Sind Ihre Richtlinien schon KI-ready?

Geht es um Ihre Windows-Sicherheitsrichtlinien, sollten Sie sich einige Fragen stellen:

• Überprüfen Sie Ihre Security-Richtlinien einmal pro Jahr - oder häufiger?

• Bieten Sie entsprechende, begleitende Weiterbildungen und Trainings an?

• Werden die Policies überarbeitet, wenn sich zeigt, dass ein interner Verstoß die Ursache des Problems war?

Aufgrund des aktuellen Generative-AI-Wettlaufs drängt sich jedoch eine weitere auf:

• Wie steht es um Ihre Windows-Sicherheitsrichtlinien in Sachen KI(-Security)?

Nicht nur angesichts der angekündigten KI-Funktionen für Windows 11 und 12 sollten Unternehmen dringend definieren, wie ihre Mitarbeiter mit Kundendaten und anderen vertraulichen Informationen umgehen sollen. Die folgenden drei Tipps unterstützen Sie dabei.

1. Evaluieren

Im ersten Schritt sollten Sie die Sicherheit jedes neuen KI-Tools, das in Ihr Netzwerk eingeführt wird, sorgfältig evaluieren. Die Software muss dabei auf ihre allgemeine Tauglichkeit geprüft werden. Sie sollte nicht abstürzen und keine Fehlermeldungen ausgeben. Der Anbieter der Software sollte zudem eine Datenschutzrichtlinie sowie Allgemeine Geschäftsbedingungen mitliefern.

Wichtig ist darüber hinaus, dass der Anbieter auch Informationen darüber liefert, wie er hinsichtlich Updates, Security- und Fehler-Reportings oder anderen Verbesserungen an der Plattform umzugehen gedenkt. In punkto KI sollten Sie insbesondere folgende Aspekte prüfen:

• Sind Kontrollmechanismen vorgesehen, die es den Benutzern erlauben, die KI-Integration zu nutzen oder sie einzuschränken?

• Besteht die Möglichkeit, KI-generierte Daten, beziehungsweise den Einsatz von künstlicher Intelligenz zu kennzeichnen?

• Setzt sich der Anbieter für den ethischen KI-Einsatz ein und stellt er geeignete Feedback-Kanäle zur Verfügung?

Eine KI-Richtlinie sollte eindeutig festlegen, dass keine vertraulichen (Kunden-)Informationen über die KI-Schnittstelle hochgeladen werden dürfen. Auch die Weitergabe von Zugangsdaten sollte in den Policies geregelt sein. Jedem Mitarbeiter, der AI zum Einsatz bringt, sollte die Pflicht zukommen, die Richtlinien zu lesen und zu unterschreiben. Um sicherzustellen, dass die Policies auch umgesetzt werden, empfehlen sich Schulungen.

2. Vorausdenken

Darüber hinaus sollten Sie auch diejenigen Anwendungen in den Blick nehmen, die in Zukunft KI-Funktionen erhalten werden - speziell mit Blick auf mögliche Integrationen, beziehungsweise Möglichkeiten, diese einzuschränken. Im Fall von Windows hat Microsoft bereits Group Policy Controls veröffentlicht, um Integrationen mit dem Edge Browser oder Bing bei Bedarf zu begrenzen.

Auf der Entwicklerkonferenz Build gab Microsoft-CEO Satya Nadella in seiner Keynote einen Ausblick darauf, wie das Unternehmen die Technologie künftig in sein Betriebssystem einbringen wird - und wie es den Usern erleichtern soll, zu den gewünschten Funktionen und Einstellungen zu finden. Auch für Copilot und die geplanten Bing-KI-Plugins dürfte Microsoft Gruppenrichtlinien und Intune-Einstellungen zur Verfügung stellen, um die Nutzung zu begrenzen, respektive einzuschränken.

3. Konfigurieren

Gegenwärtig können Sie bereits Bing Chat über die Windows-Gruppenrichtlinie einschränken. Dazu gibt es eine neue Einstellung, die mit den administrativen Templates von Windows 21H2 hinzugefügt wurde. Wie dieser Prozess im Detail vonstattengeht, beschreibt Microsoft MVP Prajwal Desai in einem ausführlichen Blogbeitrag.

Künstliche Intelligenz wird Ihr Unternehmensnetzwerk schneller erobern, als Sie vielleicht denken. Umso wichtiger ist es, jetzt sicherzustellen, dass Ihre Sicherheitsrichtlinien und -prozesse (Generative-)AI-ready sind. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.