KI in den Händen von Endanwendern: ein Thema für die IT-Sicherheit

KI-Tools: Fall für die IT-Sicherheit

Mit einer zentralen Entwicklungsplattform lassen sich KI-Anwendungen sicherer einführen.

Keyfacts:

  • KI-Tools sind Endanwender-Tools – sie werden also schon bald von zahlreichen Mitarbeitenden genutzt werden.
  • Um die Sicherheit zu gewährleisten, ist eine zentrale Entwicklungsplattform der beste Weg.
  • Ob einheitliche Auditierung, Versionskontrolle oder schnelle Reaktion bei Sicherheitsvorfällen – ihre Vorteile sind zahlreich.

Künstliche Intelligenz (KI) findet immer häufiger Anwendung in Finanzunternehmen – ob in der Finanzabteilung, zur Stärkung der Compliance oder im Kundenservice. Die zunehmende Verbreitung von KI sorgt aber auch für neue Sicherheitsrisiken.

Denn jede Lösung, jedes Tool ist anders. Und das erschwert einen standardisierten Audit-Prozess in der IT, der gewährleistet, dass alle KI-Anwendungen den internen und externen Richtlinien und Standards entsprechen.

Die Finanzbranche ist besonders stark gefragt, was eine sichere Implementierung von KI-Tools betrifft. Zum einen wird KI mit großer Wahrscheinlichkeit gerade in Banken, Versicherungen oder Wertpapierunternehmen viele Arbeitsabläufe verändern, wie jüngst eine Studie des Digitalverbands Bitkom ergab. Und als kritische Infrastrukturen sind Finanzunternehmen gleichzeitig gefordert, für höchste Sicherheitsanforderungen zu sorgen.

Verschiedene Tools in verschiedenen Abteilungen – ein Problem für die IT-Sicherheit

Wenn aber in verschiedenen Abteilungen oder Geschäftsbereichen unterschiedliche Tools eingesetzt werden, machen es eine dezentrale Verwaltung und die oft fehlende Transparenz nahezu unmöglich, die Sicherheit durchgängig zu überwachen.

Helfen könnte ein Schwachstellenmanagement, wie wir es hier beschrieben haben. Eine manuelle Prüfung von Individuallösungen ist im Vergleich zu automatisierten Sicherheitsprüfungen allerdings aufwendig und teuer.

Das hat auch damit zu tun, dass spezifische KI-Lösungen für individuelle Einsatzzwecke oft schnell und mit einem Fokus auf Funktionalität entwickelt werden – Sicherheitsaspekte spielen oft eine nachgelagerte Rolle. Best Practices für die sichere Entwicklung, zum Beispiel die Prinzipien des Secure Coding, lassen sich in diesem Kontext oft schwer überprüfbar durchsetzen.

Umso bedeutsamer ist es Entwickler und Power-User (die unter anderem mittels Low-Code KI-Systeme implementieren), kontinuierlich zu schulen, damit sie die erforderlichen Sicherheitsstandards kennen und einhalten können. Denn auch wenn KI-Lösungen häufig mit relativ geringem Source-Code-Umfang realisiert werden, bieten sie dennoch große Angriffsoberflächen: Durch die Integration von Third-Party-Bibliotheken entstehen komplexe Überwachungsanforderungen.

Parallele zu etablierten IDV-Anwendungen wie Excel

Interessanterweise finden sich ähnliche Probleme auch im Umgang mit weit verbreiteten Tools zur individuellen Datenverarbeitung (IDV) wie Microsoft Excel oder Access. Excel etwa ist bekannt für seine Flexibilität und Benutzerfreundlichkeit, was es zu einem unverzichtbaren Werkzeug in vielen Geschäftsbereichen macht. Doch genau diese Stärken können sich ebenso als Schwachstellen in Sachen IT-Sicherheit erweisen.

Auch komplexe Excel-Dateien, die zentrale Geschäftslogiken oder sensible Daten enthalten, sind oft schwer zu kontrollieren und zu auditieren. Sie können unbeabsichtigt zu Sicherheitslücken werden, wenn beispielsweise Makros missbraucht oder die Dateien ohne ausreichende Sicherheitsvorkehrungen geteilt werden.

Die Lösung ist ein umfassender Governance-Ansatz, der nicht nur technische, sondern auch organisatorische und kulturelle Aspekte berücksichtigt.

Zentrale Überwachung und Auditierung durch KI-Entwicklungsplattform

Wie kann eine umfassende Governance mit Blick auf KI-Tools umgesetzt werden? Ein vielversprechender Ansatz ist eine zentrale Plattform für die Entwicklung und Verwaltung von KI-Lösungen. Dadurch können Entwicklungsaktivitäten in einer interaktiven, webbasierten Umgebung zentralisiert werden – sie ist ideal für Datenwissenschaft und KI-Entwicklung. Auf diesem Weg können viele der zuvor genannten Herausforderungen effektiv gemeistert werden.

Der Vorteil: Mit einer zentralen Plattform können alle KI-Anwendungen an einem Ort entwickelt, getestet und verwaltet werden. Das erleichtert die Überwachung und Auditierung erheblich, da Zugriffe, Änderungen und Nutzungen transparent und nachvollziehbar sind.

Compliance-Anforderungen lassen sich einfacher umsetzen, da für alle Projekte dieselben Sicherheits- und Qualitätsstandards durchgesetzt und Monitoring- und Qualitätssicherungstools organisationsweit angewandt werden können. Darüber hinaus müssen diese Maßnahmen nur einmalig zentral implementiert werden, um eine kontinuierliche organisationsweite Überwachung zu gewährleisten.

Diese Zentralisierung bringt alle Nutzer in eine kontrollierte Umgebung. Sie kann regelmäßig auf Schwachstellen geprüft und aktualisiert werden und stellt Entwicklungsressourcen einheitlich und organisationsweit bereit. Das reduziert das Risiko von Sicherheitslücken erheblich, da alle Abhängigkeiten und Bibliotheken an einem Ort verwaltet und auf den neuesten Stand gebracht werden können.

Darüber hinaus ermöglicht dieses Vorgehen die Definition von Zugriffsrechten auf Projektebene, um sicherzustellen, dass nur autorisierte Nutzer Zugang zu sensiblen Daten und Anwendungen haben.

Best Practices teilen und Sicherheitsbewusstsein fördern

Eine zentralisierte Entwicklungsplattform erleichtert auch die Implementierung und Verbreitung von Best Practices für die sichere Entwicklung von KI-Systemen. Schulungen und Informationsmaterialien können direkt in die Plattform integriert werden, um Entwicklern aktuelle Sicherheitsaspekte kontinuierlich nahezubringen und sie mit den neuesten Sicherheitstechniken vertraut zu machen.

Durch die zentrale Verwaltung wird es außerdem möglich, automatisierte Sicherheitsscans zur Entwicklungszeit durchzuführen, die Schwachstellen in Anwendungen schon während der Entwicklung aufdecken. Gängige Scan-Lösungen können mit minimalem Aufwand in Quellcodeverwaltungssysteme eingebunden und teils nahtlos in zentrale Entwicklungsplattformen integriert werden, um Sicherheitsüberprüfungen zu einem automatisierten und erzwingbaren Bestandteil des KI-Entwicklungszyklus zu machen.

Weitere Vorteile: Versionskontrolle und schnelle Reaktionsfähigkeit

Die Integration einer zentralen Entwicklungsplattform in ein Versionskontrollsystem ermöglicht es, Änderungen an den KI-Anwendungen nachzuverfolgen und zentralisiert die gesamte KI-Code-Base des Unternehmens zu überwachen. Das erweist sich insbesondere dann als hilfreich, wenn Schwachstellen entdeckt werden.

Kann beispielsweise eine Schwachstelle in einer Bibliothek identifiziert werden, ermöglicht die zentrale Steuerung ein schnelles Update dieser Bibliothek über alle Projekte hinweg. Das erleichtert eine unternehmensweite Reaktion auf Sicherheitsbedrohungen, denen sich Unternehmen beispielsweise schon im Fall von Sicherheitslücken bei Log4j oder Heartbleed stellen mussten.

Ein entscheidender Aspekt der beschriebenen Maßnahmen ist der, dass sie nicht nur für KI-Anwendungen von besonderer Bedeutung sind, sondern auch für alle anderen Software-Projekte gelten. Der spezifische Fokus auf KI ergibt sich daraus, dass die Einstiegshürden bei der Entwicklung von KI-Lösungen besonders niedrig sind: Auch Personen ohne tiefere Programmierkenntnisse können mit KI-Tools und wenigen Zeilen Basis-Code eigene Anwendungen erzeugen.

Und während professionelle Softwareentwickler mit vielen Sicherheitsmaßnahmen bereits vertraut sind, fehlt dieses Wissen oft bei Power-Usern und Fachmitarbeitern – den Endanwenderinnen und -anwendern, die künftig täglich KI-Tools nutzen werden.