Deutschland
 

KI-Checkliste für CISOs

8 Fragen vor dem GenAI-Einsatz

Bevor CISOs und IT-Sicherheitsentscheider beim Thema Generative AI "all in" gehen, sollten sie die Versprechen der Anbieter auf den Prüfstand stellen.
Von 
CSO | 08. November 2023 06:04 Uhr
Vertrauen ist gut, eine Evaluierung weit besser - insbesondere, wenn es dabei um Generative AI geht.
Vertrauen ist gut, eine Evaluierung weit besser - insbesondere, wenn es dabei um Generative AI geht.
Foto: thodonal88 - shutterstock.com

Generative künstliche Intelligenz (GenAI) verspricht auch im Cybersecurity-Bereich viele potenzielle Vorteile. Etwa kürzere Projektlaufzeiten, schnellere Entscheidungsfindung und beschleunigte Problemerkennung.

Allerdings werden viele unausgereifte Instanzen eingesetzt, wenn es um künstliche Intelligenz (KI) geht, meint Rebecca Herold, IEEE-Mitglied und Gründerin der Unternehmensberatung "The Privacy Professor": "Einige Anwender setzen voll und ganz auf KI, ohne auch nur ansatzweise zu überprüfen, ob die Lösung, die sie als HAL 9000 für ihr Unternehmen preisen, überhaupt wie versprochen funktioniert."

Die Expertin warnt vor den Folgen: "Wenn fehlerhafte KI-Ergebnisse zu Datenschutzverletzungen, Verzerrungen, Sicherheitsvorfällen oder Bußgeldern wegen mangelnder Compliance führen, werden die betroffenen Unternehmen davon nicht profitieren."

Generative AI: 8 Fragen, die CISOs stellen sollten

Um zu vermeiden, dass (generative) KI-Initiativen aus dem Ruder laufen und sicherzustellen, dass die Outputs genau, korrekt, unvoreingenommen und datenschutzkonform ausfallen, empfiehlt Herold IT-Sicherheitsentscheidern, sich im Vorfeld folgende acht Fragen zu stellen:

  1. Wurden umfassende Tests durchgeführt, um sicherzustellen, dass der KI-Algorithmus wie vorgesehen funktioniert? Verlangen Sie vom Anbieter Nachweise über diese Tests und überprüfen Sie die verwendeten Standards und/oder Frameworks.

  2. Woher stammen die Daten, mit denen die KI trainiert wurde? Wenn es sich um personenbezogene Daten handelt, müssen die betroffenen Personen ihre Zustimmung zur Verwendung für diese Zwecke erteilen.

  3. Wie verhindert oder minimiert der KI-Algorithmus Bias beziehungsweise Verzerrungen? Bestehen Sie auch an dieser Stelle auf entsprechende Nachweise.

  4. Wie mindert der Algorithmus neu aufkommende Risiken in Zusammenhang mit Generative AI? Stellen Sie sicher, dass der Anbieter einen Plan vorweisen kann, um diese fortlaufend zu managen.

  5. Wurden Security-Bedenken im Zusammenhang mit Machine Learning bei der Entwicklung ausreichend berücksichtigt? Dokumentierte Richtlinien und Prozesse sollten in diesem Fall vorhanden sein.

  6. Trägt die Lösung der Komplexität der Angriffsflächen von KI-Systemen Rechnung - und wenn ja, wie? Validieren Sie die Informationen anhand der Unterlagen, die der Anbieter zur Verfügung stellt.

  7. Wurden Supply Chain und Drittanbieter-Komponenten auf Sicherheits- und Datenschutzrisiken überprüft? Vergewissern Sie sich, dass ein kontinuierlicher Risikomanagementprozess in diesen Bereichen existiert.

  8. Hat der Anbieter seine KI-Produkte entsprechend den jeweils lokal relevanten Datenschutzbestimmungen entwickelt?

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

(fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Christopher schreibt unter anderem für unsere US-Schwesterpublikation CSO Online. Er war für mehr als 30 Jahre Mitarbeiter der Central Intelligence Agency.
Folgen: