Von unzähligen Nachrichtenartikeln und Beiträgen in Ihrem Social-Media-Feed bis hin zu völlig neuen Tools, die in Ihre Lieblingssoftware integriert sind: Künstliche Intelligenz ist überall.
Die Technologie ist zwar nicht neu, doch mit der Veröffentlichung von ChatGPT – einem großen Sprachmodell (LLM), das Prompt Engineering nutzt, um verschiedene Ergebnisse für Benutzer zu generieren, – hat generative KI im November 2022 für großes Aufsehen gesorgt.
Fast unmittelbar nach der Veröffentlichung von ChatGPT kamen ähnliche generative KI-Tools auf den Markt, wie z. B. Bard von Google und Copilot von Microsoft, und die Verwendung von KI zur Generierung von Inhalten, Videos, Fotos, Code und mehr hat sich wie ein Lauffeuer verbreitet.
Mit der zunehmenden Beliebtheit von KI kommen jedoch auch Bedenken hinsichtlich der Risiken auf, die mit dem Einsatz dieser Technologie verbunden sind. Cyberkriminelle haben bereits Wege gefunden, Daten aus verschiedenen KI-Tools zu exfiltrieren. Dazu gehören Plattformen wie WormGPT, ein KI-Modell, das auf Daten zur Erstellung von Malware trainiert wurde und in böser Absicht oder zur Generierung von bösartigem Code eingesetzt wird.
In diesem Blogeintrag werden wir untersuchen:
Wir beleuchten die größten Vorteile der Verwendung generativer KI und verraten, worauf Sie achten sollten. Da der Einsatz generativer KI-Tools zunimmt und sich die durchschnittlichen Kosten eines Datenlecks im Jahr 2022 auf insgesamt 4,35 Millionen US-Dollar belaufen, gibt es keinen besseren Zeitpunkt, um sicherzustellen, dass Ihr Unternehmen geschützt ist.
Die Anfänge künstlicher Intelligenz reichen bis in die 1960er Jahre zurück, in denen Joseph Weizenbaum den ersten KI-Chatbot, ELIZA, entwickelte. Warum ist generative KI also jetzt, über ein halbes Jahrhundert später, so beliebt?
Die Einführung von ChatGPT Ende 2022 beschleunigte die Entwicklung der generativen KI und verschaffte der Welt Zugang zu dem leistungsstarken Tool.
„Was ChatGPT wirklich getan hat, ist, KI zu kommerzialisieren und sie immer mehr Menschen zur Verfügung zu stellen, was im Wesentlichen bedeutet, dass immer mehr Menschen sie nutzen können, ohne zu verstehen, welche Technologie dahinter steckt“, so Thomas Cook, ein Sicherheitsarchitekt im Varonis Incident Response Team, der Anfang 2023 ein Webinar zu ChatGPT präsentierte.
Da viele Softwareunternehmen ihre eigenen KI-Programme entwickeln, kann es vorkommen, dass Sicherheitsteams bei der Veröffentlichung dieser Tools überrascht sind und nicht wissen, wie sie die damit verbundenen Risiken bekämpfen können.
Microsoft Copilot, das sich derzeit in einer Early-Access-Phase befindet, hat zusätzlich zu seinem LLM-Design den Vorteil, dass es Ihr Unternehmen kennenlernt. Copilot kann beispielsweise an Ihren Teams-Besprechungen teilnehmen – wobei es in Echtzeit Notizen erstellt –, Sie beim Sortieren von E-Mails und Erstellen von Antworten in Outlook unterstützen oder in Excel Rohdaten für Sie analysieren.
Rob Sobers und Mike Thompson von Varonis präsentierten einen tiefen Einblick in die generative KI und die Funktionsweise des Sicherheitsmodells von Copilot und hoben die Vor- und Nachteile hervor, um Sicherheitsteams zu helfen, das Tool noch vor seiner Veröffentlichung zu verstehen.
Copilot wird als das leistungsstärkste Produktivitätswerkzeug der Welt bezeichnet, und wenn Sie jemals generative KI-Tools verwendet haben, verstehen Sie wahrscheinlich, warum. Stellen Sie sich einfach vor, Sie hätten eine kleine Version von ChatGPT, die in all Ihre Office-Apps wie Word, PowerPoint, Excel und Microsoft Teams integriert ist.
Zusätzlich zu den Fähigkeiten von Copilot gibt es mehrere Aspekte von generativen KI-Tools, von denen Sicherheitsteams profitieren können, z. B. die Verbesserung von Cyber-Security-Operationen, die Erkennung von Bedrohungen und Abwehrmechanismen.
Weitere vorteilhafte Einsatzmöglichkeiten generativer KI sind:
Jede Geschichte hat zwei Seiten: Obwohl generative KI noch viele weitere als die bereits genannten Vorteile bietet, sind mit dem Tool auch Herausforderungen und Risiken verbunden.
Generative KI birgt mehrere Sicherheitsrisiken, die bei der Implementierung und Nutzung der Technologie sorgfältig bedacht werden müssen.
Laut einer von Forrester durchgeführten Studie ist Sicherheit eine der größten Hürden für Unternehmen, die KI einsetzen. 64 % der Befragten gaben an, nicht zu wissen, wie sie die Sicherheit generativer KI-Tools bewerten sollen.
Eines der größten Bedenken in Bezug auf Microsoft Copilot ist die Art und Weise, wie sein Sicherheitsmodell Berechtigungen verwendet und auf alle Dateien und Informationen zugreifen kann, auf die auch ein Benutzer zugreifen kann. Das Problem hierbei ist, dass die meisten Benutzer in einem Unternehmen bereits zu viel Zugriff auf Informationen haben, auf die sie nicht zugreifen können sollten.
„Eine Sache, die alle Unternehmen gemeinsam haben, ist dieser enorme Anstieg des unternehmensweiten Zugriffs“, so Thompson. „Dies ist wirklich das größte Risiko, das unserer Auffassung nach in den meisten Unternehmen nicht angegangen wird, und es ist auch das, was bei Copilot am unmittelbarsten zu einem Risiko führt, da es genau das ausnutzt: die über Sharepoint und OneDrive festgelegten Berechtigungen. Es liegt in Ihrer Verantwortung, das Least-Privilege-Modell intern durchzusetzen, und Sie wissen, dass wir Ihnen das Modell genau dafür gegeben haben. Doch wie viele Menschen tun das wirklich effektiv?“
Gegen Ende der Analyse von Microsoft Copilot durch Rob und Mike gaben 76 % der Teilnehmer an, dass sie zwar über die Risiken der Verwendung von generativen KI-Tools besorgt sind, diese aber dennoch nutzen möchten. Ohne eine angemessene Schulung oder proaktive Sicherheitsmaßnahmen laufen Unternehmen Gefahr, dass ihre wichtigen Informationen mit diesen Tools und möglicherweise mit dem gesamten Internet geteilt werden.
Mit der zunehmenden Verbreitung von KI-Tools werden die Menschen immer nachlässiger und vertrauen der KI möglicherweise zu sehr, wenn es um Sicherheitsprüfungen geht, die sie selbst durchführen sollten. So könnte ein Mitarbeiter beispielsweise Microsoft Copilot bitten, auf der Grundlage vorhandener Dokumente und Besprechungsnotizen ein Angebot zu erstellen, was ihm viele Stunden an Arbeit erspart. Er könnte das Ergebnis überfliegen und denken, es sei in Ordnung – dabei könnten sich sensible Informationen aus der Originaldokumentation eingeschlichen haben, wenn dies nicht gründlich überprüft wurde.
Abgesehen von den internen Sicherheitsbedenken verwenden Bedrohungsakteure KI ebenfalls, um bösartigen Code zu schreiben, Schwachstellen zu finden und groß angelegte Kampagnen zu starten.
Zudem nutzen Angreifer KI, um gefälschte Datensätze zu generieren und damit zu versuchen, Unternehmen zu erpressen (oder zumindest ihre Zeit zu verschwenden).
Angreifer werden nicht mehr Powershell oder Python lernen, sondern stattdessen ihre Fähigkeiten im Prompt Engineering ausbauen. Wenn sie wissen, dass sie einen Benutzer kompromittieren können und dass sie Zugang zu einem KI-Tool haben, warum sollten sie dann nicht genau diese Fähigkeiten verbessern?
Zu den weiteren Sicherheitsbedenken und Risiken im Zusammenhang mit generativer KI gehören:
Insbesondere ChatGPT wurde entwickelt, um eine glaubwürdige menschliche Interaktion zu erzeugen, was es zum perfekten Werkzeug für Phishing-Kampagnen macht. Bedrohungsakteure nutzen das LLM auch, um Malware in gefälschte Anwendungen zu verpacken, was während des Aufkommens von ChatGPT beliebt war, bevor die Muttergesellschaft OpenAI eine iOS-Anwendung herausgegeben hatte.
„Selbst wenn Ihre Suche nach ChatGPT im Chrome-Webshop das Wort „offiziell“ umfasst, erhalten Sie immer noch über 1.000 Ergebnisse, und bei keiner dieser Anwendungen handelt es sich um legitime Erstanbieter-Anwendungen“, erläutert Cook. „Sicher sind nicht alle davon bösartig, aber man muss sich schon fragen, warum Menschen dafür bezahlen, dass Sie die API in ihrem Backend verwenden. Welchen Vorteil erhalten sie dadurch? Welche Daten sammeln sie über Sie?“
Wenn Sie mit der Implementierung von Sicherheitsmaßnahmen rund um KI warten, bis es zu einem Datenleck kommt, geraten Sie ins Hintertreffen.
Einer der ersten Schritte, die Führungskräfte unternehmen können, um Bedenken hinsichtlich der Nutzung generativer KI durch ihre Mitarbeitenden auszuräumen, besteht darin, sie dazu zu schulen, was sie teilen dürfen und was nicht.
Manche Leute mögen es zum Beispiel harmlos finden, Kundendaten in ChatGPT-Eingabeaufforderungen aufzunehmen, doch das ist genau die Art von Handlung, die sich Bedrohungsakteure von Ihren Mitarbeitenden erhoffen. Ein einziger Mitarbeiter, der auf eine gefälschte ChatGPT-Website zugreift und sensible Informationen eingibt, genügt, um Ihr Unternehmen zu gefährden.
Wenn neue generative KI-Tools auf den Markt kommen, müssen Unternehmen ihre Teams im richtigen Umgang mit ihnen schulen und sich der Sicherheitsbedenken bewusst sein, sobald diese aufgedeckt werden.
Durch die Einrichtung einer Datensicherheitsplattform (DSP) kann außerdem verhindert werden, dass Mitarbeitende Zugriff auf sensible Daten haben, auf die sie von Vornherein nicht zugreifen können sollten. DSPs können Sicherheitsteams dabei helfen, sensible Daten automatisch zu erkennen, zu klassifizieren und zu kennzeichnen, das Least-Privilege-Prinzip anzuwenden und kontinuierlich Daten-Exposure und Fehlkonfigurationen zu beheben.
Wenn Sie einen guten Überblick darüber haben, was Ihre Mitarbeiter und Mitarbeiterinnen tun, wo sich die Daten befinden, wie sensibel diese Daten sind und wo es Konzentrationen sensibler Daten gibt, ist es viel einfacher, diesen Radius zu verkleinern und dafür zu sorgen, dass nur die richtigen Personen Zugriff haben.
Das erstklassige globale Incident Response Team von Varonis untersucht ebenfalls ungewöhnliche Aktivitäten für Sie. Wenn ein Mitarbeiter beispielsweise auf eine Fülle von Informationen zugreift, auf die er nicht zugreifen sollte, werden Sie sofort benachrichtigt. Unsere Automatisierungsfunktionen tragen dazu bei, die Zeit bis zur Erkennung zu verkürzen, sodass wir schnell reagieren und Nachforschungen anstellen können.
Beginnen Sie mit einer kostenlosen Datenrisikobewertung, die auf die Bedürfnisse, Vorschriften und Konfigurationen Ihres Unternehmens zugeschnitten ist. Unsere Bewertungen geben Ihnen konkrete Schritte an die Hand, um wichtige Sicherheitsrisiken und Compliance-Probleme in Ihren Daten zu priorisieren und zu beheben.
Es lässt sich nicht leugnen, dass KI die Welt im Sturm erobert hat und dass sich die Technologie in den kommenden Jahren weiter entwickeln wird.
Der erste Ansatzpunkt ist es, die Vorteile und Risiken von KI zu verstehen, die Mitarbeitenden im richtigen Umgang mit den verschiedenen KI-Tools zu schulen und Parameter dafür festzulegen, was geteilt werden darf und was nicht.
„Mein Hauptanliegen sind die Auswirkungen von KI auf den Datenschutz und die Einhaltung von Vorschriften. Das wird sich nicht ändern“, schließt Thomas Cook. „Dies ist etwas, das wir immer häufiger sehen werden. Es geht also darum, sicherzustellen, dass Sie über die entsprechenden Richtlinien und Verfahren für die Nutzung von KI verfügen und Ihre Angestellten über die möglichen Auswirkungen der Verwendung von KI-Tools aufklären.“