Da Daten das Herzstück jedes hochfunktionierenden und ausgereiften Unternehmens sind, decken KI-Tools wie Microsoft Copilot und Gemini Schwachstellen im Umgang mit sensiblen Informationen auf. Da diese Technologien in die täglichen Arbeitsabläufe eingebettet sind, kann das erhöhte Risiko einer übermäßigen Offenlegung sensibler Informationen nicht ignoriert werden. Eine KI-Datenrisikobewertung dient als erste Verteidigungslinie und stellt sicher, dass sensible Daten von Anfang an geschützt sind, während gleichzeitig die Vorteile der Automatisierung genutzt werden.
 

Was ist eine KI-Datenrisikobewertung?

Eine KI-Datenrisikobewertung ist eine Möglichkeit für Unternehmen, sensible Informationen effektiv zu identifizieren und zu schützen, während sie weiterhin KI-Tools wie Copilot einsetzen. Zu den wichtigsten Komponenten gehören die automatisierte Datenerkennung, Klassifizierung, Zugriffsüberwachung und Durchsetzung von Richtlinien. Dies ermöglicht ein Verständnis der Inhalte Ihrer Datenbestände, liefert Informationen über Datenflüsse während KI-Interaktionen über Plattformen hinweg und unterstützt Maßnahmen zur Risikominderung.

Angesichts der erhöhten Anfälligkeit von Daten, die online gespeichert und für KI zugänglich sind, sind Unternehmen zunehmend auf die Risiken von Datenlecks aufmerksam geworden. Ob es sich nun um vertrauliche Informationen, Mitarbeiterdaten oder geschützte Geschäftsdaten handelt – ohne angemessene Kontrollen können KI-Tools diese Informationen unbeabsichtigt über verschiedene Plattformen hinweg durch Eingabeaufforderungen, Antworten oder Integrationen mit externen Plattformen offenlegen.

Um Datenrisiken zu minimieren, müssen sensible Informationen innerhalb des Unternehmens kontrolliert, deren Speicherorte bekannt sein und klar sein, wer Zugriff darauf hat. Risikobewertungen sollten auch KI-Tools und -Integrationen von Drittanbietern berücksichtigen und Aufschluss darüber geben, wo Daten außerhalb der direkten Kontrolle des Unternehmens fließen können. Konkrete Beispiele hierfür sind personenbezogene Daten, Finanzunterlagen und regulierte Informationen wie Daten der Zahlungskartenindustrie (PCI) oder personenbezogene Daten (PII). Mit dem Fortschritt der KI jonglieren viele Unternehmen mit mehreren Tools gleichzeitig, um verschiedene Aufgaben zu erfüllen. Innerhalb jeder Plattform werden Daten gespeichert und abgerufen und sind somit anfällig für Offenlegung. Durch die Durchführung von KI-Datenrisikobewertungen können Unternehmen Bereiche mit Offenlegungs- und Regulierungsrisiken antizipieren und einen soliden Rahmen für den verantwortungsvollen Einsatz von KI schaffen.

Schützen Unternehmen sensible Daten nicht bereits?

Zwar verfügen viele Unternehmen über aktive Datensicherheitsprotokolle, doch traditionelle Datenschutztools wie Data Loss Prevention (DLP) und Insider Risk Management (IRM) wurden für E-Mail, Dateifreigabe und Kollaborationsplattformen entwickelt. KI führt neue Vektoren für die Datenfreigabe ein, für deren alleinige Bewältigung diese Tools nicht ausgelegt sind. Daher müssen KI-Technologien unabhängig davon überwacht werden, ob sie sich innerhalb des Datenökosystems oder außerhalb befinden.

Microsoft bietet Data Security Posture Management for AI (DSPM for AI) als Komponente von Microsoft Purview an. Diese Lösung kann in Verbindung mit Richtlinien für Data Loss Prevention (DLP) und Insider Risk Management (IRM) verwendet werden. Sie untersucht Datenbestände auf potenzielle Schwachstellen und gibt auf der Grundlage ihrer Analyse Empfehlungen ab. Mit DSPM for AI können Unternehmen den Datenfluss zwischen KI-Anwendungen und internen Systemen beobachten und verwalten. Durch die Integration mit DLP und IRM bietet DSPM for AI einzigartige KI-Überwachungsfunktionen und unterstützt die Durchsetzung von Richtlinien sowohl in traditionellen als auch in KI-Umgebungen.

Für Rechtsabteilungen bedeutet dies, dass sie Einblick in den Zugriff, die Weitergabe und die Verwendung sensibler Daten in KI-Interaktionen erhalten, ohne ihre bestehende Sicherheitsinfrastruktur überarbeiten zu müssen.

Anpassung der KI-Datenrisikokontrollen an Ihr Unternehmen

Klassifikatoren sind Regeln oder Modelle, die sensible Informationen in den Datenbeständen eines Unternehmens erkennen. Mit DSPM für KI können Benutzer Klassifikatoren an das individuelle Risikoprofil ihres Unternehmens anpassen und gleichzeitig auf der Grundlage von Analysen Standardrichtlinien erstellen.

Rechts- und Compliance-Abteilungen können gemeinsam mit IT- und Sicherheitsteams Klassifizierer auf der Grundlage von regulatorischen Verpflichtungen, Vertraulichkeitsanforderungen oder internen Richtlinien zur Risikovermeidung anpassen. Sie können bestehende Informationstypen bearbeiten, benutzerdefinierte Klassifizierer erstellen und diese auf Ihre DSPM-Richtlinie anwenden – alles über ein zentrales Portal.

Diese Flexibilität stellt sicher, dass KI-Risikokontrollen keine Einheitslösung sind. Stattdessen entwickeln sie sich mit den Anforderungen und den gesetzlichen und regulatorischen Verpflichtungen jedes Unternehmens weiter.

Verwendung der integrierten Empfehlungen von Microsoft für Klassifizierer

Für Unternehmen, die sich nicht sicher sind, wo sie anfangen sollen, bietet Microsoft automatisierte Klassifiziererempfehlungen auf der Grundlage von Echtzeit-Traffic-Analysen. Diese Empfehlungen helfen dabei, risikoreiche Verhaltensweisen zu identifizieren, wie z. B. das Hochladen sensibler Daten auf KI-Websites oder das Senden von Eingabeaufforderungen, die vertrauliche Informationen offenlegen könnten.

Die Möglichkeit, Tools wie DSPM für KI mit anderen Microsoft-Angeboten wie DLP zu kombinieren, ermöglicht es Benutzern, effiziente Workflows in einem einheitlichen System zu betreiben und gleichzeitig die Datensicherheit zu gewährleisten.

KI-Governance-Framework: Krabbeln, Laufen, Rennen

Unternehmen können ein „Krabbeln, Laufen, Rennen“-Modell nutzen, um neue Richtlinien mit den Stakeholdern einzuführen. Der Prozess umfasst:

• Krabbeln: Richtlinien im Audit-Modus bereitstellen, um das Verhalten ohne Durchsetzung zu beobachten.
• Laufen: Stakeholder überwachen und alarmieren, wenn sie gegen eine neue Richtlinie verstoßen haben, aber das Verhalten nicht blockieren.
• Rennen: Richtlinien durchsetzen, um riskante Handlungen zu blockieren und die Einhaltung sicherzustellen.

Dieser schrittweise Ansatz ermöglicht es Unternehmen, Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen und Störungen zu vermeiden, während sie ein strategisches AI Governance Framework aufbauen. Jede Phase sollte durch Kennzahlen wie Richtlinienverstoßraten, Benutzerakzeptanz und Reaktionszeiten bei Vorfällen unterstützt werden, um den Fortschritt zu steuern und die Verantwortlichkeit sicherzustellen. Das Framework sollte je nach Risikoprofil anpassbar sein. Anwendungsfälle mit hohem Risiko erfordern möglicherweise eine schnellere Durchsetzung, während Bereiche mit geringem Risiko länger im Audit-Modus verbleiben können.

Was Rechts- und Compliance-Teams von einer Risikobewertung profitieren

Die Durchführung einer KI-Datenrisikobewertung mit DSPM for AI bietet mehrere Vorteile, die dabei helfen, KI-Governance proaktiv anzugehen. Sie ermöglicht eine schnelle Bereitstellung mit minimaler Konfiguration, verhindert Datenlecks in KI-Eingabeaufforderungen und -Antworten, überwacht unethisches Verhalten und bietet Unterstützung bei der Einhaltung von Vorschriften wie DSGVO, HIPAA, NIST und RMF. DSPM for AI unterstützt auch die Durchsetzung von Richtlinien, indem es automatisierte Governance-Kontrollen und Prüfpfade für KI-Interaktionen ermöglicht. Es bietet Echtzeit-Überwachungs- und Warnfunktionen, die Teams dabei helfen, schnell auf potenziellen Datenmissbrauch oder Richtlinienverstöße zu reagieren, und fördert die Zusammenarbeit zwischen Rechts-, Risiko-, Compliance-, Sicherheits- und Datenteams, um eine einheitliche Governance über alle KI-Initiativen hinweg sicherzustellen. Diese Funktionen stellen sicher, dass Innovation nicht auf Kosten der Compliance oder Vertraulichkeit geht.

Schutz von Daten bei der Verwendung von KI-Tools von Drittanbietern

Während Copilot innerhalb von Purview nativ vollständig unterstützt wird, kann die Abdeckung für KI-Tools von Drittanbietern mithilfe von Konnektoren oder durch die Integration des Purview SDK in individuell entwickelte KI-Apps geregelt werden. Microsoft arbeitet aktiv daran, die Transparenz und Kontrolle auf weitere Plattformen auszuweiten, um Unternehmen einen umfassenderen Überblick über die mit der KI-Implementierung verbundenen Risiken zu bieten, wie z. B. die versehentliche Offenlegung sensibler Informationen, fehlende Prüfpfade oder die Nichteinhaltung von Datenschutzgesetzen. Diese Sichtbarkeitslücke setzt Unternehmen Risiken aus, die außerhalb des Governance-Rahmens von Microsoft liegen. Um diese Lücke zu schließen, sollten Rechts- und IT-Teams ergänzende Lösungen in Betracht ziehen, die die Überwachung und Durchsetzung von Richtlinien auf alle verwendeten KI-Tools ausweiten. Ein vorausschauender Ansatz ermöglicht es Unternehmen, neuen Risiken im Zuge der Weiterentwicklung dieser Tools immer einen Schritt voraus zu sein. Rechtsabteilungen sollten proaktiv mit IT- und Governance-Stakeholdern zusammenarbeiten, um Richtlinien für die akzeptable Nutzung zu definieren und Überwachungstools zu implementieren, die über die Microsoft-Ökosysteme hinausgehen.

Mit großem Risiko geht große Verantwortung einher

Die Bewertung von KI-Datenrisiken ist nicht nur ein Anliegen der IT-Abteilung, sondern auch eine rechtliche und Compliance-Priorität. Durch die Integration von Tools wie DSPM für KI in Ihre Governance-Strategie schützen Unternehmen sensible Daten, gewährleisten die Einhaltung gesetzlicher Vorschriften und unterstützen den verantwortungsvollen Einsatz von KI. Bevor Sie sich kopfüber in die Einführung von KI stürzen, sollten Sie ein solides Data-Governance-Framework als starke Grundlage schaffen, um mit Zuversicht voranzuschreiten.

Manikandadevan Manokaran, Senior Data Security Consultant, Epiq

Manikandadevan ist ein kundenorientierter Berater mit über 16 Jahren Erfahrung im Bereich Microsoft-Technologien. Er ist spezialisiert auf Cloud-Migration, Sicherheit und Compliance. Manikandadevan engagiert sich leidenschaftlich dafür, Unternehmen bei der Modernisierung ihrer Datenumgebungen mit intelligenten KI-Lösungen zu unterstützen.