KI-Tools wie ChatGPT, Bard und Copilot erfreuen sich wachsender Beliebtheit, gef\u00e4hrden allerdings die Datensicherheit. Forcepoint erkl\u00e4rt, wie Unternehmen den Abfluss vertraulicher Informationen und Datenschutzverletzungen erfolgreich verhindern.<\/p>\n
Generative KI ist bei zahlreichen Aufgabenstellungen im Arbeitsalltag bereits eine gro\u00dfe Hilfe. Sie beantwortet Fragen, erstellt Texte f\u00fcrs Marketing, \u00fcbersetzt E-Mails sowie Dokumente und optimiert sogar Quellcode. Kein Wunder also, dass Mitarbeiter die Tools eifrig einsetzen, um sich die Arbeit zu erleichtern und produktiver zu werden. Allerdings entstehen dabei Risiken f\u00fcr die Datensicherheit im Unternehmen: Leicht landen vertrauliche oder personenbezogene Daten bei ChatGPT, Bard oder Copilot und dadurch unter Umst\u00e4nden sogar in den Antworten f\u00fcr andere Anwender. Schlie\u00dflich nutzen die Anbieter nicht nur im Web verf\u00fcgbare Daten, sondern auch die Benutzereingaben, um ihre KI-Modelle zu trainieren und deren Antworten zu verbessern.<\/p>\n
Wollen Unternehmen die Kontrolle \u00fcber ihre Daten nicht verlieren, m\u00fcssen sie aktiv werden. Am einfachsten ist es, die Mitarbeiter im sicherheitsbewussten Umgang mit generativer KI zu schulen, doch Fehler passieren \u2013 in der Hektik des Arbeitsalltags kann die Aufmerksamkeit nachlassen, sodass Mitarbeiter dennoch sensible Daten bei den Diensten hochladen. Deshalb entscheiden sich manche Unternehmen daf\u00fcr, die URLs der verschiedenen KI-Tools mit der Firewall zu sperren, was allerdings auch keine ideale L\u00f6sung ist. Zum einen bieten die Sperren keinen ausreichenden Schutz, weil Mitarbeiter sie leicht umgehen k\u00f6nnen, indem sie von au\u00dferhalb des Unternehmensnetzwerks auf die Dienste zugreifen. Zum anderen behindern Unternehmen ihre Belegschaft beim produktiven Arbeiten und sorgen m\u00f6glicherweise f\u00fcr Frust.\u00a0<\/p>\n
Um den Zugang zu den KI-Tools zu reglementieren und Daten zu sch\u00fctzen, sollten Unternehmen besser einen Zero-Trust-Ansatz verfolgen. Dabei stellen Sicherheitsl\u00f6sungen wie Secure Web Gateway (SWG) und Cloud Access Security Broker (CASB) sicher, dass nur zugelassene Dienste genutzt werden, und das auch nur von autorisierten Mitarbeitern \u2013 unabh\u00e4ngig davon, wo sich diese befinden und welches Ger\u00e4t sie einsetzen. Ein zentraler Richtliniensatz reduziert den Verwaltungsaufwand und erleichtert es, Sicherheitsverletzungen \u00fcber alle KI-Tools, Kommunikationskan\u00e4le und Ger\u00e4te hinweg zu verhindern.<\/p>\n
Dar\u00fcber hinaus ist eine konsequente Kontrolle der bei den Diensten zur Verf\u00fcgung gestellten Daten notwendig. Denn erst, wenn Unternehmen erkennen, dass Mitarbeiter beispielsweise dabei sind, personenbezogene Daten oder Quellcode mit geistigem Eigentum via Chat oder Datei-Upload mit den KI-Tools zu teilen, k\u00f6nnen sie das unterbinden. Voraussetzung daf\u00fcr sind eine Klassifizierung von Daten sowie Richtlinien, die den Umgang mit den Daten regeln und \u00fcberwachen. L\u00f6sungen f\u00fcr Data Loss Prevention (DLP) verbinden beides und minimieren den Einrichtungsaufwand, weil sie fertige Klassifizierungen f\u00fcr verschiedenste Daten und einen gro\u00dfen Satz vordefinierter Richtlinien mitbringen.\u00a0<\/p>\n
Zudem m\u00fcssen Unternehmen in der Regel auch nicht ihren gesamten Datenbestand klassifizieren \u2013 es reicht, sich auf die sch\u00fctzenswerten Daten zu konzentrieren. Die einzelnen Fachbereiche wissen \u00fcblicherweise sehr genau, um welche Daten es sich dabei handelt, und k\u00f6nnen Beispiele liefern: Kundenlisten, Pr\u00e4sentationen, Vertr\u00e4ge, Code-Schnipsel. DLP-L\u00f6sungen analysieren diese und sind dann in der Lage, \u00e4hnliche Daten zuverl\u00e4ssig zu erkennen. Je nachdem, wie sensibel die Daten sind, erlauben sie abgestufte Reaktionen: Bei weniger kritischen Daten reicht es meist, den Mitarbeiter auf eine m\u00f6gliche Verletzung der Datensicherheit hinzuweisen; bei wichtigeren Daten kann eine Freigabe durch den Vorgesetzten erforderlich sein, w\u00e4hrend der Upload besonders heikler Informationen direkt blockiert wird.<\/p>\n
\u201eChatGPT und andere KI-Tools l\u00f6sen selbst komplexe Aufgaben binnen Sekunden. Das ist im Arbeitsalltag \u00e4u\u00dferst praktisch, kann aber zu Verletzungen der Datensicherheit f\u00fchren, wenn Mitarbeiter versehentlich vertrauliche oder personenbezogene Daten bei den Diensten eingeben\u201c, betont Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint. \u201eMit DLP k\u00f6nnen Unternehmen ihre Daten zuverl\u00e4ssig sch\u00fctzen, ohne die Nutzung der KI-Tools zu beschr\u00e4nken, was unweigerlich die Produktivit\u00e4t und Motivation der Mitarbeiter beeintr\u00e4chtigen w\u00fcrde. Die L\u00f6sungen lassen sich schneller einf\u00fchren, als Unternehmen oft annehmen, und liefern bereits nach wenigen Tagen oder Wochen erste Ergebnisse.\u201c<\/p>\n