Fluch oder Segen? Die KI bringt für den Anwendungsbereich IT Security Chancen und Risiken
Bericht zum AG Treffen der mbuf Arbeitsgruppe IT Security Management am 04.07.2024.
Anfang Juli traf sich die mbuf Arbeitsgruppe IT-Security Management beim Community-Mitglied Bitburger Braugruppe GmbH, um gemeinsam zu beleuchten, welche Chancen und Risiken die Künstliche Intelligenz (KI) im Anwendungsbereich IT-Security Management mit sich bringt. Ein Besuch der Bitburger Erlebniswelt mit Führung und kleiner Verkostung durfte natürlich bei diesem Treffen nicht fehlen. Im Fokus des Treffens standen jedoch die folgenden Themen und Fragestellungen:
-
Welche rechtlichen Anforderungen bringt der Einsatz von KI mit sich, insbesondere im Bereich IT-Security?
-
Welchen Nutzen bringt der Einsatz von „Microsoft Copilot für Security“, der KI-basierten Cybersicherheitslösung von Microsoft?
-
Welche Erfahrungen wurden in den mbuf Mitgliedsunternehmen mit dem „Microsoft Copilot für Security“ bereits gemacht?
-
Welche Herausforderungen bringt der Einsatz von „Copilot für M365“, also die KI-basierte Unterstützung im Bereich der Office-Lösungen, mit sich?
Dabei lauern die Gefahren sowohl extern in Form von erweiterten Möglichkeiten und Fähigkeiten der Cyberkriminellen, als auch intern durch ungewollte Zugriffe auf sensible Daten oder gar den Informationsabfluss durch die Nutzung externer KI-Tools wie ChatGPT.
Jeder, der KI einsetzt, muss rechtliche Rahmenbedingungen beachten
Im Mai 2024 hat der Rat der Europäischen Union die KI-Verordnung (EU AI Act) verabschiedet. Ziel dieser Verordnung ist es, die Entwicklung, den Einsatz und die Nutzung von KI-Systemen in der EU so zu regeln, dass die in der EU eingesetzten KI-Systeme transparent, zuverlässig und sicher sind und dass alle Anbieter und Betreiber die Grundrechte und -werte respektieren.
Diese EU-Rechtsvorschrift definiert Risikoklassen für die Anwendung von KI, daraus resultierende Pflichten für Anbieter und Betreiber und schreibt Bußgelder fest bis zu 35 Mio. Euro bzw. 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem, welcher Betrag höher ist – bei Verstößen gegen die gesetzlichen Pflichten.
Die Einordnung von im Unternehmen genutzten KI-Lösungen in die Risikoklassen und die Ableitung eines entsprechenden Maßnahmenkatalogs obliegt dem Unternehmen selbst – ein erster, sehr wichtiger Schritt beim Einsatz von KI im Unternehmen.
Eine weitere Rechtsvorschrift kommt auf das produzierende Gewerbe zu: Der Cyber Resilience Act (CRA). Damit soll die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, erhöht beziehungsweise sichergestellt werden. Die Betrachtung bezieht sich auf die gesamte Lieferkette, also auch auf Baugruppen oder Bauteile, die in anderen Produkten eingesetzt werden können. Die formelle Annahme durch den Europäischen Rat steht noch aus. Da eine Übergangsfrist von 3 Jahren vorgesehen ist, müssen sich die Unternehmen auf eine Anwendung dieser Regelungen ab voraussichtlich Mitte 2027 einstellen.
Natürlich haben alle Unternehmen bei der Nutzung von KI-Anwendungen die bislang bereits geltenden Gesetze und Rechtsnormen einzuhalten. Zu nennen wären hier in erster Linie die DSGVO einschließlich der Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung (DSFA), die Mitbestimmungsrechte des Betriebsrates nach Betriebsverfassungsgesetz (BetrVG) oder das Urheberrecht.
Der Einsatz von KI im Unternehmen ist also bei weitem nicht allein ein technisches IT-Thema. Dies wurde bei dem sehr informativen Vortrag von Stefan Hessel, Rechtsanwalt für Datenschutz, Cybersicherheit und IT-Recht | Head of Digital Business bei der Reusch Rechtsanwaltsgesellschaft mbH, überdeutlich. Auf die Spezialisten für IT-Security in den Unternehmen kommen damit zusätzlich zu der ganzen NIS2-Thematik weitere rechtliche beziehungsweise organisatorische Themen zu.
Die nachfolgende Aussprache führte zu einer klaren Handlungsempfehlung an die Unternehmen: Es macht großen Sinn, dass sich die Unternehmen in einer firmeninternen „KI-Richtlinie“ klare Regeln geben, wie KI-Lösungen eingesetzt werden sollen. Bei der Erstellung einer solchen Richtlinie müssen neben der IT als Betreiber sowohl die Nutzer (Fachabteilungen) eingebunden sein als auch HR, Rechtsabteilung und Arbeitnehmervertretung.
Ein starkes Tool überzeugt – wirft aber Kostenfragen auf
In einem weiteren Vortrag stellte Martin Steiner, Compliance Spezialist bei der Microsoft Deutschland GmbH, die Features der aktuellen Version des „Microsoft Copilot für Security“ vor. Insbesondere die enge Verzahnung mit Microsoft Sentinel verspricht deutliche Performance-Gewinne bei der Entdeckung und Abwehr von Cyberattacken. Mit benutzerdefinierten Promptbooks können die Anwenderunternehmen ihre eigenen Prompts in natürlicher Sprache für gängige Sicherheitsabläufe und -aufgaben erstellen und speichern („verscripten“). Dadurch wird es möglich, firmenspezifische Gegebenheiten (Datenablage, Zugriffsrechte, Infrastruktur) in automatisierten Abläufen abzubilden.
Aus dem Teilnehmerkreis kam durchweg ein sehr positives Feedback. Diese KI-Unterstützung für die Security-Verantwortlichen in den Unternehmen kann in vielen Situationen Reaktionszeiten verkürzen und so dazu beitragen, massiven Schaden vom Unternehmen abzuwenden.
Deutlicher Kritikpunkt: Das neue nutzungsabhängige Lizenzmodell „pay-as-you-go“ basiert auf der Inanspruchnahme von Rechnerkapazität beim Einsatz des Copilot. Auf den ersten Blick könnte man meinen: „Super, denn es kostet nichts, wenn man es nicht nutzt“. Bei näherer Betrachtung zeigt sich hier aber ein völlig unkalkulierbares Kostenrisiko, da man nicht weiß, welche Rechnerkapazitäten in welchem Umfang im Einsatzfall genutzt werden müssen.
Andererseits muss man sicherlich diesem Kostenrisiko das Risiko von Downtimes nach Cyberattacken gegenüberstellen. Kommt es wegen Sicherheitsvorfällen zum Ausfall der IT über Tage hinweg, gehen die Kosten ebenfalls in kaum kalkulierbare Höhen.
Thomas Dankert, IT Security Architect bei der ANDREAS STIHL AG & Co. KG in Waiblingen, konnte anschließend über eigene Erfahrungen mit dem Copilot für Security berichten. STIHL hat als Early Adaptor den Copilot schon sehr früh in einer Testphase eingesetzt. Insbesondere die Promptbooks seien wertvoll, so seine Aussage. Da rentiere es sich wirklich, viel Zeit und „Hirnschmalz“ in diese Automatisierungsmöglichkeiten zu investieren. Es sei möglich, auf diese Weise im Fall der Fälle aus Stunden Minuten zu machen. Jedoch sehen bei aller Begeisterung für die technischen Möglichkeiten die Verantwortlichen bei STIHL auch die oben genannte problematische Lizenzfrage. Bis die Lizenzproblematik nicht eindeutiger gelöst ist, wird STIHL den Copilot für Security vorerst nicht einsetzen.
KI kann sehr stark unterstützen, erfordert aber auch intensives Management
Im letzten Beitrag ging es um den Einsatz vom „Copilot für M365“ und insbesondere darum, wie man sich vor dem unberechtigten Zugriff auf sensible Daten und dem Abfluss von Informationen schützen kann. Martin Steiner von Microsoft legte dar, was Microsoft selbst gegen einen Abfluss von Informationen tut – zum Beispiel dadurch, dass der Office Copilot immer nur auf Daten des eigenen Tenants zugreift. Unstrittig bleibt aber, dass letztlich das Anwenderunternehmen selbst durch die sinnvolle und zweckdienliche Konfiguration des Copilot sowie die klare Definition und Zuordnung von Zugriffsrechten das erforderliche Sicherheitsniveau schaffen muss.
Zusammenfassung und Ausblick
Mit den verschiedenen Copiloten für die Microsoft Lösungen macht Microsoft die Künstliche Intelligenz (KI) erfahrbar und nutzbar. Diese KI-Tools sind bereits jetzt sehr leistungsfähig und können Arbeitsabläufe wesentlich beschleunigen und vereinfachen. Da KI-Tools lernende Systeme sind, wird die KI mit zunehmender Nutzung und wachsender Nutzungszeit noch leistungsfähiger werden.
Wer aber glaubt, dass bei der Einführung und der Nutzung der KI quasi nur ein Schalter umzulegen ist, befindet sich auf dem Holzweg. Sehr genau muss sich ein Unternehmen damit befassen, in welchem Umfang und in welcher Weise es KI einsetzen will. Die Erstellung einer unternehmensinternen KI-Richtlinie kann hier hilfreich sein – auch und nicht zuletzt im Hinblick auf die zahlreichen rechtlichen Parameter, die es zu beachten gilt.
Um den Einsatz von KI werden Unternehmen künftig nicht herumkommen. KI kann – sinnvoll und zielführend eingesetzt – zum Erfolgsfaktor werden. Daher ist es für jedes Unternehmen wichtig, sich nicht irgendwann einmal, sondern genau jetzt mit dieser neuen Technologie intensiv auseinanderzusetzen. Das Microsoft Business User Forum e.V., die mbuf Community, wird in ihren unterschiedlichen Arbeitsgruppen und -kreisen das Thema weiterhin verfolgen und diskutieren. Dem Austausch zwischen den Anwenderunternehmen kommt hier eine besondere Bedeutung zu und genau das ist ja bekanntlich eine Kernkompetenz dieser Community. Karl Gerd Zimmermann