A K T U E L L E S
Hier finden Sie aktuelle Beiträge und News rund um das Thema Informationssicherheit.
Künstliche Intelligenz in Unternehmen
Künstlichen Intelligenz (KI) beschäftigt viele Unternehmen, aber das Einschätzen der Gefahren ist schwierig.
Das Thema der KI ist ca. zwei Jahre alt und Spezialisten, die das Gebiet der KI überblicken und ein tiefes, fachliches Verständnis und Wissen besitzen, sind selten oder schlicht nicht vorhanden. Zudem entwickelt sich diese Technologie rasant weiter, und dass es Menschen geben wird, die einen Überblick behalten können, wird zunehmen unwahrscheinlicher oder sogar unmöglich werden.
Wer eine KI im Unternehmen selbst trainieren und betreiben will, muss sich Gedanken machen, welche Gefahren damit verbunden sind. Ein großes Thema dabei ist KI-Injection. Dabei geht es darum, eine KI dazu zu bringen, Dinge zu tun bzw. Informationen preiszugeben, die vom Betreiber der KI nicht gewollt sind, bzw. Informationen die als schützenswert gelten und nicht preisgegeben werden dürfen. Wenn eine KI auf Daten und Informationen Zugriff hat, kann sie solche Informationen und Daten auch verraten oder in ungewollter Weise behandeln.
KI-Systeme basieren auf menschlicher Sprache, und Menschliche Sprache ist unscharf. Jeder Mensch, der schon mal versucht hat, einem anderen Menschen einen Sachverhalt zu erklären und dann erwartet hat, auf dieser Basis ein Arbeitsergebnis zurück zu bekommen, wird nachvollziehen können, was dabei alles schief gehen kann.
Eine KI führt Anweisungen innerhalb der Grenzen aus, die sie beim Trainieren gelernt hat. Auch wenn diese Grenzen ausreichend erscheinen, kann eine KI dazu gebracht werden, diese Grenzen zu ignorieren oder anders zu interpretieren.
Was kann man tun?
- Man kann die Informationen und Daten filtern, auf welche die KI-Zugriff haben soll. Dabei geht es z.B. um interne, vertrauliche oder sogar geheime Informationen (Thema: Klassifizierung von Informationen).
- Man kann den Eingabe-Prompt filtern. Welche Daten soll eine KI verarbeiten dürfen (Text, Sprache, Bilder, Videos)? In Bildern oder Videos kann zum Beispiel eine Injection vorhanden sein, die für das menschliche Auge nicht sichtbar ist.
- Man kann die Ausgabe filtern. Wenn die Ausgabe z.B. vertrauliche Informationen enthält, wird die Ausgabe blockiert.
- Man kann die Quelle für den Eingabe-Prompt filtern, indem z.B. festgelegt wird, dass Eingaben nur von autorisierten Mitarbeiten stammen dürfen, aber nicht von Programmen, von einer anderen KI oder von einer Quelle mit Anfragen im Sekundentakt.
- Man kann von einem Menschen die Ausgabe überprüfen lassen, obschon auch ein Mensch social-engineer-bar ist. Eine menschliche Prüfinstanz kann eine Ausgabe prüfen und ggf. korrigieren oder die Anfrage in veränderter Form erneut stellen.
Diese genannten Maßnahmen decken längst nicht alle Gefährdungen ab, sind aber ein Anfang.
Bedenken Sie wohl, an welchen Stellen und in welchem Umfang Sie künstliche Intelligenz in Ihrem Unternehmen einsetzen und welche Schutzmaßnahmen Sie ergreifen.
Gesetzgebung für Informationssicherheit kritischer Infrastrukturen (NIS2)
Institutionen und Unternehmen sollten nun handeln.
Am 16.01.2023 ist die EU-Richtlinie 2022/2555 (NIS2) in Kraft getreten, und der Gesetzesentwurf NIS2UmsuCG zur Umsetzung der EU-Richtlinie hat nun das Bundeskabinett passiert.
Betroffen sind Institutionen und Unternehmen, die den kritischen Infrastrukturen zugeschrieben werden. Dabei wurde der Umfang betroffener Institutionen und Unternehmen erheblich ausgeweitet. Im § 28 wird unterschieden zwischen besonders wichtigen und wichtigen Einrichtungen Für wichtige Einrichtungen gilt eine Größeneinstufung von mindestens 50 Mitarbeitern oder eines Jahresumsatzes bzw. einer Jahresbilanzsumme von über 10 Mio EUR.
Institutionen und Unternehmen sollten nun prüfen, ob Sie betroffen sind und ggf. Maßnahmen ergreifen, um den Forderungen rechtzeitig nachkommen zu können. Es kann nötig sein, ein Managementsystem für Informationssicherheit aufzubauen und zu betreiben, was entsprechend Zeit und Ressourcen verlangt.
Wachsende Schäden durch Cyber-Kriminalität in 2023
Durch Cyberkriminalität entstehen immer größere Schäden. Unternehmen dürfen Risiken nicht nur als ein Thema der IT-Sicherheit behandeln, sondern müssen Risiken unternehmensglobal betrachten.
Laut einer Bitkom-Umfrage unter mehr als 1000 Firmen in Deutschland entstand in 2023 ein Schaden von 206 Milliarden Euro. Hervorgehoben werden auch die wachsenden Aktivitäten aus Russland und China und der organisierten Kriminalität (Bericht der Tagesschau, 01.09.2023).
In seinem Internet Crime Report hat das FBI in 2023 mit 880418 Fällen einen Schaden von 12,5 Milliarden US-Dollar beziffert (Heise Security vom 08.03.2024 ; Federal Bureau of Investigation (FBI) Internet Crime Report 2023).
Geheimnisverrat in Unternehmen
Der kleine Mitarbeiter im Unternehmen, das kleine Zahnrad im Unternehmensgetriebe muss auch sehen wo es bzw. wo er bleibt. Schließlich wird alles teurer.
Im Darknet treibt ein neuer Kassenschlager frische Blüten. Mitarbeitende verkaufen dort ihre privilegierten Benutzerzugänge und ihr Insiderwissen des Unternehmens an Dritte.
Ein guter Schutz im Unternehmen gegen Geheimnisverrat und generell gegen Angriffe von innen sind Mitarbeitende, denen es im Unternehmen gut geht, die sich wohl fühlen und sich dem Unternehmen verbunden fühlen. Denn diese Mitarbeitenden würden nicht auf die Idee kommen, ihrem eigenen Arbeitgeber bewusst Schaden zuzufügen. Ein guter Schutz ist soziale Kompetenz unter den Führungskräften, die wissen wie Menschen funktionieren und die dieses Wissen in ihr Handeln im guten Sinne einbeziehen. Soziale Probleme wie z.B. Mobbing kommen selten von der Seite, sondern von oben oder werden von oben toleriert oder ignoriert. Soziale Kompetenz ist der Schlüssel und ein gutes, vorbeugendes Mittel gegen Angriffe von innen.
Es gibt allerdings auch technische Mittel. Wie seit langem von Sicherheitsexperten angepriesen sind die Philosophie von Zero-Trust und das Need-to-know-Prinzip eine gute Wahl. Viele Unternehmen scheuen den Aufwand und die daraus interpretierte Aussage an Mitarbeiter: „Wir trauen euch nicht mehr.“ Allerdings geht es bei Zero-Trust nicht um das Misstrauen gegen Mitarbeitende, sondern um das Misstrauen gegen Benutzerkonten. Ein Benutzerkonto sollte im Idealfall nur den Zugriff auf Daten und Informationen besitzen, die gerade für die auszuführenden Tätigkeiten benötigt werden. Und um diesen Zugriff zu erlangen, sollte der Mitarbeitende aktiv etwas tun müssen (Wissen und Besitz). So nützt einem unbefugten Dritten ein gekapertes Benutzerkonto erst einmal nichts oder nur sehr wenig.
Wenn Benutzerkonten generell nur Zugriff auf Daten und Informationen besitzen, die tatsächlich für ihre Arbeit benötigt werden (Need-to-know), ist die Angriffsfläche um ein großes Stück gemindert.
Wenn zudem Tools zur Angriffserkennung & Reaktion eingesetzt werden, ist ein Unternehmen gut aufgestellt.
Cloud-Dienstleister verliert alle (Kunden-)Daten durch Ransomware-Angriff
Einem Bericht von Heise Online zur Folge hat der Cloud-Anbieter CloudNordic durch einen Ransomware-Angriff seine gesamten Daten verloren. CloudNordic sah die Lösegeldforderungen als nicht erfüllbar. Daten der Kunden seien futsch, Server und Systeme verloren, und eine Kommunikation war nicht mehr möglich (Heise Online Security, 23.08.2023).
Unternehmen verlassen sich auf Sicherheitsmaßnahmen der Cloud-Anbieter und dass diese ihrer Verantwortung nachkommen. Geht etwas schief, hat den Schaden aber erst einmal das Unternehmen selbst, das vertraut hat. Wehe dem, der nicht vorsorgt.