IT Security Januar / Februar 2024
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen Fein-granulare Autorisierung – Warum der Hype?
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie
Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung
Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen
Fein-granulare Autorisierung – Warum der Hype?
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 19<br />
Die Krux also: Die meisten Unternehmen<br />
sind sich inzwischen der Bedeutung<br />
der Technologie und ihrer möglichen<br />
positiven Auswirkungen auf den Arbeitsalltag<br />
bewusst. Allerdings sorgt die an<br />
vielen Stellen ungewisse Sachlage in<br />
puncto Datensicherheit für Sorgenfalten<br />
in den Entscheidergremien. Eine Studie<br />
des Instituts für angewandte Arbeitswissenschaft<br />
e.V. (ifaa) fand heraus, dass<br />
40 Prozent der befragten Unternehmen<br />
Sicherheitsbedenken beim Einsatz von<br />
KI haben.<br />
Zwei Gegensätze, die es aus der Welt<br />
zu schaffen gilt, wenn die deutsche<br />
Unternehmenslandschaft die Potenziale<br />
voll ausschöpfen und das Zeitalter der<br />
KI erfolgreich bestreiten will.<br />
Welche Schritte können Unternehmerinnen<br />
und Unternehmer also gehen, um<br />
den sicheren Einsatz von KI-Tools zu gewährleisten?<br />
Wo und wie werden eingespeiste<br />
Daten weiterverwendet?<br />
KI-Tools haben gemein, dass sie sich<br />
stetig weiterentwickeln. Dafür werden<br />
sie trainiert – und zwar mit externen<br />
Daten. Daraus ergibt sich die Prämisse,<br />
dass die Anbieter dieser KI-Anwendungen<br />
Zugriff auf eben jene Daten haben.<br />
Nicht alle KI-Anbieter haben jedoch die<br />
Sicherheit der Daten, mit denen sie hantieren,<br />
im Kern der DNA.<br />
Entscheider, die vor der Wahl ihres KI-<br />
Anbieters stehen, sollten diesen Punkt<br />
vor allen anderen berücksichtigen und<br />
nur solche KI-Unternehmen in die engere<br />
Auswahl nehmen, die Grundprinzipien<br />
der Datensicherheit verfolgen. Dafür<br />
von hohem Stellenwert ist der Betrieb<br />
einer eigenen Server-Infrastruktur.<br />
Mit dieser gewährleisten Partner-Unternehmen<br />
ständige Datenhoheit, da Informationen<br />
nicht an Drittanbieter, wie<br />
beispielsweise Cloud-Hosting-Services,<br />
weitergegeben werden müssen. Die<br />
NDA LOHNEN SICH IMMER<br />
DANN, WENN DIE ZUR<br />
VERFÜGUNG GESTELLTEN<br />
ANGABEN ZU KI-PRO-<br />
DUKTEN UND -SERVICES<br />
KEINE VOLLUMFÄNGLICHE<br />
BEWERTUNG ERLAUBEN.<br />
Guido Simon, Director of Engineering<br />
(<strong>IT</strong>-Operations & Infrastructure), DeepL,<br />
www.deepl.com<br />
beste Server-Infrastruktur ist jedoch nur<br />
dann von Wert, wenn die Daten bei der<br />
Übertragung nicht abgegriffen werden<br />
können. Dazu ist ein Datenfluss über<br />
End-to-End-Verschlüsselung zwingend<br />
notwendig. Diesen sollten sich Unternehmen<br />
von ihren Partnern vertraglich<br />
festhalten lassen. Im ersten Schritt helfen<br />
Zertifizierungen, wie ISO27001<br />
und SOC2, ein grundlegendes Verständnis<br />
über die Verarbeitung der Daten<br />
zu erlangen. Liegen diese Zertifizierungen<br />
vor und sollten dennoch Fragen<br />
zur Verarbeitung offen bleiben, können<br />
im weiteren Prozess Whitepaper angefordert<br />
werden, um die Details verstehen<br />
und analysieren zu können.<br />
Weiterverarbeitung der<br />
Daten prüfen<br />
Sind Daten einmal mit Partner-Unternehmen<br />
via End-to-End-Verschlüsselung für<br />
das Ausführen der gewünschten Dienstleistung<br />
geteilt, wird eine Frage oftmals<br />
nur unzureichend beantwortet: Was<br />
passiert im Anschluss mit meinen Daten?<br />
Denn manche KI-Anbieter nutzen die<br />
eingespeisten Daten beispielsweise,<br />
auch ohne klare Kennzeichnung, weiterführend<br />
für das Training ihrer Tools.<br />
Bei der Auswahl des KI-Anbieters muss<br />
deshalb konkret nachgefragt werden,<br />
ob und wie die Daten weiterverarbeitet<br />
werden. Hier sollte man, je nach Sensibilität<br />
der eigenen Daten, auf sofortige<br />
und unwiderrufliche Löschung bestehen.<br />
Bei DeepL sind wir beispielsweise<br />
Eigentümer aller Server und können so<br />
ein hohes Maß an Sicherheit eigenständig<br />
aufrechterhalten. Zudem löschen<br />
wir die Daten unserer Pro-Kunden direkt<br />
nach Ausführung der Übersetzung unwiederbringlich.<br />
Datensicherheit in der Zusammenarbeit<br />
mit internationalen Partnern<br />
Non-Disclosure-Agreements (NDA), zu<br />
Deutsch Geheimhaltungsvereinbarungen,<br />
sind im Unternehmenskontext<br />
gang und gäbe und ein valides Mittel,<br />
um Details in der Zusammenarbeit zwischen<br />
Unternehmen festzuhalten. Im Bereich<br />
der Datenverarbeitung können sie<br />
als weiteres Sicherheitsnetz fungieren,<br />
besonders dann, wenn man mit Anbietern<br />
aus Nicht-EU-Staaten kooperiert.<br />
Denn außerhalb der EU greift die<br />
DSGVO nicht und wird – wenn überhaupt<br />
– nur auf freiwilliger Basis ganz<br />
oder teilweise beachtet. Der durch die<br />
DSGVO grundsätzlich gewährleistete<br />
hohe Sicherheitsstandard ist für Partner,<br />
zum Beispiel in den USA, damit nicht<br />
zwingend gegeben.<br />
In einem NDA sollten deutsche Unternehmen<br />
deshalb festhalten, ob und wie<br />
geteilte Daten gespeichert und genutzt<br />
werden dürfen. Auch andere, individuell<br />
konzipierte Sicherheitsaspekte können<br />
dort festgehalten werden. Viele<br />
Unternehmen lassen sich beispielsweise<br />
eine dauerhafte Rechenschaftspflicht<br />
des Anbieters vertraglich zusichern.<br />
NDA lohnen sich also immer dann,<br />
wenn die zur Verfügung gestellten Angaben<br />
zu KI-Produkten und -Services<br />
keine vollumfängliche Bewertung erlauben<br />
oder überdies zusätzliche Sicherheitsnetze<br />
implementiert werden sollen.<br />
Guido Simon<br />
www.it-daily.net | <strong>Januar</strong>/<strong>Februar</strong> <strong>2024</strong>