foto freepik
Angesichts zunehmender Nutzung von generativer KI wie ChatGPT und Bard sowie Schatten-IT sollten Unternehmen möglichen Datenlecks gezielt vorbeugen.
Mit dem Aufkommen hybrider Arbeitsformen sind Datenlecks zu einem wichtigen Thema geworden. Mitarbeiter arbeiten jetzt von verschiedenen Orten aus, darunter zu Hause, in Cafés und sogar in öffentlichen Bibliotheken. Dadurch wird es schwieriger, den Überblick über die Daten zu behalten, die zwischen verwalteten Endgeräten und den SaaS-Anwendungen oder privaten Anwendungen eines Unternehmens übertragen werden.
Schatten-IT, die Nutzung von nicht autorisierten SaaS- und Cloud-Diensten durch Mitarbeiter, war schon immer eine Herausforderung für IT-Abteilungen. Wenn sie sich selbst überlassen wird, kann Schatten-IT ein erhebliches Sicherheitsrisiko darstellen, da sie die Daten des Unternehmens einem unbefugten Zugriff aussetzen kann.
Lookout, Experte für durchgängige Cybersicherheit vom Smartphone bis in die Cloud, geht dem steigenden Risiko von Datenlecks auf den Grund. Das Unternehmen benennt dabei Herausforderungen und Lösungsansätze.
Generative KI-Plattformen wie ChatGPT sind eine Form von SaaS- oder Cloud-Anwendungen und haben sich als neuer Grenzbereich der Schatten-IT etabliert. Diese Plattformen ermöglichen es Benutzern, Texte und Bilder zu generieren, Softwarefehler zu beheben und Inhalte zu erstellen, die oft nicht von Inhalten, die von Menschen erstellt wurden, zu unterscheiden sind. Dies macht sie zu einem beliebten Werkzeug für Mitarbeiter, die sensible Informationen weitergeben möchten, ohne Angst vor Entdeckung zu haben.
Risiko von Datenlecks nimmt zu, lässt sich aber eindämmen
Das Problem ist, dass viele Plattformen die von Endnutzern übermittelten Daten zum Trainieren ihres Modells verwenden. Dies bedeutet, dass alles, was urheberrechtlich geschützt ist, öffentlich zugänglich wird, sobald es aufgenommen wurde. Samsung musste beispielsweise die Nutzung von ChatGPT verbieten, nachdem Mitarbeiter in drei verschiedenen Fällen unbeabsichtigt sensible Daten an die generative KI-Plattform weitergegeben hatten, darunter auch vertraulichen Quellcode.
Die gute Nachricht ist, dass sich generative KI-Plattformen nicht allzu sehr von anderen Internet-Zielen unterscheiden, vor denen Unternehmen ihre Daten schützen müssen. Mit den richtigen Tools können sie den Zugang zu diesen Plattformen sperren oder Benutzeraktionen wie das Hochladen und Übermitteln sensibler Daten an diese Plattformen blockieren und Datenlecks verhindern.
Um das Risiko der Datenexfiltration zu verringern und jegliche Form von Schatten-IT zu unterbinden, benötigen Unternehmen eine moderne Secure-Web-Gateway-Lösung (SWG) mit nativer Data-Loss-Prevention-Funktionalität (DLP). Ein SWG überwacht den gesamten Internetverkehr und blockiert den Zugang zu nicht autorisierten Websites und Anwendungen. Ein modernes SWG mit DLP kann jedoch auch dazu verwendet werden, Dateien auf sensible Daten zu scannen und zu verhindern, dass sie auf öffentliche Websites und nicht autorisierte Cloud-Anwendungen hoch- oder heruntergeladen werden. In einer hybriden Arbeitsumgebung gilt es Maßnahmen zu ergreifen, um die Daten zu schützen und gleichzeitig die Produktivität aufrechtzuerhalten. Eine SWG mit DLP-Funktionalität kann dabei helfen, beides zu erreichen.
Wie Daten an ChatGPT, Bard und andere generative KI gelangen
Es gibt mehrere Möglichkeiten, wie Daten zu ChatGPT, Bard und anderen generativen KI-Plattformen gelangen können. Das Einfügen sensibler Daten in KI-Apps zur Formatierung oder Grammatikprüfung ist eine gängige Praxis, die jedoch riskant sein kann, wenn die sensiblen Daten nicht ordnungsgemäß anonymisiert sind. Entwickler fügen auch den Quellcode in KI-Apps ein, um die Leistung und Effizienz zu verbessern.
Der Quellcode ist Eigentum eines jeden Unternehmens und enthält sensible Informationen über die eigenen Produkte oder Dienstleistungen. Die Einbindung von KI-Apps in sensible Unternehmensbesprechungen zur Transkription kann eine bequeme Möglichkeit sein, eine Abschrift einer Besprechung zu erstellen, aber sie kann auch riskant sein, wenn das Gespräch sensible Informationen enthält. Ein weiteres Szenario ist das versehentliche Hochladen von sensiblen oder konformen Daten. Benutzer können unwissentlich vertrauliche Daten in die Chat-Schnittstelle eingeben, in dem falschen Glauben, dass diese ein sicheres Kommunikationsmittel darstellt. Betroffen sein könnten persönliche Identifikationsdaten, Softwarecode, Finanzdaten, Gesundheitsdaten oder andere vertrauliche oder konforme Daten.
Datenabfluss lässt sich mit verschiedenen Techniken verhindern
Lookout Secure Internet Access ist eine datenzentrierte SWG, die auf den Zero-Trust-Prinzipien aufbaut. Sie schützt Benutzer, zugrundeliegende Netzwerke und Unternehmensdaten vor Internetbedrohungen wie Malware, Zero-Day-Bedrohungen und browserbasierten Angriffen. Mit nativen DLP-Funktionen untersucht Secure Internet Access den ausgehenden Datenverkehr auf sensible Daten und wendet Data-Loss-Prevention-Richtlinien an, um Datenverluste im öffentlichen Internet zu verhindern. Auf diese Weise können Unternehmen den Zugriff auf generative KI-Plattformen und andere nicht autorisierte Websites und Apps granular einschränken.
Um Datenlecks zu verhindern, kommt eine Reihe von Techniken zum Einsatz, darunter URL-Filterung, Content-Filterung und. URL-Filterung ermöglicht es, den Zugang zu ChatGPT und anderen generativen KI-Tools vollständig zu blockieren. So lässt sich verhindern, dass Mitarbeiter versehentlich oder absichtlich sensible Daten auf diese Tools hochladen. Mittels Content-Filterung lässt sich der Inhalt von Posts und Datei-Uploads auf sensible Daten überprüfen. Werden sensible Daten entdeckt, kann Lookout Maßnahmen ergreifen, um zu verhindern, dass die Daten hochgeladen werden, wie z.B. das Maskieren der Daten oder die Aufforderung an den Benutzer, eine zusätzliche Authentifizierung vorzunehmen. Per rollenbasierter Zugriffskontrolle lassen sich benutzerdefinierte Richtlinien erstellen, die festlegen, wie Benutzer mit ChatGPT und anderen generativen KI-Tools interagieren können. Administratoren können zum Beispiel eine Richtlinie erstellen, die nur einer ausgewählten Gruppe von Nutzern den Zugriff auf die Plattform erlaubt und sie daran hindert, sensible Daten zu übermitteln.
Datenschutzrichtlinien an die Bedürfnisse optimal anpassen
Secure Internet Access sorgt dafür, dass Unternehmen schnell Richtlinien erstellen können, ihre Daten schützen und gleichzeitig Raum für die Anpassung und Verfeinerung für spezifischere Umstände lassen. Die Erstellung von Richtlinien erfolgt unabhängig davon, ob es sich um strukturierte Daten wie Posts oder um unstrukturierte Daten in Form von Datei-Uploads handelt. Eine vordefinierte KI-Kategorie deckt eine breite Palette von KI-gesteuerten Websites ab und lässt sich zur Erstellung von Schnellzugriffsrichtlinien verwenden. Die Definition von benutzerdefinierten Kategorien ermöglichen es Unternehmen, Websites von Interesse zu kategorisieren und Richtlinien für sie zu erstellen. Ebenso ist eine Verschlüsselung oder Maskierung und Schwärzung von Daten mit DRM (Digital Rights Management) möglich. Die Benutzerkommunikation vor dem Hochladen sensibler Daten ist ebenfalls sinnvoll, um zu kommunizieren und zu verhindern, dass riskante Aktionen durchgeführt werden.
Anwendung von Data Loss Prevention (DLP) auf alle Daten
Die Cloud Security Platform bietet Unternehmen eine zentralisierte DLP-Richtlinienverwaltung und -durchsetzung für alle Plattformen und Anwendungen. Mithilfe von fortschrittlichem DLP können sensible Daten in jedem Format und jeder Anwendung durch exakten Datenabgleich und Fingerprinting identifiziert, bewertet und geschützt werden. Sobald sensible Daten identifiziert wurden, gibt es adaptive Datenschutzrichtlinien, die über die grundlegenden Allow-or-Deny-Funktionen anderer DLP-Lösungen hinausgehen.
DLP erweitert die Datenklassifizierung und -verwaltung auf jedes Dokument in der Cloud und lässt sich mit Microsoft Azure Information Protection (AIP), Titus-Klassifizierungen und Cloud-nativen Labels integrieren. Sie kann auch Standard-Compliance-Richtlinien anwenden, die Vorschriften wie DSGVO, SOX, PCI, HIPAA und viele andere abdecken. Mit umfassenden Datenschutzfunktionen können Unternehmen darauf vertrauen, dass ihre sensiblen Unternehmensdaten geschützt sind, selbst angesichts neuer Herausforderungen wie generativer KI.
grafik (c) lookout