Datenverantwortliche sehen sich mit einer neuen doppelten Realität konfrontiert: Sie stehen unter Druck, Daten für KI-Initiativen bereitzustellen, und müssen gleichzeitig sicherstellen, dass ihre Daten sicher sind und nicht in die Hände von Hackern gelangen. Leider führt die Lücke zwischen KI-Governance und Aufsicht dazu, dass diese Daten ungeschützt bleiben.
Der jährliche Data Breach Kostenreport von IBM, in dem 600 von Datenlecks betroffene Unternehmen in 17 Branchen weltweit analysiert wurden, macht deutlich, dass diese Lücke kostspielig sein kann, und zwar in Bezug auf gestohlene Daten, Betriebsstörungen und hohe Geldstrafen, die an die Aufsichtsbehörden gezahlt werden. Datenschutzverletzungen können auch den Ruf eines Unternehmens schädigen, das Vertrauen der Kunden erschüttern und zu Kundenabwanderung führen.
Für Chief Data Officers und andere Verantwortliche im Datenbereich – oder für alle anderen, die für Datenstrategie, Governance und Wertschöpfung zuständig sind – ist diese Studie ein Weckruf. Da 31 % der untersuchten betroffenen Unternehmen von Betriebsstörungen betroffen sind und 60 % der Daten aufgrund von KI-Lieferketten- und Modellangriffen direkt kompromittiert wurden, sind die Ergebnisse mehr als nur Schlagzeilen. Sie sind ein Blueprint für das Handeln der CDOs.
Die Bedeutung dieser Erkenntnisse geht über eine Sicherheitsfrage hinaus: Sie stellen eine strategische Führungsherausforderung dar. Der CDO befindet sich an der Schnittstelle zwischen Dateninnovation und Data Governance und ist dafür verantwortlich, die transformative Kraft der KI sicherzustellen und dafür zu sorgen, dass diese Transformation nicht auf Kosten von Vertrauen, Compliance oder Resilienz geht.
Im Folgenden finden Sie fünf Punkte, die CDOs über Datensicherheit im Zeitalter der KI wissen müssen, sowie drei Maßnahmen, die sie ergreifen sollten, um die Sicherheit ihrer Daten zu gewährleisten.
Laut dem Data Breach Kostenreport verfügten 63 % der untersuchten Unternehmen, bei denen es zu Datenschutzverletzungen gekommen war, über keine Richtlinien zur KI-Governance, und nur 37 % hatten Genehmigungsprozesse oder Überwachungsmechanismen eingerichtet. Dies sind zwar direkte Herausforderungen für das Team, das für die KI-Governance zuständig ist (in der Regel das Rechts- und Compliance-Team), und deren Kollegen in leitenden Sicherheitspositionen, aber CDOs müssen sich dieses Problems bewusst sein und sich darüber informieren, bevor ihre Daten zum Trainieren von Modellen oder zum Erstellen von Anwendungen verwendet werden.
Das bedeutet, dass sie diese Governance- und Aufsichtsrichtlinien mitgestalten und Innovation mit Compliance und Risikomanagement in Einklang bringen und eine einheitliche Data-Governance-Strategie schaffen müssen, in der sich KI-Governance und Sicherheit gegenseitig ergänzen.
Jedes fünfte untersuchte Unternehmen (20 %) war von Verstößen im Zusammenhang mit Schatten-KI betroffen – also von nicht genehmigten KI-Tools, die von Mitarbeitern ohne IT- oder Sicherheitsüberwachung eingesetzt wurden. Diese Vorfälle erhöhten die durchschnittlichen Kosten einer Datenschutzverletzung um bis zu 670.000 USD und legten unverhältnismäßig viele personenbezogene Daten (PII) und geistiges Eigentum von Kunden offen.
Um es klarzustellen: Schatten-KI ist nicht nur ein technisches, sondern auch ein kulturelles Problem. Die Mitarbeiter stehen unter Druck, KI-Tools einzusetzen, die ihre Arbeit erleichtern, die Produktivität steigern und wertvolle Erkenntnisse über Kunden, Lieferketten und sich schnell verändernde Marktbedingungen liefern. Ohne entsprechende Anleitung können Mitarbeiter jedoch versehentlich Sicherheitsprotokolle umgehen, indem sie personenbezogene Daten von Kunden oder geistiges Eigentum des Unternehmens hochladen.
Von den Unternehmen, die KI-bezogene Verstöße gemeldet haben, gaben 97 % an, dass es ihnen an angemessenen Zugriffskontrollen mangelt. Obwohl CDOs diese Kontrollen nicht verwalten, müssen sie sich dieses potenziellen Sicherheitsverstoßes bewusst sein und ihre Ansprechpartner in den Bereichen Sicherheit und KI fragen, ob diese Kontrollen vorhanden sind und, falls nicht, warum. Da Daten die Grundlage für KI sind, erhöhen schwache Zugriffskontrollen das Risiko der Kompromittierung sensibler Daten.
Bei den untersuchten betroffenen Unternehmen berichtete mehr als die Hälfte (53 %) über kompromittierte personenbezogene Daten von Kunden. Bei den Sicherheitslücken mit Schatten-KI stieg diese Zahl auf fast zwei Drittel (65 %). Geistiges Eigentum wurde zwar seltener offengelegt, aber es verursachte die höchsten Kosten pro Datensatz (178 USD pro Datensatz) bei Sicherheitsverletzungen im Zusammenhang mit Schatten-KI.
Zwar können Daten grundsätzlich überall dort angreifbar sein, wo sie gespeichert werden, doch der Data Breach Kostenreport stellte fest, dass die meisten Datenschutzverletzungen Daten betrafen, die über mehrere Umgebungen verteilt waren, wie z. B. Public Clouds, Private Clouds und On-Premises. Diese Hybrid-Cloud-Systeme mögen zwar praktisch sein, können aber auch Komplexität und Risiken mit sich bringen, was sich in höheren Kosten niederschlägt. Datenschutzverletzungen, die mehrere Umgebungen betreffen, verursachen durchschnittliche Kosten in Höhe von 5,05 Millionen USD, während Datenschutzverletzungen vor Ort durchschnittlich 4,01 Millionen USD kosten.
Behandeln Sie KI-Datensätze als hochwertige Assets, vergleichbar mit Finanz- oder Gesundheitsdatensätzen.
Die Sicherung von KI-Daten ist nicht nur für den Datenschutz und die Einhaltung von Vorschriften unerlässlich, sondern auch für den Schutz der Datenintegrität, die Aufrechterhaltung des Vertrauens im Unternehmen und die Vermeidung von Datenkompromittierungen. Dies bedeutet, dass CDOs aktiv Maßnahmen ergreifen sollten, um sensible Daten in Cloud-, On-Premises- und Hybrid-Umgebungen zu klassifizieren und zu schützen. Darüber hinaus sollten sie sicherstellen, dass alle personenbezogenen Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden.
Dieser Ansatz bedeutet, über oberflächliche Kontrollen hinauszugehen und starke Datensicherheitsgrundlagen umzusetzen: Datenerkennung und -klassifizierung sowie Datenschutz wie Zugriffskontrolle, Verschlüsselung und Schlüsselverwaltung.
Er kann auch die Nutzung von Daten- und KI-Sicherheitsdiensten umfassen. Diese Maßnahmen gelten nicht nur für den Schutz von KI, aber der Aufstieg der KI sowohl als Bedrohungsvektor als auch als Sicherheitshelfer bedeutet, dass sie wichtiger sind als je zuvor.
Sicherheit für KI und Governance für KI sind komplementäre Disziplinen. Wenn Unternehmen sie in Silos halten, erhöhen sie das Risiko, die Komplexität und die Kosten.
Unternehmen müssen sicherstellen, dass die CDO-, CISO- und Compliance-Teams regelmäßig zusammenarbeiten. Investitionen in integrierte Sicherheits- und Governance-Software und Prozesse, die diese funktionsübergreifenden Stakeholder zusammenbringen, können Unternehmen dabei helfen, Schatten-KI automatisch zu erkennen und zu steuern.
Es ist wichtig, dass CDOs eine entscheidende Rolle bei der Einrichtung sicherer Datenpipelines für KI sowie klarer Richtlinien für die KI-Nutzung spielen. Sie müssen auch unbedingt den gesamten Lebenszyklus von KI-Modellen verwalten und in jeder Phase die Kontrolle übernehmen.
Erkennen Sie, dass KI-Modelle und Agenten als Identitäten mit Zugriffsrechten fungieren.
Es ist wichtig, dass CDOs KI-Agenten und Menschen aus Sicht der Data Governance gleich behandeln. Beide erfordern operative Kontrollen für den Zugriff auf Systeme, aber es ist wichtig, dass KI-Agenten nur Zugriff auf die spezifischen Aufgaben oder den Workflow erhalten, für die sie vorgesehen sind.
Durch einen einheitlichen, kollaborativen Ansatz bei Sicherheit und Governance spielen CDOs eine entscheidende Rolle bei der Stärkung der Identitätssicherheit. Genau wie menschliche Benutzer sind auch KI-Agenten zunehmend auf Zugangsdaten angewiesen, um auf Systeme zuzugreifen und Aufgaben auszuführen. Daher ist es unerlässlich, strenge operative Kontrollen zu implementieren oder Dienste zu nutzen, die Ihnen dabei helfen können, und jegliche nicht-menschliche Identität (NHI) im Blick zu behalten. Unternehmen müssen in der Lage sein, zwischen NHIs mit verwalteten (gespeicherten) Zugangsdaten und solchen mit nicht verwalteten Zugangsdaten zu unterscheiden.
Die Rolle des Chief Development Officer (CDO) war noch nie so wichtig wie heute. KI schreibt die Regeln der Datenführerschaft neu, und diejenigen, die sich für verantwortungsvolle Innovationen einsetzen, werden das nächste Zeitalter vertrauenswürdiger, widerstandsfähiger Unternehmen prägen.
Als CDO können Sie Governance in jede Phase des KI-Lebenszyklus einbetten, die Daten sichern, die die KI antreiben, und die funktionsübergreifende Zusammenarbeit leiten, um die wertvollsten Assets des Unternehmens zu schützen.
Der Data Breach Kostenreport macht deutlich, dass das eigentliche Risiko nicht KI selbst ist, sondern KI ohne Governance.
Schatten-KI, mangelhafte Zugriffskontrollen und fragmentierte Verantwortlichkeiten untergraben das Vertrauen und treiben die Kosten in die Höhe.
Wenn sie die richtigen Schritte unternehmen, können CDOs nicht nur das Risiko von Sicherheitsverletzungen und die Kosten reduzieren, sondern auch die Fähigkeit ihres Unternehmens stärken, selbstbewusst innovativ zu sein.