Wer kontrolliert ChatGPT oder Microsoft Copilot?

Sicherheitsanbieter Exabeam hatte mich bereits vor einiger Zeit auf ein Problem hingewiesen, was auch die Leserschaft tangieren könnte. Laut Exaeam beobachtet man auch in vielen Unternehmen in Deutschland ein Problem. Viele Firmen und Organisationen in Deutschland nutzen zwar bereits Tools wie ChatGPT oder Microsoft Copilot. Aber sie haben kaum Transparenz darüber, wie diese Tools tatsächlich eingesetzt werden.

Im "Blindflug" zur agentischen KI

Während Unternehmen in Deutschland die Einführung generativer Künstlicher Intelligenz, insbesondere durch Tools wie ChatGPT und Microsoft Copilot, weiter beschleunigen, wird die Kontrolle über deren Nutzung und die damit verbundenen Risiken zunehmend kritisch. Laut Exabeam fehlt vielen Organisationen heute die notwendige Transparenz darüber, wie Mitarbeitende diese Technologien einsetzen, insbesondere in Bezug auf geteilte Daten, gestellte Anfragen und Zugriffsaktivitäten.

Ohne direkte Transparenz über die Nutzung von KI-Assistenten, einschließlich der gestellten Anfragen, der geteilten Daten, der Interaktionsfrequenz und der verwendeten Umgebungen, können Unternehmen weder ein normales Verhaltensmuster definieren noch Missbrauch erkennen oder neue KI-basierte Insider-Bedrohungen frühzeitig identifizieren.

"KI-Agenten entwickeln sich rasant von einfachen Chatbots hin zu autonomen digitalen Mitarbeitenden", erklärt Steve Wilson, Chief AI and Product Officer bei Exabeam. "Sie authentifizieren sich, greifen auf Systeme zu und führen geschäftskritische Prozesse aus. Im Falle einer Kompromittierung wirken ihre Aktivitäten oft legitim. Klassische Schutzmechanismen reichen hier nicht mehr aus. Unternehmen benötigen eine tiefgehende Transparenz über Verhaltensmuster, um Abweichungen frühzeitig zu erkennen, bevor daraus sicherheitskritische Vorfälle entstehen."

"In Deutschland und im gesamten europäischen Raum stehen Unternehmen vor der Herausforderung, Innovation und Compliance in Einklang zu bringen, insbesondere im Kontext der DSGVO und neuer regulatorischer Anforderungen rund um Künstliche Intelligenz", weiß Egon Kando, VP Europe bei Exabeam.

Überwachung und Schutz erforderlich

Passenderweise hat Exabeam gerade eine passende Lösung im Portfolio. Dazu hat Exabeam seine Plattform um mehrere Funktionen zur Absicherung von KI-basierten Anwendungen erweitert. Mit der neuen Unterstützung zur Erkennung von Agentenverhalten in OpenAI ChatGPT und Microsoft Copilot sowie der bestehenden Integration mit Google Gemini werden diese Exabeam-Dienste Quellen für Verhaltensdaten. Diese Daten fließen direkt in die Prozesse zur Erkennung, Untersuchung und Abwehr von Bedrohungen ein und ermöglichen es Sicherheitsteams, den Einsatz von Künstlicher Intelligenz besser zu verstehen und zu schützen.

Die Lösung erstellt dynamische Verhaltensprofile, um ungewöhnliche Aktivitäten wie plötzliche Nutzungsspitzen oder atypische Ressourcennutzung zu erkennen. Darüber hinaus identifiziert sie Missbrauch durch Prompt-Injection oder Modellmanipulation. Gleichzeitig überwacht sie Identitäten und Berechtigungen, um Anomalien bei Rollen und Zugriffsrechten aufzudecken.

Exabeam bietet zudem vollständige Transparenz über den gesamten Lebenszyklus von KI-Agenten, von der Erstellung bis zur Nutzung. Darüber hinaus orientiert sich die Lösung an den wichtigsten bekannten Risiken im Bereich der Künstlichen Intelligenz und stellt einen strukturierten Rahmen zur Bewertung und Minimierung dieser Risiken bereit.

Auch wenn Exabeam jetzt eine "Lösung" anbietet, gelten die oben aufgeworfenen Fragestellungen allgemein. Frage an die Administratoren unter den Lesern, in deren Unternehmensumfeld AI-Lösungen zum Einsatz kommen: Wie sichert ihr das ab?