Kaum ein Thema steht aktuell so sehr in den Schlagzeilen wie die künstliche Intelligenz. Sozusagen im Schlaf analysiert sie riesige Datenmengen, erkennt komplexe Muster und kann Vorhersagen treffen die weit über die menschlichen Fähigkeiten hinausgehen. Doch ist KI wirklich der allumfassende Retter, der im digitalen Zeitalter die notwendige Sicherheit verspricht?
KI, Sicherheit und Datenschutz: Allumfassender Retter oder bedenkliche Bedrohung?
Spätestens seitdem ChatGPT im November 2022 den Markt erstürmte, kamen Fragen zum Thema Datenschutz auf. Zeitweise sprach die italienische Regierung sogar ein Verbot des Chatbots aus, hob es jedoch inzwischen wieder auf. Es kann durchaus vorkommen, dass KI durch die Trainingsdaten, mit der sie gefüttert wird, auch personenbezogene Daten verarbeitet.
Zusätzlich kann künstliche Intelligenz beispielsweise im HR-Bereich persönliche Daten von Bewerber:innen oder Mitarbeitenden verarbeiten. Tatsächlich ist das Thema noch ziemlich schwammig. Warum eigentlich?
Alle Bereiche, die mit personenbezogenen Daten hantieren, unterliegen den Vorgaben des Datenschutzrechts, in Europa regelt dies die am 25. Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO). So weit, so gut! Nur legte KI einen rasanten Anstieg hin, womit kaum einer zuvor rechnete. Das hat selbst viele Regierungen überrumpelt, sodass riesige Sicherheitslücken entstanden und die Frage offen blieb, wie KI und die Datensicherheit Hand in Hand gehen können?
Deshalb arbeitet die europäische Regierung bereits seit über drei Jahren mit Hochdruck an dem sogenannten AI-Act. Es handelt sich dabei um die weltweit erste Regulierung von künstlicher Intelligenz, die wohl im Laufe des Jahres 2024 verabschiedet werden soll. Wie genau eine solche Regulierung aussieht, steht noch in den Sternen. Es sind zwar bereits einzelne Bereiche klar, wie die Einordnung von Risikogruppen oder das Verbot gewisser KI-Anmeldungen. Genaueres wird wohl aber erst mit der Bekanntgabe des AI-Acts an die Öffentlichkeit gelangen.
Künstliche Intelligenz und Datenschutz? Es sollte nicht alles schwarz gesehen werden
Diese Unsicherheiten bergen auch für Unternehmen ein immenses Risiko. Tatsächlich kann KI nämlich in puncto Datenschutz Sicherheit den Unternehmensalltag sicherer gestalten. Denn trotz aller Bemühungen kommt es oftmals durch menschliches Versagen zu einer Datenschutzverletzung. Die Folgen sind gravierend!
Deckt jemand eine solche Verletzung auf, können je nach Unternehmensgröße Bußgelder von bis zu 20 Millionen Euro auferlegt werden. Ganz zu schweigen von dem Imageschaden, den das Unternehmen erhält. Die Implementierung von KI könnte zukünftig die Sicherheit im Datenschutz erhöhen.
Künstliche Intelligenz ist in der Lage, Prozesse zu automatisieren, und somit Fehler aufgrund von menschlichem Versagen zu verhindern. Sie kann immense Datenmengen nach sensiblen Daten durchsuchen, um diese beispielsweise gegen unbefugte Zugriffe zu schützen. Diese werden durch KI automatisch verschlüsselt und anonymisiert, ein Pluspunkt für die Sicherheit. KI-Systeme sind zudem in der Lage, den Datenverkehr zu überwachen, ungewöhnliche Aktivitäten im Netzwerk zu erkennen und potenzielle Sicherheitsverletzungen proaktiv zu verhindern.
Beispiel für den Einsatzbereich: Gerade im Gesundheitswesen gilt es, mit Patientendaten behutsam umzugehen. Heutzutage wirft bereits künstliche Intelligenz ein Auge auf diese Daten und gewährt ausschließlich autorisierten Personen einen Zugang. Versuche unbefugter Personen unterbindet sie hingegen direkt. Hier erhöht KI also deutlich die Sicherheit von Patientenakten.
Wie erfolgt die Datensicherheit und besteht eine Informationspflicht gegenüber der Nutzer:innen?
Datensicherheit steht natürlich an vorderster Stelle. Diese wird durch den Einsatz von regelmäßigen Sicherheitsaudits, Verschlüsselungstechnologien und entsprechenden Zugangskontrollen gewährt. Bezüglich der Informationspflicht gibt es auch für die künstliche Intelligenz keine sogenannte Extrawurst! Das bedeutet, hier gilt es, die Informationspflicht der DSGVO Art. 13 zu beachten.
Nutzer:innen müssen über die Art und Umfang der Datenverarbeitung ihrer personenbezogenen Daten informiert werden. Das geschieht in gewisser Weise heutzutage schon in Form von Einwilligungs- oder Datenschutzerklärungen. Ob es einem Extrahinweis bedarf, dass die Datenverarbeitung mittels KI erfolgt, ist bislang nicht bekannt. Außerdem unterliegen die personenbezogenen Daten, laut DSGVO, einer gewissen Aufbewahrungsfrist. Diese gilt es selbstverständlich, trotz der Verwendung von KI, einzuhalten. Ob die Löschung der Daten zukünftig durch künstliche Intelligenz automatisiert wird, bleibt abzuwarten.
KI in der IT-Sicherheit: Ein Fluch und Segen zugleich
Definitiv ist KI in Bezug auf Cybersicherheit ein zweiseitiges Schwert! Cyber-Security-Expert:innen stehen die Haare zu Berge, wenn Hacker:innen auf KI-gestütztes Social-Engineering setzen, um bestimmte Verhaltensweisen zu analysieren. Gleichzeitig können sie unter Zuhifenahme von KI-Algorithmen aber auch die Identität von Cyberkriminellen entlarven. Schließlich hinterlassen Hacker:innen beispielsweise individuelle Spuren im Programmcode, die die KI extrahieren kann, um den Code einer Person zuzuordnen.
Ein besonders prekärer Fall von Social Engineering hat den BingChat von Microsoft getroffen. So hat ein deutscher Forscher den von Microsoft zur Verfügung gestellten BingChat in einen Social Engineer umgewandelt. Die Nutzer:innen mussten lediglich in ihrem Browser das Chatfenster öffnen und mit dem Chatbot interagieren. Im Laufe der Interaktion versuchte der Chatbot, an persönliche Daten und Kreditkartenangaben des Fragestellers bzw. der Fragestellerin zu gelangen.
In Zeiten des IT-Fachkräftemangels ist KI der Retter in der Not
Dennoch ist KI gerade in Zeiten des Fachkräftemangels ein Segen für die IT-Sicherheit. Schließlich fehlten der österreichischen Wirtschaft laut der Wirtschaftskammer WKO circa 28.000 IT-Fachkräfte. Künstliche Intelligenz unterstützt bereits dabei, Bedrohungen wie Schadsoftware und Pishing-Attacken und Mails zu erkennen und abzuwehren, was in gewisser Weise ein wenig den Fachkräftemängel kompensiert.
Doch Hacker:innen agieren immer ausgekügelter und verändern regelmäßig ihre Cyberangriffe. Für IT-Sicherheitsexpert:innen ist es somit schwierig, innerhalb kürzester Zeit den unterschiedlichsten Angriffen entgegenzuwirken. KI-Sicherheitssysteme reagieren darauf flexibel und optimieren sich beispielsweise durch Machine Learning selbst. Sie handeln sozusagen proaktiv, ohne dass es vorherige Updates oder Sicherheitspatches bedarf.
Zur Erhöhung der IT-Sicherheit können Unternehmen KI in verschiedenen Automatisierungsgraden nutzen. Das geht von einfacher Identifikation möglicher Sicherheitsbedrohungen bis hin zu KI-Systemen, die selbstständig Reaktionen und Handlungsempfehlungen generieren können.
Ohne den Menschen geht es jedoch (noch) nicht
Finale Entscheidungen sollten dennoch menschliche Expert:innen treffen. Handelt die KI (zum aktuellen Zeitpunkt) ausschließlich alleine, führt dies unter Umständen zu enormen Sicherheitsrisiken. Das wäre beispielsweise durch KI-Fehlalarme der Fall. Stuft die KI ungefährliche Aktionen zu häufig als verdächtig ein, könnte es dazu führen, dass Sicherheitsteams zukünftigen Warnungen weniger Beachtung schenken. Auch Angreifer:innen ziehen ihre Vorteile durch mangelnde Überwachung. Sie könnten gezielt versuchen, die Sicherheitssysteme zu manipulieren und somit Sicherheitskontrollen ganz einfach umgehen oder gezielt ihre Angriffe vertuschen.
Der Erfolg der IT-Sicherheit durch KI geht nur als Team – Mensch und Maschine. Künstliche Intelligenz passt ihre Sicherheitslösungen permanent der neuen Bedrohungslage an, offenbart aber gleichzeitig Schwachstellen durch menschliches Fehlverhalten. Die Entscheidungsgewalt liegt dennoch bei der Person hinter dem Bildschirm.