newsonline24

Künstliche Intelligenz gilt als der Effizienz-Booster für die Arbeit von heute und morgen. In Form von LLMs, Agenten und KI-gestützten Automatisierungen hat sie Einzug in den Unternehmensalltag gefunden – und wird oft ebenso selbstverständlich wie gedankenlos genutzt: Einfach schnell Kundendokumente in ChatGPT kopieren, um die Sprache zu glätten, den Text zusammenzufassen oder sich Ideen dazu vorschlagen zu lassen. KI findet sich auch in den unterschiedlichsten Tools vom Browser-Plugin bis hin zu Multi-Agenten-Workflows. Mal wird sie in Abstimmung mit der eigenen IT und mit Enterprise-Vertrag genutzt, mal als Shadow-KI ohne Zustimmung der Administratoren. Doch egal, für was und wie KI eingesetzt wird, ein Grundsatz muss dabei immer gelten: When AI decides, Control matters. Denn mit unkontrollierter KI-Nutzung steigt auch das Risiko unbeabsichtigter Datenabflüsse. Neue Angriffsmethoden wie Prompt Injection und manipulierte Agenten zeigen, dass die KI bereits ein eigenes Angriffsfeld ist. Doch das ist sie nicht nur, weil KI-Anwendungen neue Schwachstellen für Angreifer schaffen können, sondern weil diese Anwendungen auch ohne die notwendige Sorgfalt in Hinsicht auf die Cybersecurity eingesetzt werden

Die KI – das unterschätzte Risiko für die IT-Sicherheit

„Eines der grössten Risiken im KI-Umfeld findet sich im Alltag – jeder unkontrollierte Prompt kann sensible Daten abfliessen lassen“, beschreibt Julian Richter das Grundproblem bei der Nutzung von KI in Unternehmen. Julian Richter ist Senior Cybersecurity Engineer bei Consulteer InCyber. Das Schweizer Unternehmen ist ein unabhängiger Managed Security Service Provider und unterstützt seine Kunden dabei, in puncto digitaler Sicherheit immer einen Schritt schneller zu sein als deren Angreifer. In seinem Artikel „Wenn KI zur Angriffsfläche wird – Top-Risiken und Schutzmassnahmen“ beschreibt er detailliert, wie KI-Modelle, Agenten und von ihnen genutzte APIs neue Möglichkeiten für gezielte Angriffe und Datenabflüsse bieten. Er sieht die KI-Security nicht als rein technisches Problem, sondern als strategische Pflicht für Unternehmen. Und die beginnt „nicht bei der Entwicklung, sondern bei jedem Einsatz im Arbeitsalltag“, konstatiert Urs Binggeli, Head of Managed Security Services bei Consulteer InCyber.

KI bricht aus den gewohnten Mustern der Cybersicherheit

Für Unternehmen gelten hohe Anforderungen an die Datensicherheit, deren generelle Anforderungen durch die DSGVO oder das revDSG definiert sind, ergänzt um individuelle NDAs und Compliance-Regeln. Ein Datenleck kann damit teuer werden. Schwerer wiegt jedoch oft der Reputationsschaden. Anders als vielleicht noch vor ein paar Jahren gibt es in Unternehmen mittlerweile ein ausgeprägtes Bewusstsein für die grosse Bedeutung von Datensicherheit. Was allerdings oft noch nicht vorhanden ist, sind die passenden Werkzeuge, um den neuen Herausforderungen durch die KI wirkungsvoll zu begegnen: Denn die klassischen Security-Tools erkennen Risiken durch KI-Lösungen oft nicht. Datenzugriffe und -abflüsse sind unklar. Die tiefe Einbindung von KI in Entscheidungsprozesse bedeutet auch, dass die Folgen entsprechend gravierender sind, sollte ein System kompromittiert werden. Doch in welchen Systemen und mit welchen Zugriffsberechtigungen sind KI-Anwendungen überhaupt aktiv?

KI-Sicherheit beginnt mit Transparenz

Aus Sicht von Julian Richter beginnt AI Security deshalb mit einer Inventur aller im Unternehmen genutzten KI-Lösungen überhaupt im Unternehmen. Diese Inventur schliesst nicht nur die klar als solche erkennbaren ein, sondern auch Software mit „versteckten“ KI-Funktionen und APIs. Erst wenn hier volle Transparenz hergestellt ist, kann überhaupt gehandelt werden. Und dieses Handeln setzt an allen Ebenen an: So dürfen nur Lösungen genutzt werden, die alle Anforderungen an Sicherheit und Compliance erfüllen. Denn Sicherheit im Kontext von KI kann nicht bedeuten, auf diese Technologie und ihre Möglichkeiten zu verzichten. Vielmehr müssen Unternehmen die Rahmenbedingungen schaffen, dass ihre Mitarbeitenden diese Tools sicher einsetzen können. Sicher für Nutzende, für das Unternehmen und die Kundendaten. Dafür müssen klare Regeln und Berechtigungen für die Datenverarbeitung durch KI-Tools implementiert werden. Mitarbeitende müssen für die Risiken sensibilisiert und für eine sichere Nutzung geschult werden. Und vor allem muss ein kontinuierliches Monitoring aller KI-Anwendungen stattfinden, um Risiken einschätzen und präventiv handeln zu können. „Sichere AI Innovation entsteht nur, wenn Governance und Technologie zusammenspielen“, bringt Christoph Schulthess, CEO bei Consulteer InCyber, diese Herausforderung auf den Punkt.

So – und nur so – kann KI für Unternehmen der erhoffte Effizienz-Booster werden.

Der gesamte Blogartikel von Julian Richter zu den Top-Risiken und Schutzmassnahmen lässt sich hier lesen.  Weitere Informationen zu den Themen KI und Cyber Security bietet auch die Website von Consulteer InCyber.