial Attacks oder Data Poisoning. Bei Prompt Injection bringen Angreifer die Modelle durch raffinierte Eingaben dazu, vertrauliche Daten preiszugeben. Adversarial Attacks sind gezielte Manipulationen von Eingabedaten, die ein KI-Modell absichtlich fehlleiten, sodass es falsche Vorhersagen oder Klassifikationen liefert. Beim Data Poisoning schleusen Angreifer falsche, irreführende oder bösartige Daten in den Trainingsprozess eines Modells ein, um Schwächen hineinzuschmuggeln, Vorhersagen zu manipulieren oder versteckte Backdoors zu installieren.

Unternehmen müssen rechtliche Vorgaben und ethische Standards beachten

Neben Cyberrisiken drohen Unternehmen beim Einsatz von generativer KI zudem Verstöße gegen rechtliche Vorgaben und ethische Standards. Der EU AI Act ist eines der zentralen regulatorischen Rahmenwerke für KI und formuliert klare Regeln für die Entwicklung und den Einsatz Künstlicher Intelligenz, indem er Unternehmen zur Einhaltung von Transparenz- und Sicherheitsstandards verpflichtet. Auch wenn dieses Gesetzeswerk noch nicht vollständig in Kraft ist, sollten Unternehmen bei der Einführung von GenAI jetzt schon seine Anforderungen im Blick behalten, um spätere Compliance-Risiken zu vermeiden.

Zudem unterliegen GenAI-Anwendungen der DSGVO. Wenn Unternehmen Sprachmodelle mit organisationseigenen Daten trainieren, die personenbezogene Informationen enthalten, besteht die Gefahr, dass die Modelle diese Informationen in späteren Antworten reproduzieren, und damit die Vorgaben der DSGVO verletzen. Compliance-Risiken drohen Unternehmen auch, wenn sie Sprachmodelle aus öffentlichen Clouds nutzen. Wenn sie personenbezogene Informationen ohne Rechtsgrundlage übertragen oder in Drittländer exportieren, kann das ebenfalls einen Verstoß gegen die DSGVO darstellen. Aber auch Geschäftsgeheimnisse oder sensible Unternehmensdaten können in die Cloud gelangen, wo die Kontrolle über ihre Nutzung eingeschränkt ist.

Ein Problem ist auch der so genannte Data Bias. Nicht repräsentative Trainingsdaten, selektiv ausgewählte Datenquellen, fehlerhafte Annotationsprozesse, das Algorithmusdesign und die gewählten Evaluationsmethoden können dazu führen, dass die generative KI diskriminierende oder fehlerhafte Entscheidungen trifft. Dadurch kann es zu Verstößen gegen das Antidiskriminierungsgesetz, die DSGVO oder den EU AI Act kommen. Gleichzeitig untergräbt es das Vertrauen von Kunden, Mitarbeitern und Partnern.

Technische und organisatorische Maßnahmen sind erforderlich

Verstöße gegen rechtliche Vorgaben und der Verlust sensibler Unternehmensdaten können zu erheblichen Kosten, regulatorischen Sanktionen und nachhaltigen Reputationsschäden führen. Vom Einsatz generativer KI sollten sich Unternehmen davon aber natürlich nicht abhalten lassen. Dafür sind die Potenziale dieser Technologie viel zu groß, und wer sie nicht einsetzt, riskiert, gegenüber Unternehmen in Rückstand zu geraten, die sie nutzen. Mit den richtigen Maßnahmen haben Unternehmen die Möglichkeit, diese Risken wirksam zu adressieren. Dazu zählen technische Absicherung, Compliance- und Governance-Strukturen sowie eine kontrollierte Infrastruktur.

Auf technischer Ebene sollten alle eingesetzten KI-Modelle systematisch auf Schwachstellen getestet werden, die Angriffe wie Prompt Injection und Data Poisoning oder andere Manipulationsarten ermöglichen. Regelmäßige Audits, Penetrationstests und Monitoring helfen, potenzielle Angriffsflächen frühzeitig zu erkennen und zu schließen. Gleichzeitig ist es wichtig, dass Datentransfers und Zugriffe verschlüsselt und überwacht werden, um Cyberrisiken zu minimieren.

Durch klare Richtlinien und Governance-Strukturen lassen sich Verstöße gegen gesetzliche Vorgaben sowie interne Compliance-Richtlinien vermeiden. Dazu gehören insbesondere die Nachvollziehbarkeit von Datenflüssen, die Dokumentation von Trainings- und Inferenzprozessen, die Risikoanalyse der GenAI-Systeme sowie die Sicherstellung, dass keine geschützten oder sensiblen Informationen unkontrolliert weitergegeben werden. Durch den Einsatz von On-Premises-Infrastrukturen können Unternehmen zudem die volle Kontrolle über sicherheitskritische GenAI-Workloads behalten und die Risiken öffentlicher Clouds für Compliance und den Schutz von Geschäftsgeheimnissen vermeiden.

Vorbereitete Infrastruktur-Designs beschleunigen und vereinfachen die Umsetzung

Die Umsetzung dieser Maßnahmen ist alles andere als trivial. Validierte Designs für GenAI-Anwendungen von IT-Partnern können Unternehmen dabei maßgeblich unterstützen und enorm entlasten.

Solche Designs enthalten Blaupausen für Architekturen aus Hardware und KI-Software, die bereits getestet und validiert wurden. Sie bieten zudem Empfehlungen für die richtige Dimensionierung und geben detaillierte Anleitungen für das Deployment und den Betrieb der Infrastrukturen. Zudem enthalten sie Sicherheitsmechanismen wie Verschlüsselung, Zugriffskontrolle und Monitoring, die die Schwachstellen der Modelle abfedern und Cyberrisiken minimieren. Außerdem stellen sie nachvollziehbare Prozesse, Logging und Management-Tools bereit, die Unternehmen dabei unterstützen, Governance- und Audit-Anforderungen umzusetzen.

Die Designs müssen natürlich noch an die Anforderungen der jeweiligen Anwendungen angepasst werden. Sie ermöglichen es Unternehmen aber, On-Premises-Infrastrukturen für ihre GenAI Use Cases schneller und risikoärmer zu implementieren und befreien sie davon, alle sicherheitsrelevanten Aspekte selbst zu planen, zu integrieren und zu testen. Dadurch haben sie nicht nur weniger Aufwand, sondern vermeiden auch Fehlkonfigurationen, Sicherheitslücken und Inkompatibilitäten zwischen einzelnen Komponenten.

Generative KI bietet Unternehmen enorme Chancen – von Effizienzsteigerungen bis zu neuen Innovationsmöglichkeiten – bringt aber auch Risiken für Sicherheit und Compliance mit sich. Getestete und validierte Infrastrukturen helfen ihnen dabei, diese Risiken zu kontrollieren und die Potenziale dieser Technologie sicher und verantwortungsvoll auszuschöpfen.