Das Potenzial generativer KI hat einen wahren Goldrausch ausgelöst. Doch welche Herausforderungen bringt diese Entwicklung und welche Fehler sollten Unternehmen unbedingt vermeiden?
Eine aktuelle Studie von Censuswide im Auftrag von Cohesity ergibt, dass bereits 86 Prozent von 903 befragten Firmen generative KI-Technologien einsetzen. Warum Unternehmen trotz aller Begeisterung nicht alte Fehler aus der frühen Cloud-Ära wiederholen dürfen, erläutert Mark Molyneux, EMEA CTO von Cohesity, anhand von drei Empfehlungen.
„Der Weg für die User zu KI ist sehr kurz, der Einstieg sanft, leicht und oft kostenfrei. Und das hat massive Konsequenzen, die Firmen aus der Anfangsphase der Cloud bekannt vorkommen sollten. Deshalb gilt es gerade jetzt in besonderem Maße, folgende Aspekte zu beachten:
1. Kontrollverluste vermeiden
In der Vergangenheit haben Public-Cloud-Dienste einen Goldrausch ausgelöst, in dessen Sog Mitarbeiter mit wenigen Klicks Firmendaten in externe Dienste hochluden. Die IT hat zeitweise die Kontrolle über die Firmendaten verloren und Risiken beim Schutz und der Compliance hinnehmen müssen. Die Geburtsstunde der Schatten-IT.
Ähnliches erwarten die Befragten nun bei der KI, wie die Umfrage zeigt. Compliance, Risiken für den Datenschutz werden von 34 bzw. 31 Prozent als größte Bedenken genannt. 30 Prozent der Firmenvertreter fürchten, dass die KI auch ungenaue oder falsche Ergebnisse ausspucken könnte. Immerhin wissen die meisten User noch nicht, wie sie mit den KI-Engines optimal interagieren müssen. Und nicht zuletzt sind auch die generativen KI-Lösungen noch neu und nicht alle sind schon ausgereift.
Die Medien berichteten schon oft über Firmen, die diese Erfahrung machten. Im April 2023 haben Ingenieure bei Samsung Firmengeheimnisse in ChatGPT hochgeladen und sie damit zum Lernstoff einer globalen KI gemacht – der Worst Case aus Sicht der Compliance und Intellectual Property.
Da die Innovationszyklen bei KI enorm kurz sind, explodiert das Angebot neuer Ansätze, Konzepte und Lösungen. Die Sicherheits- und IT-Teams haben es extrem schwer, mit diesem Tempo Schritt zu halten und die jeweiligen Angebote auf Herz und Nieren zu prüfen. Oft werden sie nicht einmal involviert, weil eine Business-Unit wie bei der Cloud längst einen Dienst nutzt – nach der Schatten-IT entsteht nun eine Schatten-KI und mit ihr ein enormer Kontrollverlust.
2. Gefahren bewusst machen
Zeitgleich werden immer neue Formen von möglichem Missbrauch der KI bekannt. Forscher der Cornell Universität in den USA und des Instituts Technion in Israel haben mit Morris II einen Computerwurm entwickelt, der sich in dem Ökosystem der öffentlichen KI-Assistenten autonom ausbreitet. Den Forschern ist es gelungen, den Wurmalgorithmen beizubringen, die Sicherheitsvorkehrungen der drei prominenten KI-Modelle Gemini Pro von Google, GPT 4.0 von OpenAI und LLaVA zu umgehen. Dem Wurm ist ebenfalls gelungen, sensible Daten wie Namen, Telefonnummern und Kreditkartendaten zu extrahieren.
Die Forscher teilen ihre Ergebnisse mit den Betreibern, damit die Lücken geschlossen und Sicherheitsvorkehrungen verbessert werden können. Aber hier entsteht offensichtlich eine neue offene Flanke auf dem Cyber-Schlachtfeld, auf dem sich Hacker und Anbieter seit Jahrzehnten mit Malware, Spam und Ransomware bekämpfen.
3. Tempo ja, Hektik nein
Die IT-Teams werden die Uhr nicht zurückdrehen und KI aus den Firmennetzen heraushalten können. Daher sind Verbote in der Regel kein geeigneter Weg. Aber die IT kann und sollte sich auch nicht zu Hektik und Schnellschüssen verleiten lassen, sondern die Kontrolle über ihre Daten und die KI zurückgewinnen.
Herstellergetriebene KI-Ansätze wie Cohesity Gaia sind oft per Definition auf die eigene Umgebung festgelegt und legen offen, wie sie arbeiten. So können IT-Teams das Risiko genau bewerten und einen möglichen externen Datenaustausch ausschließen. Die KI ist in sich geschlossen und lässt sich kontrolliert einführen. Außerdem können die IT-Teams sehr selektiv vorgehen, welche internen Systeme und Datenquellen die KI-Module aktiv untersuchen. Man kann mit einem kleinen Cluster anfangen und so die KI hochkontrolliert einführen.
Die darunter liegende Cohesity Data Cloud verwendet granulare rollenbasierte Zugriffskontrollen und einen Zero-Trust-Ansatz, damit nur autorisierte Nutzer und Modelle Zugang zu den Daten erhalten. So lassen sich bereits eingeführte KI-Modell von Dritten zähmen, indem exakt festgeschrieben wird, auf welche Daten diese Modelle überhaupt zugreifen dürfen. Ein entscheidender Vorteil, um die unkontrollierte Dynamik bei KI zu drosseln, denn so lassen sich Datenflüsse exakt steuern, sensible Informationen schützen und gesetzliche Vorgaben einhalten.“