Seit der Verfügbarkeit von GenAI-Tools wie ChatGPT sind Unternehmen bestrebt, die neue Technologie für ihre Geschäftsprozesse zu nutzen. Diese Entwicklungen werfen jedoch viele Fragen auf: Vor allem die Mitarbeitenden sind verunsichert und brauchen Unterstützung darin, die Technologie zu verstehen sowie sinnvoll und korrekt anzuwenden. Letzteres gilt nicht nur in Bezug auf die Schaffung wertvoller Arbeitsergebnisse, sondern auch hinsichtlich der Sicherheitsaspekte und -Bedenken. Ein AI Security Awareness Training kann Interesse und Verständnis für diese Technologie schaffen und ist das beste Instrument, um eine Diskussion über das Für und Wider der Tools zu eröffnen. Gleichzeitig ergibt sich dadurch auch eine große Chance für eine Sensibilisierung zur Förderung der generellen Security Awareness. Für Unternehmen bietet sich hier ein Schlüssel für die sichere Transformation von Geschäftsprozessen.

GenAI als Trend & Herausforderung für die Arbeitswelt

Seit November 2022 gab es in der Welt der Generative Artificial Intelligence (GenAI)-Werkzeuge bedeutend viele neue Entwicklungen. In vielen Organisationen wird seitdem über eine Implementierung nachgedacht oder diese bereits umgesetzt. Unabhängig davon, ob es sich um offene oder proprietäre Tools handelt, hat die Technologie das Potential, zukünftig einen bleibenden Einfluss auf unsere Arbeitswelt zu nehmen.
Das führt unweigerlich zu Umwälzungen und Unsicherheiten, zeigt aber auch Chancen auf. Berufe unterliegen einem ständigen Wandel und vor allem wissensbasierte Tätigkeiten verlangen eine dynamische Anpassung. Es muss zur Prämisse werden, möglichst viele Mitarbeitende für diese neue Technologie zu begeistern und dort zu befähigen, wo die persönliche Auseinandersetzung mit der Materie scheitert und im schlimmsten Fall zur Ablehnung führt. Um dies zu verhindern, sollte frühzeitig ein Training im Bereich GenAI angeboten werden, das Aufklärung über die bisherigen Möglichkeiten aber auch über Grenzen und Risiken der Technologie bietet.
Denn so gut und schnell die Chatbots und GenAI-Tools sind, so klar definieren sich auch ihre Schwächen. Aktuell funktionieren sie ähnlich dem Sinnbild des „stochastischen Papageien“. Sie können nur begrenzt mit menschlichen Stilmitteln wie Ironie oder Sarkasmus umgehen, diese nur vereinzelt erkennen und die Antworten entsprechend darauf ausrichten.

Darüber hinaus gilt es, die Kunst des sogenannten „Promt-Engineering“ zu erlernen, um brauchbare Ergebnisse zu erzielen. KI war bislang ein Feld für Spezialisten, GenAI und Promt-Engineering dagegen werden zu Soft Skills, die jeder beherrschen kann, aber auch muss. Neben der Herausforderung der technologischen Weiterentwicklung einerseits, liegt andererseits derzeit eine der größten Herausforderungen in der Art und Weise, wie die Anwender die Tools nutzen. Vielfach ist den Nutzern nicht bewusst, welche Risiken bei der Interaktion entstehen können.

GenAI als Herausforderung für die Sicherheit von Unternehmen: Data Leakage- & Manipulationsgefahr

Zunächst einmal lernt eine GenAI alles, was ihr beigebracht wird und speziell im Falle selbst-lernender AI werden auch alle Informationen gespeichert, die von Nutzern eingegeben werden. Bereits jetzt gibt es Praxis-Beispiele, bei denen private und persönliche Daten und auch Intellectual Property (IP) von Dritten über eine nicht gezielte Abfrage abgerufen werden konnten. Das Problem des Data Leakage, also des ungewollten Abflusses von Daten – eventuell sogar personenbezogener Daten – ist allgegenwärtig. Hierbei liegt die Komplexität des Problems in dem Spektrum der Zusammenstellung der ursprünglichen Trainingsdaten und der Inputs bei selbstlernenden Tools einerseits, und Fragen nach den Urheberrechten und nach nicht-autorisierter Weitergabe von Firmen oder personenbezogenen Daten andererseits, d.h. sowohl im Input als auch im Output. Diese zwei Seiten der Medaille müssen sowohl in der Erstellung als auch bei der Nutzung bedacht werden. Allzu oft fehlt die Sensitivität und ein Bewusstsein dafür, welche Informationen und Daten schützenswert sind und welche nicht, geschweige denn, wie man diese Daten und Tools auch auf technischer Ebene schützen kann. Cybersicherheit ist somit ein Kernthema in der Entwicklung und Nutzung von AI-Tools.

Gerade mit der Verbreitung kleinerer Modelle droht eine unkontrollierte und vor allem unbemerkte Manipulation durch Externe. Für Sicherheitsverantwortliche ist es im Fall einer Kompromittierung fast unmöglich, eine Veränderung an den Algorithmen nachzuvollziehen. Auch das Zurücksetzen auf einen Backup-Stand ist ein Problem, wenn durch ein ständiges Lernen ein Wissensstand nicht einfach neu gestartet werden kann. Dies kann zu einem Unternehmensrisiko werden, wenn die Manipulation, ähnlich einem Sicherheitsvorfall, erst nach Monaten entdeckt wird. Können Angreifer erst einmal den Output kontrollieren, können sie ganze Geschäftsmodelle zu ihren Gunsten verändern. Eine Aufklärung und die Nachvollziehbarkeit einer solchen Straftat ist äußerst schwierig bis hin zu unmöglich, dies rechtssicher forensisch nachzuweisen.
Bisher fehlen Konzepte, die eine Korrumpierbarkeit der GenAI-Tools wirksam verhindern. Bereits im letzten Jahr konnten mehrfach zeitweise Ausfälle bei der Verfügbarkeit der noch jungen Technologie beobachtet werden. Dies kann sowohl bei den proprietären als auch bei den offenen Anbietern passieren. Deshalb müssen Unternehmen ein Business Continuity-Konzept vorhalten, um auf eventuelle Ausfälle vorbereitet zu sein. Geschäftsprozesse sollten zur Not ohne den Einsatz der Tools funktionieren und die Abhängigkeit geringgehalten werden, bzw. erhöhte Schutzmaßnahmen geplant werden, für den Fall, dass es sich um kritische Prozesse handelt. Sicherheitsteams stehen vor der Frage, wie sie aus technischer, organisatorischer und menschlicher Sicht die KI-Architektur so aufbauen, dass sie „per Knopfdruck“ angehalten und auf eine Art Werkseinstellung zurückgesetzt werden kann. Ein weiterer Ansatz ist der Einbau eines „Faktencheckers“ der die Informationen noch einmal automatisch überprüft und auf den Wahrheitsgehalt hin einstuft. Damit wird dem Anwender eine zusätzliche Hilfe angeboten, um Fehlerketten zu vermeiden.

Security Awareness Training & Synergien

Über all diese Aspekte muss aufgeklärt werden. Denn darauf zu setzen, dass sich die Anbieter dieser Modelle zu einem Security by Design-Ansatz verpflichten, ist illusorisch. Und selbst wenn die Anwendungen sicher entwickelt sind, bietet die Integration häufig weitere Schnittstellen, an denen Manipulation möglich ist. Zwar können Gesetze und Compliance für eine grundsätzliche Sensibilisierung sorgen und bei Anbietern einen gewissen Zwang zur Verbesserung ausüben. Ebenso verhält es sich mit Bestimmungen zum Datenschutz. Die DSGVO, der EU AI Act und weitere Gesetze helfen hier für eine grundlegende Sicherheit. Dennoch sollten sich weder Unternehmen noch ihre Mitarbeitenden darauf verlassen und selbst tätig werden.

Wie bei vielen Schulungsmaßnahmen zu Sicherheitsthemen ist es wichtig, dass die Geschäftsführung diese unterstützt und mit gutem Vorbild voran geht. Darüber hinaus gilt es, allen Stakeholdern im Unternehmen Rechnung zu tragen, d.h. kritischen Rückfragen aus der Rechtsabteilung, dem Betriebsrat oder ähnlichen Organisationen sowie möglichen Detailfragen aus den Fachabteilungen, standhalten. Trainer müssen sich über die Erwartungshaltung genauso klar sein, wie über die Messbarkeit der zu erzielenden Effekte. Ziel sollte sein, so viele Stakeholder wie möglich an Bord zu holen, denn je mehr es sind, desto erfolgreicher wird die Umsetzung werden. Gelingt dies, kann eine interdisziplinäre Schulung zu Cybersicherheit und der Nutzung und Entwicklung von GenAI maßgeblich zu einer erfolgreichen nachhaltigen Digitalisierung und Transformation von Unternehmen beitragen.

Fazit

GenAI ist eine Technologie, die Unternehmen zukünftig positiv beeinflussen kann aber auch Gefahren birgt. Security Awareness hat zum Ziel, eine breite Masse von Mitarbeitenden mit einer Botschaft zu erreichen und Ansprechpartner herauszubilden, die bei der Akzeptanz und Umsetzung neuer Technologien helfen. Der Ansatz hilft genauso bei der Sensibilisierung der Mitarbeitenden für das GenAI-Thema, vor allem bei den Chancen und Risiken der Technologie. Können frühzeitig durch gute Aus- und Weiterbildung von Mitarbeitenden Ängste abgebaut und Anwendungen sicher integriert werden, gelingt es dann, viele Fragenkomplexe und Hürden zu nehmen sowie gleichzeitig Maßnahmen einzuleiten, die ein Unternehmen zukunftssicher aufstellen.