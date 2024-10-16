Auch wenn wir uns dessen nicht immer bewusst sind, ist künstliche Intelligenz längst Teil unseres Alltags geworden. Wir sind bereits an personalisierte Empfehlungssysteme im E-Commerce, Chatbots für Kundenservice mit dialogorientierter KI und vieles mehr gewöhnt. Im Bereich der Informationssicherheit verlassen wir uns bereits seit Jahren auf KI-gestützte Spamfilter, um uns vor schädlichen E-Mails zu schützen.
All das sind längst etablierte Anwendungsfälle. Doch mit dem rasanten Aufstieg der generativen KI in den vergangenen Jahren sind Maschinen zu weit mehr fähig geworden. Von der Bedrohungserkennung über die Automatisierung der Reaktion auf Vorfälle bis hin zu Tests der Mitarbeitersensibilisierung durch simulierte Phishing-E-Mails – die Chancen von KI in der Cybersicherheit sind unbestreitbar.
Doch jede neue Chance birgt auch neue Risiken. Bedrohungsakteure nutzen nun KI, um immer überzeugendere Phishing-Angriffe in einem Umfang zu starten, der zuvor nicht möglich war. Um den Bedrohungen einen Schritt voraus zu sein, benötigen auch die Verteidigungslinien KI. Allerdings muss der Einsatz transparent sein und sich auf ethische Aspekte konzentrieren, um zu vermeiden, dass fragwürdige Taktiken genutzt werden.
Jetzt ist der richtige Zeitpunkt für Führungskräfte im Bereich Informationssicherheit, verantwortungsvolle KI-Strategien einzuführen.
Kriminalität ist ein menschliches Problem, und Cyberkriminalität bildet da keine Ausnahme. Technologie, einschließlich generativer KI, ist lediglich ein weiteres Werkzeug im Arsenal von Angreifern. Seriöse Unternehmen trainieren ihre KI-Modelle auf riesigen Datenmengen aus dem Internet. Diese Modelle werden nicht nur häufig mit den kreativen Leistungen von Millionen realer Menschen trainiert, sondern es besteht auch die Gefahr, dass sie persönliche Informationen erfassen, die absichtlich oder unbeabsichtigt im öffentlichen Raum gelandet sind. Infolgedessen sehen sich einige der größten Entwickler von KI-Modellen nun mit Klagen konfrontiert, während die gesamte Branche zunehmend ins Visier der Aufsichtsbehörden gerät.
Während sich Bedrohungsakteure kaum um KI-Ethik scheren, können auch legitime Unternehmen leicht unbewusst dieselben Fehler begehen. So können etwa Web-Scraping-Tools eingesetzt werden, um Trainingsdaten zu sammeln und ein Modell zu entwickeln, das Phishing-Inhalte erkennt. Diese Werkzeuge unterscheiden jedoch möglicherweise nicht zwischen persönlichen und anonymisierten Informationen – insbesondere im Fall von Bildinhalten. Open-Source-Datensätze wie LAION für Bilder oder The Pile für Texte haben ein ähnliches Problem. So stellte beispielsweise 2022 eine kalifornische Künstlerin fest, dass private medizinische Fotos, die von ihrem Arzt aufgenommen wurden, im LAION-5B-Datensatz gelandet waren, der zum Trainieren des beliebten Open-Source-Bildsynthesizers Stable Diffusion verwendet wurde.
Es lässt sich nicht leugnen, dass die unvorsichtige Entwicklung vertikalisierter KI-Modelle im Bereich der Cybersicherheit zu größeren Risiken führen kann als der Verzicht auf KI. Um dies zu verhindern, müssen Entwickler von Sicherheitslösungen höchste Standards bei Datenqualität und Datenschutz wahren, insbesondere, wenn es um die Anonymisierung oder den Schutz vertraulicher Informationen geht. Gesetze wie die europäische Datenschutz-Grundverordnung (DSGVO) und der California Consumer Privacy Act (CCPA) wurden zwar noch vor dem Aufstieg generativer KI entwickelt, bieten aber wertvolle Orientierungshilfen für die Entwicklung ethischer KI-Strategien.
Unternehmen setzen maschinelles Lernen schon lange vor dem Aufkommen generativer KI zur Erkennung von Sicherheitsbedrohungen und Schwachstellen ein. Systeme, die von der Verarbeitung natürlicher Sprache (NLP) betrieben werden, Verhaltens- und Stimmungsanalysen sowie Deep Learning sind in diesen Anwendungsfällen gut etabliert. Doch auch sie bringen ethische Herausforderungen mit sich, bei denen Datenschutz und Sicherheit in Konflikt geraten können.
Denken Sie zum Beispiel an ein Unternehmen, das KI einsetzt, um den Browserverlauf von Mitarbeitern zu überwachen und so Insider Threats zu erkennen. Dies erhöht zwar die Sicherheit, birgt aber auch das Risiko, dass persönliche Browserinformationen – wie medizinische Suchanfragen oder Finanztransaktionen – erfasst werden, von denen die Mitarbeiter erwarten, dass sie privat bleiben.
Auch im Bereich der Physical Security spielt der Datenschutz eine Rolle. KI-gestützte Fingerabdruckerkennung kann zwar den unbefugten Zugang zu sensiblen Standorten oder Geräten verhindern, erfordert jedoch die Erfassung hochsensibler biometrischer Daten – und deren Kompromittierung kann für die betroffenen Personen schwerwiegende und dauerhafte Folgen haben. Denn wenn Ihre Fingerabdruckdaten gehackt werden, können Sie sich nicht einfach einen neuen Finger zulegen. Deshalb ist es unerlässlich, dass biometrische Systeme maximal gesichert und durch verantwortungsvolle Datenaufbewahrungsrichtlinien ergänzt werden.
Vielleicht das Wichtigste, das man über KI im Hinterkopf behalten sollte: Genau wie Menschen kann sie auf vielfältige Weise Fehler machen. Eine der zentralen Aufgaben bei der Einführung einer ethischen KI-Strategie ist TEVV, also Testen, Evaluieren, Validieren und Verifizieren. Das gilt besonders in einem so geschäftskritischen Bereich wie der Cybersicherheit.
Viele Risiken im Zusammenhang mit KI treten bereits während des Entwicklungsprozesses auf. So müssen beispielsweise Trainingsdaten einer gründlichen TEVV-Prüfung unterzogen werden, um Qualität sicherzustellen und Manipulationen zu erkennen. Dies ist von entscheidender Bedeutung, da Datenvergiftung mittlerweile zu den wichtigsten Angriffsmethoden von hochentwickelten Cyberkriminellen zählt.
Ein weiteres grundlegendes Thema, das der KI – genau wie den Menschen – innewohnt, ist die Verzerrung und die Fairness. Ein KI-Tool, das verdächtige E-Mails kennzeichnet, könnte beispielsweise legitime Nachrichten blockieren, weil diese sprachliche Merkmale enthalten, die mit einer bestimmten kulturellen Gruppe in Verbindung gebracht werden. Das führt zu einer unfairen Profilbildung und gezielten Benachteiligung bestimmter Gruppen und wirft Fragen hinsichtlich ungerechter Maßnahmen auf.
Der Zweck von KI besteht darin, menschliche Intelligenz zu erweitern, nicht sie zu ersetzen. Maschinen können nicht zur Rechenschaft gezogen werden, wenn etwas schiefgeht. Es ist wichtig, sich daran zu erinnern, dass KI das tut, wozu sie von Menschen trainiert wurde. Aus diesem Grund übernimmt die KI menschliche Verzerrung und schlechte Entscheidungsfindung. Die „Blackbox“-Natur vieler KI-Modelle macht es auch bekanntermaßen schwierig, die Ursachen solcher Probleme zu ermitteln, weil Endnutzer keinen Einblick in die Entscheidungsfindung der KI erhalten. Diesen Modellen fehlt die Erklärbarkeit, die für Transparenz und Verantwortlichkeit bei KI-gestützten Entscheidungen unerlässlich ist.
Ob bei der Entwicklung oder dem Einsatz von KI – in der Cybersicherheit oder in einem anderen Kontext – es ist entscheidend, den Menschen während des gesamten Prozesses einzubeziehen. Die Trainingsdaten müssen regelmäßig von diversen und inklusiven Teams geprüft und verfeinert werden, um Verzerrungen und Fehlinformationen zu reduzieren. Auch wenn Menschen selbst anfällig für dieselben Probleme sind, können kontinuierliche Aufsicht und die Fähigkeit, nachvollziehbar zu erklären, wie KI zu ihren Schlussfolgerungen gelangt, diese Risiken erheblich mindern.
Wird KI dagegen nur als Abkürzung oder als Ersatz für den Menschen betrachtet, entwickelt sie sich zwangsläufig in eine eigene Richtung – sie wird auf den eigenen Ausgaben trainiert, bis sie nur noch ihre eigenen Schwächen verstärkt. Dieses Phänomen ist als KI-Drift bekannt.
Die menschliche Verantwortung, KI zu schützen und für ihren Einsatz und ihre Anwendung Rechenschaft abzulegen, darf nicht unterschätzt werden. Anstatt sich auf KI zu konzentrieren, um Personal abzubauen und Geld zu sparen, sollten Unternehmen daher alle Einsparungen in die Umschulung und Umstellung ihrer Teams auf neue KI-nahe Aufgaben investieren. Das bedeutet: Alle Fachkräfte im Bereich Informationssicherheit müssen den ethischen Einsatz von KI – und damit den Menschen – an erste Stelle setzen.