APT und gezielte Angriffe
Risiko „Bring your own AI“
Sei es die ChatGPT-App von OpenAI, Copilot+ Laptops von Microsoft oder Apple Intelligence – KI wandelt sich vom Zusatzdienst zum integralen und integrierten Produktbestandteil. Was verlockend klingt, wirft aber Datenschutzprobleme auf.
Immer mehr Technologie-Unternehmen kündigen gerade eigene virtuelle Assistenten an, die mittels künstlicher Intelligenz das (digitale) Leben erleichtern sollen. Dazu zählen unter anderem Microsoft mit Copilot+ und Apple mit Apple Intelligence, die in Kürze verfügbar sein werden oder es bereits sind.
Auf den ersten Blick sind die Versprechungen dieser Lösungen, die einem quasi immer virtuell über die Schulter schauen, um dann durch Kontextwissen bessere Antworten geben zu können, auch durchaus haltbar. Schließlich muss man bei Anfragen an solche KI-Assistenten ihnen nicht immer wieder Gott und die Welt erklären, damit sie den Kontext der Frage verstehen. Vielmehr sind diese Assistenten in der Lage, alles, was auf dem lokalen Gerät passiert, in unterschiedlicher Ausprägung zu verarbeiten.
Damit ist es dann möglich, Anfragen à la „Assistent, ich brauche eine Zusammenfassung der Informationen über Hunderassen, die in der letzten Woche auf den besuchten Webseiten zu sehen waren“ an die KI zu stellen. Im Grunde also ein sehr großer technischer Schritt hin zu einem echten persönlichen Assistenten, der auch konsistente Informationen im jeweils individuellen Kontext liefern kann. Ganz ehrlich: Wer von dieser technologischen Entwicklung nicht begeistert ist, kann sich für wenig begeistern.
Wie steht es um den Datenschutz?
Kommen wir nun jedoch zu dem Bereich, der etwas Kopfzerbrechen bereiten könnte. Um diesen umfassenden Service anbieten zu können, müssen die Assistenten ständig Zugriff auf die Daten haben, mit denen der Nutzer arbeitet, um dann entsprechend kontextbezogen antworten zu können. Sei es, dass sie Inhalte durchsuchen, Eingaben aufnehmen oder auch Screenshots machen, aus denen sie dann mittels KI wieder Inhalte extrahieren und das „Wissen“ des Assistenten in den Kontext einbringen. Genau an dieser Stelle stellt sich die Frage, wo die Daten verarbeitet werden. Je nach Lösung werden diese zur Verarbeitung in die Cloud geschickt oder lokal auf dem Gerät verarbeitet – mit der Option, sie in die Cloud zu schicken, wenn mehr Leistung nötig ist.
So spannend diese Technik im Consumer-Umfeld auch sein mag, im Unternehmensumfeld bereitet sie Kopfschmerzen, ähnlich wie vor Jahren BYOD (Bring Your Own Device). Wie gehe ich mit KI-Funktionen auf (Firmen-)Geräten um, die Unternehmensdaten „sehen“ können? Und selbst wenn ich diese KI-Funktionen auf Firmengeräten abschalte? Wie verhindere ich, dass Mitarbeiter mit eigenen Geräten auf Firmeninhalte zugreifen und diese von der KI „gelernt“ werden?
Dokumentation und Aufklärung
Letztlich gibt es für diese Herausforderung ebenso wenig „die“ Lösung, wie es sie zuvor für BYOD gab. Vielmehr stellt sich die Frage, ob man solche Funktionen auf Firmengeräten verbieten oder abschalten kann und dafür möglicherweise Produktivitätseinbußen in Kauf nimmt. Bei nicht firmeneigenen Geräten wird es schon schwieriger. Schließlich kann man Mitarbeitern kaum verbieten, KI-Assistenten auf privaten Geräten zu nutzen.
Was man aber auf jeden Fall tun kann, sind zwei Dinge: Man kann die Nutzung von KI-Funktionen auf Firmengeräten unterbinden oder zumindest deren Nutzung (statistisch, nicht inhaltlich) als Metrik protokollieren. Damit lässt sich beispielsweise die Frage beantworten, ob KI im Unternehmensumfeld genutzt wird, und wenn ja, welche Dienste.
Generell kann und sollte ein Unternehmen auch auf jeden Fall die Mitarbeiterinnen und Mitarbeiter über diese KI-Assistenten und die möglichen Auswirkungen auf Unternehmensdaten aufklären! Denn eines ist – wie auch schon bei BYOD – klar: Der Geist ist aus der Flasche. Die Mitarbeiter werden diese Funktionen nutzen. Es liegt also an uns, dies entweder im Regelbetrieb zu überwachen oder die Mitarbeiter zumindest entsprechend zu sensibilisieren.
Sicherer Umgang mit KI-Assistenten
So spannend und mächtig diese Assistenten sind, sollten Sie sich vor der Nutzung bewusst mit der Frage auseinandersetzen, auf welche Daten sie zugreifen, wo diese verarbeitet werden und welche Auswirkungen dies auf den Schutz Ihrer Daten haben kann. Dann können Sie sich bewusst für oder gegen eine Nutzung im privaten Bereich entscheiden.
Im beruflichen Kontext sollten Sie unbedingt mit Ihrer IT-Abteilung Rücksprache halten, bevor Sie solche Funktionen nutzen oder Ihre persönlichen Geräte mit diesen Assistenten zu beruflichen Zwecken einsetzen – beispielsweise im Rahmen eines möglichen BYOD-Konzepts („Bring Your Own Device“) Ihres Arbeitgebers.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.