2023/9 | Fachbeitrag | IT-Sicherheit / Datenschutz

So vermeiden Unternehmen Datenlecks durch ChatGPT & Co.

Generative KI ist bei zahlreichen Aufgabenstellungen im Arbeitsalltag bereits eine große Hilfe. Sie beantwortet Fragen, erstellt Texte fürs Marketing, übersetzt E-Mails sowie Dokumente und optimiert sogar Quellcode. Kein Wunder also, dass Mitarbeiter die Tools eifrig einsetzen, um sich die Arbeit zu erleichtern und produktiver zu werden. Allerdings entstehen dabei Risiken für die Datensicherheit im Unternehmen: Leicht landen vertrauliche oder personenbezogene Daten bei ChatGPT, Bard oder Copilot und dadurch unter Umständen sogar in den Antworten für andere Anwender. Schließlich nutzen die Anbieter nicht nur im Web verfügbare Daten, sondern auch die Benutzereingaben, um ihre KI-Modelle zu trainieren und deren Antworten zu verbessern. Doch dem Abfluss vertraulicher Informationen und Datenschutzverletzungen können Unternehmen wirksam vorbeugen!

^{Bildquelle: (C) Steve Johnson / Pixabay}

Wollen Unternehmen die Kontrolle über ihre Daten nicht verlieren, müssen sie aktiv werden. Am einfachsten ist es, die Mitarbeiter im sicherheitsbewussten Umgang mit generativer KI zu schulen, doch Fehler passieren - in der Hektik des Arbeitsalltags kann die Aufmerksamkeit nachlassen, sodass Mitarbeiter dennoch sensible Daten bei den Diensten hochladen. Deshalb entscheiden sich manche Unternehmen dafür, die URLs der verschiedenen KI-Tools mit der Firewall zu sperren, was allerdings auch keine ideale Lösung ist. Zum einen bieten die Sperren keinen ausreichenden Schutz, weil Mitarbeiter sie leicht umgehen können, indem sie von außerhalb des Unternehmensnetzwerks auf die Dienste zugreifen. Zum anderen behindern Unternehmen ihre Belegschaft beim produktiven Arbeiten und sorgen möglicherweise für Frust.

Um den Zugang zu den KI-Tools zu reglementieren und Daten zu schützen, sollten Unternehmen besser einen Zero-Trust-Ansatz verfolgen. Dabei stellen Sicherheitslösungen wie Secure Web Gateway (SWG) und Cloud Access Security Broker (CASB) sicher, dass nur zugelassene Dienste genutzt werden, und das auch nur von autorisierten Mitarbeitern - unabhängig davon, wo sich diese befinden und welches Gerät sie einsetzen. Ein zentraler Richtliniensatz reduziert den Verwaltungsaufwand und erleichtert es, Sicherheitsverletzungen über alle KI-Tools, Kommunikationskanäle und Geräte hinweg zu verhindern.

Darüber hinaus ist eine konsequente Kontrolle der bei den Diensten zur Verfügung gestellten Daten notwendig. Denn erst, wenn Unternehmen erkennen, dass Mitarbeiter beispielsweise dabei sind, personenbezogene Daten oder Quellcode mit geistigem Eigentum via Chat oder Datei-Upload mit den KI-Tools zu teilen, können sie das unterbinden. Voraussetzung dafür sind eine Klassifizierung von Daten sowie Richtlinien, die den Umgang mit den Daten regeln und überwachen. Lösungen für Data Loss Prevention (DLP) verbinden beides und minimieren den Einrichtungsaufwand, weil sie fertige Klassifizierungen für verschiedenste Daten und einen großen Satz vordefinierter Richtlinien mitbringen.

Zudem müssen Unternehmen in der Regel auch nicht ihren gesamten Datenbestand klassifizieren - es reicht, sich auf die schützenswerten Daten zu konzentrieren. Die einzelnen Fachbereiche wissen üblicherweise sehr genau, um welche Daten es sich dabei handelt, und können Beispiele liefern: Kundenlisten, Präsentationen, Verträge, Code-Schnipsel. DLP-Lösungen analysieren diese und sind dann in der Lage, ähnliche Daten zuverlässig zu erkennen. Je nachdem, wie sensibel die Daten sind, erlauben sie abgestufte Reaktionen: Bei weniger kritischen Daten reicht es meist, den Mitarbeiter auf eine mögliche Verletzung der Datensicherheit hinzuweisen; bei wichtigeren Daten kann eine Freigabe durch den Vorgesetzten erforderlich sein, während der Upload besonders heikler Informationen direkt blockiert wird.

"ChatGPT und andere KI-Tools lösen selbst komplexe Aufgaben binnen Sekunden. Das ist im Arbeitsalltag äußerst praktisch, kann aber zu Verletzungen der Datensicherheit führen, wenn Mitarbeiter versehentlich vertrauliche oder personenbezogene Daten bei den Diensten eingeben", betont Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint. "Mit DLP können Unternehmen ihre Daten zuverlässig schützen, ohne die Nutzung der KI-Tools zu beschränken, was unweigerlich die Produktivität und Motivation der Mitarbeiter beeinträchtigen würde. Die Lösungen lassen sich schneller einführen, als Unternehmen oft annehmen, und liefern bereits nach wenigen Tagen oder Wochen erste Ergebnisse."

Der Autor:

Frank Limberger ist Data & Insider Threat Security Specialist bei Forcepoint in München. Die komplett cloud-native All-in-One-Plattform von Forcepoint senkt die Hürden bei der Einführung von Zero-Trust-Konzepten und verhindert den Diebstahl oder Verlust von sensiblen Daten sowie geistigem Eigentum, egal von wo aus Mitarbeiter darauf zugreifen. Forcepoint mit Sitz in Austin, Texas, schafft abgesicherte, vertrauenswürdige Umgebungen für Unternehmen und deren Mitarbeiter in mehr als 150 Ländern.

^{Bildquelle: (C) Forcepoint}

Web: www.forcepoint.com/de

Unsere Empfehlungen

Event

Webconference | Informationen intelligent verknüpfen, Prozesse automatisieren

24.10.2024

Strukturierte Abläufe, effiziente Prozesse und einheitliche Standards: Ein verlässliches Prozessmanagement ist essentiell, um die Zusammenarbeit von Kollegen zu organisieren. Neben Transparenz braucht es ein Verständnis über vor- und nachgelagerte Prozesse sowie ineinandergreifende Workflows ohne Mehraufwand für den einzelnen Anwender. Mittels Digitalisierung und Automatisierung der administrati...

Mehr Infos & Anmeldung

Event

Online-Seminar | Erfahrungswissen sichern: So geht's!

05.06.2024

Die Demografiespirale spitzt sich unaufhaltsam zu. Wir erleben derzeit die Anfänge einer nie da gewesenen Pensionierungswelle. Mit ihr verabschiedenen sich in den nächsten Jahren sukzessive hunderttausende erfahrene Mitarbeiter in den Ruhestand. Hinzukommt, dass auch jüngere Mitarbeiter zunehmend nur noch projektgebunden arbeiten wollen und häufiger das Unternehmen wechseln. In den Unt...

Mehr Infos & Anmeldung

Beitrag

Standardisierung, Digitalisierung, Automatisierung: Die Schlüsselfaktoren für erfolgreiches Wissensmanagement

WISSENplus

In der heutigen digitalen Ära, in der der Wettbewerb intensiver und der technologische Fortschritt schneller als je zuvor voranschreitet, ist ein effektives Wissensmanagement von entscheidender Bedeutung. Unternehmen stehen vor der Herausforderung, die wachsende Flut an Informationen zu bewältigen und diese in einen strategischen Vorteil umzuwandeln. Drei wesentliche Faktoren spielen dabei eine zent...

Beitrag

Kriterien für eine sichere Geschäftskommunikation: „WhatsApp & Co. sind nicht geeignet!“

WISSENplus

Zunehmend dezentrales und hybrides Arbeiten, Teams mit einem hohen Anteil mobiler Arbeitskräfte (Frontline-Workers), ein organisationsübergreifender Informationsaustausch - unterschiedliche Szenarien, die jeweils andere Anforderungen an die IT-Umgebung im Unternehmen und deren Sicherheit stellen. Wie Unternehmen die ortsunabhängige Kommunikation und Kollaboration über alle Mitarbeitenden hinweg s...

Beitrag

IT-Security: Jung gegen Alt?

WISSENplus

Erfolg in Teams entsteht aus Vielfalt. Und wenn Jung auf Alt trifft, kann es schon einmal krachen. Das ist in der IT-Security nicht anders als in der Familie. Hier wie dort sind es Kompromisse, die es ermöglichen, gemeinsam weiterzugehen und neue Situationen erfolgreich zu meistern. Damit die beteiligten Parteien über eine Verständigung nachdenken, statt schmollend zu grollen, braucht es manchmal eine l...

Beitrag

Von der Bedrohungsanalyse zur Security-Strategie

WISSENplus

Die Angriffsmethoden der Cyberkriminellen werden immer raffinierter. Gleichzeitig stellt die hohe Anzahl an entdeckten Schwachstellen in IT-Systemen ein enormes Sicherheitsrisiko dar. Angesichts dieser Bedrohungslage gewinnt der Security-by-Design-Ansatz an Bedeutung. Keinesfalls dürfen Unternehmen diesen Gedanken jedoch auf die Entwicklung einzelner IT-Systeme reduzieren - die Architektur der Infra...

Event

Online-Seminar | Wissensmanagement: Der Kompaktkurs an nur 1 Tag!

17.07.2024

Das Seminar richtet sich an Wissensmanagement-Einsteiger. Es vermittelt das erforderliche Wissen für Ihre Projektumsetzung, verzichtet dabei aber auf unverständliche Theorien. Stattdessen steht die Praxistauglichkeit im Vordergrund. Sie erfahren, worauf es beim Wissensmanagement ankommt, wie Sie am besten starten und mit welchen Methoden Sie schnelle Erfolge ve...

Mehr Infos & Anmeldung

Event

Schritt-für-Schritt-Guide für die Intranet-Einführung

06.06.2024

Worauf kommt es bei der Einführung eines Intranets an? Im Webinar durchlaufen Sie alle wichtigen Schritte einer erfolgreichen Implementierung....

Mehr Infos & Anmeldung

Diese Artikel könnten Sie auch interessieren

Analogt Ihr noch oder digitalisiert Ihr schon?

WISSENplus

Aktuell schaltet die Digitalisierung den Turbo an. Neue KI-gestützte Technologien verändern die Spielregeln in der Wirtschafts- und Arbeitswelt radikal. Nur wer hier alte Gewohnheiten loslässt, tradierte Geschäftsprozesse ändert und Disruption als Chance begreift, kann in einer diskontinuierlichen Welt bestehen. Wie aber funktioniert das? ...

Mehr Produktivität, weniger Arbeitszeit: KI-Automatisierung bei Trivago, Jägermeister & Co.

WISSENplus

Das klassische Bild der Mitarbeitenden, die ihren Dienst von Montag bis Freitag zwischen 9 und 17 Uhr erledigen, bröckelt. Die neue Arbeitswelt ködert auf der einen Seite mit agilen, asynchronen Arbeitszeitmodellen, ist auf der Schattenseite allerdings geprägt von enormer Volatilität, Leistungsdruck und einem akuten Fachkräftemangel. Kein Wunder also, dass sich Erschöpfung breitmacht. Laut einer...

Herausforderung Lieferketten-Sorgfaltspflichten-Gesetz – aber für wen eigentlich?

Ein kürzlich veröffentlichter Leitfaden des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (BAFA) soll nun die Umsetzung des Lieferkettengesetzes zwischen verpflichteten Unternehmen und ihren Zulieferern erleichtern. Das Gesetz selbst, das bereits seit Januar 2023 in Deutschland in Kraft ist, wirft allerdings auch aus IT-Security-Sicht Fragen entlang der Lieferkette auf. Daraus leiten sich neue Herausf...

ISO 27001: In 6 Schritten zur Sicherheitszertifizierung

WISSENplus

Unternehmen, die sich erfolgreich nach ISO 27001 zertifizieren wollen, müssen alle für die Informationssicherheit relevanten Prozesse genau festgelegt haben - beginnend beim Anwendungsbereich des Information Security Management Systems (ISMS) über die Klassifizierung von Informationen bis hin zum Umgang mit Vorfällen, die den Geschäftsbetrieb nachhaltig unterbrechen können. Außerdem gilt es, e...

Sicher am Kubernetes-Steuer: Vor diesen Fehlern müssen sich Admins hüten

Kubernetes hat die Orchestrierung von Containern beherrschbar gemacht. Die Bedienung der Open-Source-Plattform ist allerdings keinesfalls trivial. Die hohe Komplexität verführt im praktischen Einsatz selbst Experten zu Fehlern. Die Folgen können gravierend sein - sind aber vermeidbar. ...

„Risiken entstehen, wenn man nicht weiß, was man tut!“

WISSENplus

Risiken gehören zum Unternehmensalltag - ob extern oder intern, wirtschaftlich oder strategisch, rechtlich oder finanziell. Peter Drucker, Wirtschaftsvordenker und Ur-Vater des Wissensmanagements, sagte einmal "Es gibt Risiken, die einzugehen du dir nicht leisten kannst und es gibt Risiken, die nicht einzugehen du dir nicht leisten kannst!". Neben der Weisheit, das eine vom anderen zu unter...

5 strategische Schritte für den sicheren KI-Einsatz

Der Hype um ChatGPT veranlasst viele Unternehmen, KI-Anwendungen zu implementieren, um möglichst schnell das umfassende Potenzial von KI zu nutzen. Sie zielen zum Beispiel auf eine Effizienzsteigerung, eine Entlastung der Mitarbeiterinnen und Mitarbeiter oder eine Verbesserung des Kundenservices ab. Weitere Anwendungsszenarien betreffen neuartige Datenanalysen oder ein optimiertes Risikomanagement. Projek...