Voller Fokus auf die Sicherheit von GenKI-Anwendungen

Umfrage zeigt, dass Unternehmen generative KI-Tools nutzen, obwohl erhebliche Sicherheitsbedenken bestehen

Die IT-Welt hat eine Tendenz, ihre Fehler zu wiederholen wenn es um die Einführung der neuesten Technologieinnovationen geht. Das beste Beispiel dafür ist die Eile, mit der im Laufe des letzten Jahres generative KI-Tools eingesetzt wurden, losgetreten durch die plötzliche Popularität von ChatGPT. Die Verbreitung von neuen GenKI-Anwendungen zeigt Parallelen zum Vorgehen, das mit SaaS-Anwendungen zu beobachten war. Auch hier wurden Applikationen rasch aus den Rechenzentren in die Cloud verlagert und deren Sicherheit (und Performanz) wurde nachrangig behandelt.

Zscaler hat eine Umfrage mit dem Titel “All eyes on securing GenAI“ in Auftrag gegeben um herauszufinden, wie GenKI-Tools eingesetzt werden, welche Sicherheitsfolgen mit einer übereilten Einführung einhergehen und wie das geistige Eigentum und Kundendaten geschützt werden. Die Ergebnisse der Befragung von 900 IT-Führungskräften aus 10 Ländern lassen vermuten, dass Organisationen dem Druck der schnellen Nutzung von GenKI-Tools nachgeben, obwohl erhebliche Sicherheitsbedenken vorherrschen. 

Sicherheitsbedenken dominieren

Laut der Umfrage nutzen bereits 95 Prozent der Organisationen GenKI-Tools in irgendeiner Weise. 57 Prozent der IT-Führungskräfte erlauben die Nutzung ohne Einschränkungen und etwas mehr als ein Drittel (38 Prozent) lassen Vorsicht walten bei deren Einsatz, erlauben ihn aber. Die verbleibenden fünf Prozent der Antwortenden gaben an, dass sie noch abwarten, wie sich die Technologie entwickeln wird oder haben den Einsatz geblockt.

Trotz dieser hohen Zahlen der Nutzung gaben 89 Prozent der IT-Entscheider an, dass sie GenKI-Tools als potenzielles Sicherheitsrisiko einstufen und fast die Hälfte (48 Prozent) sind der Meinung, dass angesichts des Potenzials, das mit dem Einsatz der Tools einhergeht, dennoch die Risiken überwiegen.

Die Mehrheit der Unternehmen setzen auf den Einsatz von GenKI-Tools

Diese Erkenntnisse deuten darauf hin, dass die frühe Einführung von GenKI weniger kalkuliertes Risiko ist, als Unternehmen glauben möchten. Tatsächlich sind Organisationen gut beraten, sowohl Sicherheits- als auch Datenschutzbedenken zu beachten, wenn sie tiefer in KI einsteigen. GenKI-Tools versprechen bemerkenswerte Vorteile hinsichtlich Produktivität und Kreativität, sodass eine komplette Verbannung des Gebrauchs mit Wettbewerbsnachteilen einhergehen würde. Aus dieser Sicht ist es ein erfreuliches Ergebnis, dass sich lediglich eine kleine Minderheit für diesen Weg entschieden hat. Allerdings muss strategisch an die Einführung herangegangen werden mit einem Fokus auf Sicherheit, die einen verantwortungsvollen und sicheren Umgang mit den Tools ermöglicht.

Woher kommen die Sicherheitsbedenken?

Die Hauptbedenken der Unternehmen, bei denen GenKI-Tools nicht eingesetzt werden, drehen sich um den Verlust sensibler Informationen, mangelndes Verständnis zu den Gefahren und Vorteilen der Tools bzw. lassen sich auf einen Mangel an Ressourcen zum Überwachen der Nutzung zurückführen. 23 Prozent der Organisationen, die bereits auf GenKI-Tools setzen, überwachen deren Nutzung überhaupt nicht. Nicht überraschend, dass sich dahinter das Gefühl der Bedrohung verbirgt.

Trotz Bedenken handeln Unternehmen nicht

Bei der Einführung jeglicher neuen Technologie ist es entscheidend, welche Sicherheitsherausforderungen damit einhergehen, die möglicherweise einen Schatten auf das Potenzial werfen könnten. Das Versäumnis, zusätzliche Sicherheitsmaßnahmen für den GenKI-Gebrauch einzuführen – was immerhin ein Drittel der befragten Unternehmen zugab – ist ein riskantes Unterfangen, das die betreffenden Organisationen einem Risiko aussetzt. Während 31 Prozent bereits GenKI-spezifische Lösungen auf ihrer Roadmap haben, ist die bloße Absicht wenig effektiv, denn manches Mal wird aus dem Abwarten ein Dauerzustand.

Die übergeordnete Herausforderung besteht im Verlust von sensiblen Daten und weist dementsprechend auf die vitale Bedeutung von robusten Sicherheitsmaßnahmen hin. In einem ersten Schritt sollten Organisationen deshalb danach streben, einen Überblick zum Einsatz von KI-Tools in ihrer IT-Umgebung zu erhalten und darauf aufbauend Kontrollmechanismen einzuführen. Ist die Transparenz erst einmal zurückerlangt, können Schutzmaßnahmen implementiert werden, die mit der Klassifizierung von Daten hinsichtlich ihrer Sensibilität und Kritikalität starten sollten, um deren unbeabsichtigtes Abfließen zu unterbinden. Allerdings sind mit 46 Prozent gerade mal etwas weniger als die Hälfte der Organisationen zuversichtlich, dass alle ihre Daten bereits klassifiziert sind. Weitere 44 Prozent haben zumindest mit der Klassifizierung einiger Datenbestände begonnen als Voraussetzung zur Einführung von Sicherheitsmaßnahmen. Der Handlungsbedarf ist demnach groß….

Organisationen müssen handeln, um die Kontrolle zurückzugewinnen

IT hat die Kontrollfunktion über den GenKI-Einsatz und deren Sicherheit in der Hand

Es scheint, als seien die Organisationen unvorbereitet darauf, für die Sicherheit von GenKI zu sorgen. Deshalb stellt sich die Frage, was zu der raschen Einführung dieser Technologie geführt hat. Es überrascht umso mehr, dass der Druck nicht aus der zu erwartenden Richtung kommt. Trotz der großen Aufmerksamkeit, die diese Tools im letzten Jahr erfahren haben, stehen nicht die Mitarbeitenden als treibende Kraft hinter deren Einsatz – lediglich fünf Prozent der Antwortenden gaben an, dass der Druck von den Endusern kam. Die Geschäftsentscheider stehen ebenfalls nicht auf breiter Front hinter der Einführung (21 Prozent). Es sind vielmehr die IT-Entscheider mit 59 Prozent, die für die Einführung der Tools Verantwortung tragen.

Dementsprechend kommt der Druck nicht von Business-Seite, die neue Technologie einzuführen. Es ist vielmehr der Wunsch der IT-Teams, die mit den Möglichkeiten der Innovationen Schritt halten wollen. Da das Interesse der Geschäftsentscheider noch gering ist, scheinen GenKI-Tools derzeit noch der Spielplatz der IT zu sein und noch nicht so sehr als Geschäftsvorteil wahrgenommen zu werden. Da die IT-Teams hinter der schnellen Einführung stehen, besteht jedoch Hoffnung, dass sie das Tempo strategisch steuern können, und dabei auch Zeit für die notwendigen Sicherheitsmaßnahmen einplanen, bevor es zum Datenschutzdilemma kommt.

Die Einführung von GenKI sollte von einer Zero Trust-basierten Lösung wie der Zscaler Zero Trust Exchange-Plattform begleitet werden, die sowohl die Transparenz zum Nutzen der Tools als auch die Autorität des sicheren Einsatzes wiederherstellen kann. Einblick, welcher User welche Tools nutzt, gibt Unternehmen die Hoheit über eine kontrollierte IT-Umgebung zurück. Die folgenden Schritte helfen IT-Teams dabei, die Sicherheitslage für GenKI zu modifizieren:

1. Durchführung eines Risiko-Assessments für generative KI-Anwendungen als Grundlage für das Verständnis zu Sicherheits- und Datenschutzrisiken
2. Implementierung einer ganzheitlichen Zero Trust-Architektur für die Transparenz zu den Applikationen und die Autorisierung erlaubter GenKI-Anwendungen und User
3. Einführung eines umfangreichen Logging-Systems, um alle GenKI Prompts und -Antworten zu erfassen.
4. Aktivierung von Zero Trust gesteuerten Data Loss Prevention-Maßnahmen, die GenAI-Aktivitäten absichern und unerlaubten Datenfluss verhindern.

Jede neue Technologie geht mit positiven und negativen Einsatzszenarien einher. Zscaler als Pionier von Zero Trust-basierter Sicherheit ermöglicht das sichere und verantwortungsbewusste Ausschöpfen des Potenzials von GenKI-Tools, analog zur sicheren Einführung der Cloud-Adoption. Zscaler unterstützt Organisationen auch bei der Umsetzung der nächsten IT-Revolution.