AI und Cybersecurity [Teil 3]: AI-as-a-Service im KI-Zeitalter sicher nutzen

Autor
André Mäder
Veröffentlicht
08. November 2024

Mit der zunehmenden Integration von AI-as-a-Service (AIaaS) in alltägliche Business-Anwendungen steigen die Möglichkeiten und Herausforderungen Künstlicher Intelligenz gleichermassen. Die oft unbewusste Nutzung solcher Dienste birgt zahlreiche Risiken – von Sicherheitsbedenken bis hin zu datenschutzrechtlichen Themen mit juristischen Konsequenzen. Eine sinnvolle Integration von AIaaS in die Sicherheitsstrategie ist deshalb entscheidend für den verantwortungsvollen und sicheren Einsatz der KI-Technologie. Dieser Artikel bietet einen detaillierten Überblick über die Risiken einerseits und die entsprechenden Lösungsansätze andererseits.

Best Practices für integrierte AIaaS

In vielen Anwendungen nutzen wir AI-as-a-Service (AIaaS), ohne uns dessen bewusst zu sein. Dazu zählen:

  • Integrierte Übersetzungs- und Schreibdienste
  • Navigationssysteme mit Berechnung der optimalen oder individueller Routenvorschläge
  • Personalisierte Empfehlungen (von Amazon bis Netflix)
  • Spam-Filter in Emails
  • Virtuelle Assistenten von Alexa bis Siri

Weiter unten in diesem Artikel ordnen wir diese Anwendungen in verschiedene Kategorien, welche entsprechend unterschiedliche und sicherheitsrelevante Betrachtungen erfordern: Sicherheitsaspekt, Datenschutz, technische und betriebliche Herausforderungen sowie ethische und rechtliche Fragen.

Der Schutz von Informationen steht im Zentrum aller Sicherheitsüberlegungen. Bei unbewusster Nutzung von AI können persönliche oder sensible Daten, die in AI-Dienste eingegeben werden, abgefangen oder missbraucht werden (Datenlecks). Unterstützen Sie Ihre Mitarbeitenden mit geeigneten Schulungen und Richtlinien, um die Risiken zu erkennen und angemessen zu handhaben. So kann dem Mangel an Transparenz (Black-Box-Problem), insbesondere im Zusammenhang mit geistigem Eigentum, Kundendaten und Urheberrechten, entgegengewirkt werden.

Schützen Sie Ihr Unternehmen und Ihre Mitarbeitenden, indem Sie das Bewusstsein für Vertraulichkeit stärken. Damit verhindern Sie, dass sensible Informationen in AI-Dienste eingegeben und potenziell missbräuchlich verwendet werden. Beachten Sie, dass Ihr vertrauenswürdiger Übersetzungs- und Schreibdienst alle Uploads und Anfragen aus verschiedenen Abteilungen kennt und diese in einem breiten Kontext interpretieren kann.

Ein weiterer Aspekt ist die Nutzung persönlicher Lizenzen durch Mitarbeitende im Unternehmenskontext sowie das fehlende Verständnis, die Qualität der Ergebnisse von KI-Werkzeugen kritisch zu hinterfragen. Diese Herausforderungen erfordern Massnahmen und Best Practices, um den sicheren, effizienten und verantwortungsvollen Einsatz von AIaaS zu gewährleisten.

Lösungsansatz mit integrierten Microsoft CoPilot & Co

Die Nutzung von eingebetteten und lizenzierbaren AI-as-a-Service (AIaaS), wie zum Beispiel Microsoft CoPilot, ist auf dem Vormarsch.

Der Hauptvorteil moderner AIaaS liegt in der nahtlosen Integration und Entlastung bei der Erstellung von Inhalten. So lassen sich Protokolle beispielsweise einfach zusammenfassen, Vorschläge zu qualitativ hochstehender Kommunikation erstellen, Informationssammlungen mit Prompts durchsuchen und vieles mehr.

Ähnlich wie bei der Nutzung integrierter AIaaS ist Microsoft CoPilot in den Service integriert – hier lassen sich gewisse Rahmenbedingungen und Einschränkungen konfigurieren und es besteht ein Vertragsverhältnis.

Betrachten wir die oben genannten Risikokategorien und die jeweils anwendbaren Lösungsansätze im Detail:

Sicherheitsaspekte

  • Datenintegrität und -sicherheit: Sicherstellung, dass die Daten, die in die AIaaS-Plattform eingespeist werden, bekannt und geschützt sind sowie von unbefugten Parteien nicht manipuliert werden können.
  • Angriffe auf AI-Modelle: Schutz vor «adversarial Attacks», bei denen Eingabedaten gezielt manipuliert werden, um das Modell zu täuschen und falsche Ergebnisse zu erzeugen.
  • API-Sicherheit: Schutz der APIs, die zur Integration mit der AIaaS-Plattform verwendet werden, um Missbrauch und Sicherheitslücken zu vermeiden.

Datenschutz

  • Einhaltung von Datenschutzgesetzen: Sicherstellung, dass die Nutzung von AIaaS-Diensten mit Datenschutzgesetzen wie dem Schweizer Datenschutzgesetz und der GDPR (General Data Protection Regulation) konform ist.
  • Datenanonymisierung: Anonymisierung der Daten, um die Privatsphäre der Nutzer*innen zu schützen und sicherzustellen, dass personenbezogene Daten nicht unbeabsichtigt offengelegt werden.
  • Datenhoheit: Sicherstellung, dass die Kontrolle über die Daten bei der Organisation bleibt und dass klar ist, wer Zugriff auf die Daten hat und wie sie verwendet werden.

Technische Herausforderungen

  • Skalierbarkeit: Sicherstellung, dass die AIaaS-Dienste in der Lage sind, mit grossen Datenmengen und hohen Benutzerzahlen effizient umzugehen.
  • Leistungsüberwachung und -optimierung: Kontinuierliche Überwachung der Leistung der Dienste, um sicherzustellen, dass sie effizient und zuverlässig arbeiten.
  • Integration in bestehende Systeme: Gewährleistung einer nahtlosen Integration der AIaaS-Dienste in die vorhandene IT-Infrastruktur und Arbeitsabläufe der Organisation.

Betriebliche Herausforderungen

  • Kostenkontrolle: Überwachung und Management der Kosten für die Nutzung von AIaaS-Diensten, um sicherzustellen, dass sie im Rahmen des Budgets bleiben.
  • Wartung und Updates: Sicherstellung, dass die AIaaS-Dienste regelmässig aktualisiert und gewartet werden, um Sicherheitslücken zu schliessen und die Leistung zu verbessern.
  • Verfügbarkeitsmanagement: Sicherstellung der kontinuierlichen Verfügbarkeit der AIaaS-Dienste, um Unterbrechungen im Betrieb zu minimieren.

Ethische und rechtliche Herausforderungen

  • Vorurteile und Gerechtigkeit: Vermeidung und Korrektur von Verzerrungen in den Modellen, die zu unfairen oder diskriminierenden Ergebnissen führen können.
  • Transparenz und Erklärbarkeit: Sicherstellung, dass die Funktionsweise der AIaaS-Dienste transparent ist und dass die getroffenen Entscheidungen nachvollziehbar und erklärbar sind.
  • Verantwortlichkeit und Haftung: Klärung, wer die Verantwortung und Haftung für die Entscheidungen und Handlungen der AIaaS-Dienste trägt, insbesondere in Fällen, in denen diese Entscheidungen zu negativen Konsequenzen führen.

Weiterführende Herausforderung

  • Qualität der generierten Inhalte: Sicherstellung, dass die von AIaaS generierten Inhalte korrekt, relevant und von hoher Qualität sind.
  • Urheberrecht und geistiges Eigentum: Umgang mit Fragen des Urheberrechts und des geistigen Eigentums, insbesondere wenn AIaaS Inhalte generiert, die auf urheberrechtlich geschütztem Material basieren könnten.
  • Benutzeranpassung und -feedback: Implementierung von Mechanismen zur Anpassung der Dienste an die individuellen Bedürfnisse und Vorlieben der Nutzer sowie zur Berücksichtigung von Benutzerfeedback zur kontinuierlichen Verbesserung.

Eine eingehende Betrachtung dieser Herausforderungen und der erforderlichen Sicherheitsmassnahmen zeigt, dass eine erfolgreiche Nutzung von AI-as-a-Service sorgfältiges Management wie auch geeignete Strategien, Richtlinien und technische Massnahmen erfordert.

AIaaS optimiert in die Business-Prozesse integrieren?

Lassen Sie sich Lücken und Risiken in Ihrem Sicherheitsdispositiv von unserem Expertenteam aufzeigen und gehen Sie den Schritt ins KI-Zeitalter bedenkenlos. Als Element unserer AI-Gap-Analyse oder als Teil unseres Microsoft 365 Security Assessments führen wir für Sie ein Microsoft 365 CoPilot Readiness Assessment durch. Damit erhalten Sie wertvolle Informationen zu Quick Wins und Handlungsempfehlungen, um die Microsoft-CoPilot-Funktionalität sicher zu nutzen.

AI-Gap-Analyse

AI und Cybersecurity, die dreiteilige Blogserie

Erweitern Sie Ihr Know-how zu sicheren Einsatzmöglichkeiten von KI-Technologien in Ihrem digitalen Risikomanagement. Wir begleiten Sie auf dieser Reise mit unserer Blogserie «AI und Cybersecurity».

 

 

Bildlegende: KI-generiertes Bild

Artikel teilen