Effektiver Schutz sensibler Unternehmensdaten

Datensicherheit mit AI Mesh

Frank Limberger Forcepoint
Frank Limberger
LinkedInRedditWhatsAppPocket

Frank Limberger ist Data & Insider Threat Security Specialist bei Forcepoint. Im Interview erläutert er, warum an datenzentrierter IT-Sicherheit kein Weg mehr vorbeiführt und weshalb sich Unternehmen vor der Klassifizierung ihrer Daten nicht mehr fürchten müssen.

Die IT-Security entwickelt sich zunehmend von netzwerkbasierter Sicherheit hin zu einem datenzentrierten Ansatz. Was steckt hinter diesem Trend?

Anzeige

Frank Limberger: Die herkömmlichen Sicherheitsansätze, die sich auf den Schutz des Netzwerks und des Perimeters konzentrieren, reichen in Zeiten von Cloud, SaaS, GenAI und Remote Work nicht mehr aus. Früher verließen beispielsweise die Entwicklungsdaten von Unternehmen nie die interne Datenbank.

Da genügte es, die Zugänge zu dieser Datenbank abzusichern. Heute kopiert ein Mitarbeiter Daten heraus, fügt sie in eine Präsentation ein und legt diese in SharePoint Online ab, um sie in einem Meeting mit Kollegen oder Kunden zu teilen. In der Cloud haben diese sensiblen Informationen aber ein niedrigeres Schutzniveau und sind dadurch einem erhöhten Risiko ausgesetzt. Im modernen, verteilten IT-Umgebungen ist ein anderer Ansatz erforderlich. Unternehmen müssen Daten unabhängig von ihrem Speicherort schützen.

Das geht nur, indem sie die Daten selbst schützen. Sie müssen ihnen eine Vertraulichkeitsstufe zuweisen und daraus ableiten, was mit ihnen getan werden darf und was nicht. Nur so können sie dem Verlust von geistigem Eigentum vorbeugen und die immer zahlreicheren Compliance-Anforderungen erfüllen.

Anzeige

Cloud-Plattformen, SaaS-Anwendungen oder GenAI-Tools einfach zu verbieten, ist nicht wirklich eine Alternative, oder? Sie werden ja schließlich aus guten Gründen genutzt.

Frank Limberger: Genau. Unternehmen treiben den Einsatz dieser Technologien ja selbst voran, weil sie von Vorteilen wie Flexibilität, Produktivität, Skalierbarkeit und ortsunabhängigem Zugriff profitieren. Außerdem würde das auch gar nicht funktionieren. Unternehmen können solche Dienste zwar mit URL- oder DNS-Filtern sperren, aber nur innerhalb des Unternehmensnetzwerks.

Mitarbeiter können diese Sperren leicht umgehen, indem sie mobil oder im Homeoffice darauf zugreifen. Dadurch würde eine gefährliche Schatten-IT entstehen, die sich der Kontrolle der Unternehmen vollständig entzieht. Deshalb ist es besser, dafür zu sorgen, dass die Mitarbeiter diese Dienste ohne erhöhte Risiken nutzen können.

Wie sieht das konkret aus? Wie können Unternehmen datenzentrierte IT-Sicherheit in der Praxis umsetzen?

Frank Limberger: Im Wesentlichen durch die Kombination von Data Loss Prevention (DLP) mit Data Security Posture Management (DSPM). Eine DLP-Software kann Datenflüsse überwachen und Verstöße gegen Datensicherheits-Richtlinien verhindern. Spezielle Agenten auf den Endgeräten gewährleisten dabei, dass diese Richtlinien auch außerhalb des Unternehmensnetzwerks durchgesetzt werden. Eine enge Integration des DLP mit anderen Sicherheitstools stellt zudem sicher, dass den Richtlinien auch über sämtliche Kanäle hinweg Geltung verschafft wird.

Zu diesen Tools zählt beispielsweise ein Cloud Access Security Broker, der den Zugriff auf Cloud-Dienste überwacht und steuert. Wenn bestimmte Daten als streng vertraulich eingestuft sind, können sie dann beispielsweise weder in eine Cloud hochgeladen, noch per E-Mail verschickt noch im Homeoffice ausgedruckt werden.

Ein DLP-System ist aber auf korrekt klassifizierte Daten angewiesen. Das war früher ein großes Problem, weil die Klassifizierung manuell durchgeführt werden musste. Dieses Vorgehen ist aber ungenau und meist ein Fass ohne Boden. Viele Unternehmen haben Klassifizierungsprojekte abgebrochen, weil sie feststellen mussten, dass sie ihrem ständig anwachsenden Datenbestand nicht mehr hinterherkommen. Einmal ganz davon abgesehen, dass Unternehmen in den heutigen verteilten IT-Umgebungen oft gar keinen Überblick mehr darüber haben, wo sich ihre Daten überhaupt befinden. Moderne DSPM-Lösungen räumen dieses Hindernis jetzt aus dem Weg. Sie ermöglichen es, Daten automatisiert aufzuspüren und auch automatisiert exakt und fortlaufend zu klassifizieren.

Sensible Daten lassen sich heute automatisiert aufspüren und klassifizieren.

Frank Limberger, Forcepoint

Wie funktionieren die DSPM-Lösungen genau?

Frank Limberger: Eine DSPM-Software ist im Grunde genommen ein intelligentes Tool für die Analyse von Content. Besonders Lösungen, die auf der AI-Mesh-Technologie basieren, erhöhen die Genauigkeit bei der Datenerkennung entscheidend. Unternehmen stellen dem Tool zunächst Beispiele für schützenswerte Daten wie Kundenlisten, Konstruktionszeichnungen, Code-Stücke oder Präsentationen zur Verfügung. Die Software analysiert dann diese Beispiele und ist von da an in der Lage, ähnliche Daten aufzuspüren und entsprechend zu klassifizieren. Und zwar unabhängig davon, ob sie auf firmeneigenen Servern, in Clouds oder auf den Endgeräten der Mitarbeiter liegen. Diese Scans können in regelmäßigen Abständen immer wieder durchgeführt werden, so dass auch neu hinzukommende Daten kontinuierlich erfasst und klassifiziert werden.

Was ist unter einem AI Mesh zu verstehen?

Frank Limberger: Ein AI Mesh ist ein vernetztes System aus mehreren KIKomponenten, das dezentral arbeitet und sich selbstständig optimiert. Beim AI Mesh von Forcepoint steht dabei ein GenAI Small Language Model im Zentrum. Es bietet im Vergleich mit Large Language Models, wie man sie etwa von ChatGPT kennt, mehrere Vorteile. Es ist wesentlich effizienter, wodurch das System bis zu 300 Files pro Sekunde analysieren und klassifizieren kann. Außerdem ist das Modell überschaubar, so dass Unternehmen nachvollziehen können, wie es zu den jeweiligen Klassifizierungen kommt.

Die Scan-Prozesse unseres AI Mesh werden von On-Premises-Servern aus gesteuert. Dadurch fließen keine Informationen über die sensiblen Inhalte der Unternehmen an einen Cloud-Dienst. Sonst würden sich die Unternehmen in Sachen Datensicherheit ein größeres Problem ins Haus holen, als das, was sie lösen möchten.

Sie haben bereits die GenAI-Tools erwähnt, die ja inzwischen von immer mehr Mitarbeitern genutzt werden. Welche Datenrisiken gehen von diesen Tools aus?

Frank Limberger: Wenn sensible oder kundenbezogene Informationen in solche Tools eingegeben werden, kann das geistiges Eigentum gefährden und Verstöße gegen Datenschutzgesetze bedeuten. Viele GenAI-Anbieter verarbeiten die Daten auf Systemen in Ländern, deren Datenschutzniveau nicht dem Niveau der Europäischen Union und damit auch nicht den Anforderungen der DSGVO entspricht.

Außerdem nutzen die Anbieter die eingegebenen Informationen zur laufenden Optimierung ihrer Modelle. Wenn beispielsweise jemand einen Quellcode für eine kritische IT-Komponente schreibt, und diesen Code zur Optimierung in ein GenAI-Tool kopiert, riskiert er, dass Andere diesen Code aus dem Tool herausbekommen können. Ein DLP kann das verhindern, indem es das Kopieren dieses kritischen Codes blockiert. Harmlosen Code dagegen können sich die Mitarbeiter auch weiterhin von GenAI optimieren lassen.

Herr Limberger, vielen Dank für das Gespräch.


Frank

Limberger

Data and Insider Threat Security Specialist

Forcepoint

Anzeige

Artikel zu diesem Thema

6 Fragen, die sich Unternehmen zum GenAI-Einsatz stellen sollten
Wie KI die Datensicherheit verbessert

Weitere Artikel

Konzept eines sicheren geschlossenen Netzes
Welche Rolle nimmt der moderne CIO ein?
GPT-4.5-Test: Wie leistungsstark ist das KI-Modell?
Operation am offenen Herzen: Der Weg zur Post-Quantum-Encryption
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.