So verhindern Sie Ihr erstes KI-Datenleck

Erfahren Sie, warum der breite Einsatz von GenAI-Copilots unweigerlich zu mehr Datenlecks führen wird, wie Matt Radolec von Varonis in der Keynote-Sitzung der RSA Conference 2024 betonte.
Nolan Necoechea
3 minute gelesen
Letzte aktualisierung 27. Juni 2024
data protection in age of AI

Contents

    In seiner Keynote-Rede auf der RSA Conference 2024 beschrieb Matt Radolec, Vice President of Incident Response and Cloud Operations bei Varonis, ein Szenario, das im Zeitalter der generativen KI immer häufiger vorkommt:

    Ein Unternehmen wandte sich an Varonis, weil es vor einem Rätsel stand: Ein Konkurrent hatte sich auf irgendeine Weise Zugang zu sensiblen Kontoinformationen verschafft und nutzte diese Daten nun, um die Kunden des Unternehmens mit Werbekampagnen anzusprechen.

    Das Unternehmen hatte keine Ahnung, wie man an die Daten gekommen war – das Ganze war ein Sicherheitsalbtraum, der das Vertrauen der Kunden gefährden konnte.

    In Zusammenarbeit mit Varonis war das Unternehmen in der Lage, die Quelle des Datenlecks zu identifizieren: Ein ehemaliger Mitarbeiter hatte einen GenAI-Copilot genutzt, um auf eine interne Datenbank voller Kontodaten zuzugreifen. Daraufhin hatte er sensible Daten wie die Ausgaben der Kunden und die Produktnutzung kopiert und diese mit zu einem Konkurrenten genommen.

     

    Sehen Sie sich die vollständige Diskussion von Matt Radolec über die Vermeidung von KI-Datenlecks auf der RSA Conference 2024 an. 

    Dieses Beispiel verdeutlicht ein wachsendes Problem: Der breite Einsatz von GenAI-Copilots wird unweigerlich zu mehr Datenlecks führen.

    Laut einer aktuellen Gartner-Umfrage gehören Anwendungen auf Basis generativer KI wie Microsoft 365 Copilot und Einstein Copilot von Salesforce zu den häufigsten Anwendungsfällen künstlicher Intelligenz. Diese Tools sind zwar eine hervorragende Möglichkeit für Unternehmen, die Produktivität zu steigern, schaffen gleichzeitig jedoch auch erhebliche Herausforderungen für die Datensicherheit.

    In diesem Blogartikel gehen wir auf diese Herausforderungen ein und zeigen Ihnen, wie Sie Ihre Daten im Zeitalter der generativen KI schützen können.

    Das Datenrisiko von generativer KI 

    Fast 99 % der Berechtigungen werden nicht genutzt und mehr als die Hälfte dieser Berechtigungen bergen ein hohes Risiko. Ungenutzter und allzu freizügiger Datenzugriff ist immer ein Problem für die Datensicherheit, doch generative KI gießt dabei noch Öl ins Feuer.

    Wenn ein Benutzer einem GenAI-Copilot eine Frage stellt, formuliert das Tool auf der Grundlage von Internet- und Geschäftsinhalten mittels Graphtechnologie eine Antwort in natürlicher Sprache.

    Da Benutzer oft über zu großzügigen Datenzugriff verfügen, kann der Copilot leicht sensible Daten aufdecken – selbst wenn der Benutzer sich nicht dessen bewusst war, dass er Zugriff darauf hatte. Viele Unternehmen wissen gar nicht, welche sensiblen Daten sie überhaupt haben, und die richtige Dimensionierung des Zugriffs ist manuell kaum zu bewerkstelligen.

    Generative KI senkt die Messlatte für Datenlecks.  

    Bedrohungsakteure müssen nicht mehr wissen, wie man ein System hackt, oder Ihre Umgebung in- und auswendig kennen. Sie können einfach einen Copilot nach sensiblen Informationen oder Zugangsdaten fragen, die es ihnen erlauben, sich lateral durch die Umgebung zu bewegen.

    Einige der Sicherheitsherausforderungen, die mit dem Aufkommen von GenAI-Tools einhergehen, sind folgende:

    • Mitarbeiter haben Zugriff auf viel zu viele Daten 
    • Sensible Daten werden häufig gar nicht oder falsch gekennzeichnet 
    • Insider können Daten mithilfe natürlicher Sprache schnell finden und exfiltrieren 
    • Angreifer können Geheimnisse für die Eskalation von Berechtigungen und laterale Bewegungen aufdecken 
    • Es ist unmöglich, den Zugriff manuell richtig zu dimensionieren 
    • Generative KI kann äußerst schnell neue sensible Daten erstellen

    Diese Herausforderungen für die Datensicherheit sind nicht neu, doch angesichts der Geschwindigkeit und Leichtigkeit, mit der generative KI Informationen ausspähen kann, lassen sie sich sehr gut ausnutzen.

    So verhindern Sie Ihr erstes KI-Sicherheitsleck 

    Der erste Schritt zur Beseitigung der mit generativer KI verbundenen Risiken besteht darin, sicherzustellen, dass bei Ihnen intern alles in Ordnung ist.

    Es ist keine gute Idee, Copiloten auf Ihr Unternehmen loszulassen, wenn Sie nicht genau wissen, wo sich die sensiblen Daten befinden und worum es sich dabei handelt, wenn Sie Ihre Exposure und die Risiken nicht analysieren können und wenn Sie nicht in der Lage sind, Sicherheitslücken zu schließen und Fehlkonfigurationen effizient zu beheben.

    Sobald Sie die Datensicherheit in Ihrer Umgebung im Griff haben und die richtigen Prozesse eingerichtet sind, sind Sie bereit, einen Copilot einzuführen. An diesem Punkt sollten Sie sich auf drei Bereiche konzentrieren: Berechtigungen, Labels und menschliche Aktivitäten.

    • Berechtigungen: Stellen Sie sicher, dass die Berechtigungen Ihrer Benutzer korrekt dimensioniert sind und dass der Zugriff des Copilot diese Berechtigungen widerspiegelt.
    • Labels: Sobald Sie verstanden haben, welche sensiblen Daten Sie haben und was diese sensiblen Daten sind, können Sie sie mit Labels versehen, um DLP durchzusetzen.
    • Menschliche Aktivitäten: Es ist wichtig, die Verwendung des Copiloten zu überwachen und jedes erkannte verdächtige Verhalten zu überprüfen. Um die Ausbeutung von Copiloten zu verhindern, ist es wichtig, Eingabeaufforderungen sowie die aufgerufenen Dateien zu überwachen.

    Die Einbeziehung dieser drei Bereiche der Datensicherheit ist nicht einfach und lässt sich in der Regel nicht mit rein manuellem Aufwand bewerkstelligen. Nur wenige Unternehmen können GenAI-Copilots auf sichere Weise einführen, ohne einen ganzheitlichen Ansatz für die Datensicherheit sowie konkrete Kontrollen für die Copilots selbst zu implementieren.

    Verhindern Sie KI-Sicherheitslecks mit Varonis. 

    Varonis konzentriert sich seit fast 20 Jahren auf die Sicherung von Daten und hilft über 8.000 Kunden weltweit dabei, das zu schützen, was am wichtigsten ist. 

    Wir setzen unser fundiertes Fachwissen ein, um Unternehmen zu schützen, die die Implementierung generativer KI planen.
     
    Wenn Sie gerade erst Ihre GenAI-Reise antreten, beginnen Sie am besten mit unserer kostenlosen Datenrisikobewertung.

    In weniger als 24 Stunden haben Sie einen Echtzeit-Überblick über die Risiken in Bezug auf ihre sensiblen Daten und können so feststellen, ob Sie einen GenAI-Copilot sicher implementieren können. Varonis ist außerdem die branchenweit erste Datensicherheitslösung für Microsoft 365 Copilot und verfügt über eine breite Palette an KI-Sicherheitsfunktionen für andere Copilots, LLMs und GenAI-Tools.

    Um mehr zu erfahren, erkunden Sie unsere Ressourcen zur KI-Sicherheit

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Nolan Necoechea
    Nolan Necoechea Nolan Necoechea is a product marketing strategist at Varonis. He has spent more than a decade working with data and AI innovators.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    das-eu-ki-gesetz:-was-es-ist-und-warum-es-wichtig-ist
    Das EU-KI-Gesetz: Was es ist und warum es wichtig ist
    das-eu-ki-gesetz:-was-es-ist-und-warum-es-wichtig-ist
    Nolan Necoechea
    29. August 2024
    Ein Überblick über die weltweit erste umfassende KI-Verordnung, deren Compliance-Anforderungen und wie Geldstrafen von bis zu 35 Millionen Euro (38  Millionen USD) vermieden werden können.
    wer-den-schaden-hat…
    Wer den Schaden hat…
    wer-den-schaden-hat…
    Carl Groves
    15. Juli 2016
    Was es kosten kann Opfer von Cyberkriminalität zu werden – ein Leitfaden der bitcom In diesem wie bereits im letzten Jahr sind eine Reihe von Datenschutzinitiativen und Gesetzen auf den...
    cloudpro:-ist-geheimhaltung-das-fehlende-glied-bei-der-cloud-sicherheit?
    CLOUDPRO: IST GEHEIMHALTUNG DAS FEHLENDE GLIED BEI DER CLOUD-SICHERHEIT?
    cloudpro:-ist-geheimhaltung-das-fehlende-glied-bei-der-cloud-sicherheit?
    Michael Buckbee
    5. Januar 2014
    Davey Winder von CloudPro hat in dieser Woche einen interessanten Artikel verfasst, der auf einer der wichtigsten Erkenntnisse unserer jüngsten zu Informations-Entropie aufbaut. Wir haben herausgefunden, dass 44 % der Befragten...
    undichte-server-in-neuseeland-zeigen-notwendigkeit-für-management-und-schutz-von-informationen
    Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen
    undichte-server-in-neuseeland-zeigen-notwendigkeit-für-management-und-schutz-von-informationen
    Michael Buckbee
    12. November 2012
    von Rob Sobers Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung...