BSI 2023 und ITSM: Eine Roadmap für mehr KI-Sicherheit

Im heutigen digitalen Zeitalter, in dem große Sprachmodelle wie ChatGPT immer mehr an Bedeutung gewinnen, weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht 2023 darauf hin, dass wir es mit neuen und ungewohnten Bedrohungen zu tun haben. So effizient und innovativ der Einsatz dieser Technologien in Unternehmen auch sein mag, er birgt Risiken, die weit über die bekannten Gefahren von Ransomware und ungepatchten Schwachstellen hinausgehen. Interessanterweise weist das BSI nun auf ein bisher weniger beachtetes Problem hin: die Gefahren der generativen KI. Unternehmen integrieren diese Technologien zunehmend in ihre Infrastruktur, um alltägliche Aufgaben wie das Formulieren von E-Mails, die Analyse von Daten oder das Erstellen von Präsentationen zu erleichtern. Diese Entwicklung stellt einen Fortschritt dar, öffnet aber auch Türen für potenzielle neue Angriffsvektoren.

Ein besonderer Schwerpunkt liegt auf dem Einsatz von KI zur Codegenerierung. Während dies die Programmierarbeit zweifellos effizienter macht, weist das BSI darauf hin, dass die inhärente Fehleranfälligkeit großer Sprachmodelle eine Quelle von Schwachstellen sein könnte. Fehler im Code oder „halluzinatorische“ Ausgaben von KI-Modellen könnten übersehen und ungeprüft in Produkte übernommen werden, was zu ernsthaften Sicherheitsrisiken führen kann. Noch beunruhigender ist die Vorstellung, dass Angreifer diese KI-Modelle nutzen könnten, um automatisiert nach Sicherheitslücken zu suchen, ohne dass dafür tiefgreifende Fachkenntnisse erforderlich sind. Das Risiko solcher Schwachstellen wird durch die Komplexität und die schwer nachvollziehbaren Entscheidungswege von KI-Systemen noch verstärkt. Da diese Systeme ihre Entscheidungen oft nicht eindeutig erklären können, ist eine vollständige Kontrolle durch menschliche Aufsicht nicht möglich.

Ein weiteres Problem besteht darin, dass herkömmliche Sicherheitsansätze wie „Security by Design“ beim Einsatz von KI-Modellen nicht mehr greifen. Da KI-Modelle oft selbstlernend sind und kein festes „Design“ haben, kann Sicherheit nicht mehr von vornherein eingeplant werden. Das BSI weist auch darauf hin, dass die sprachliche Manipulierbarkeit von KI-Modellen zu einer erheblichen Schwachstelle werden kann. Es sind bereits Fälle bekannt geworden, in denen durch geschickt formulierte Prompts vertrauliche Informationen aus KI-Modellen extrahiert werden konnten, obwohl die Modelle eigentlich für andere Zwecke konzipiert waren.

Neben der direkten Ausnutzung von KI-Modellen für bösartige Zwecke gibt es auch indirekte Methoden, wie das Einbetten von versteckten Befehlen in Web-Inhalte, die von einem KI-Modell beim Zugriff auf das Internet aufgenommen und ausgeführt werden können. Diese Art der „Prompt Injection“ kann für Angreifer ein einfacher Weg sein, in Unternehmensnetzwerke einzudringen oder Schadsoftware zu verbreiten. Das BSI weist darauf hin, dass es derzeit keine wirksamen Methoden gibt, solche Angriffe zu erkennen oder abzuwehren. Antivirensoftware, die traditionell auf die Erkennung von bekannter Schadsoftware und auffälligem Verhalten angewiesen ist, steht vor der Herausforderung, dass sich Schadbefehle in zahlreichen semantischen Variationen verbergen können.

Abschließend betont das BSI, dass KI bei der Abwehr von Cyber-Angriffen zwar hilfreich sein kann, aber die Gefahr besteht, dass die negativen Auswirkungen überwiegen. Die Herausforderung, vor der wir stehen, ist nicht nur die Entwicklung neuer Sicherheitskonzepte für den Umgang mit KI-Technologien, sondern auch das gründliche Verständnis und die kritische Bewertung der Risiken, die mit ihrer Anwendung einhergehen. Dieser realistische Blick auf die potenziellen Gefahren großer Sprachmodelle ist entscheidend, um zukünftige Sicherheitsstrategien anzupassen und zu stärken.

Lösungsansätze im Bereich IT Service Management

Um den im BSI-Bericht 2023 genannten Herausforderungen und Gefahren im Zusammenhang mit dem Einsatz von KI und großen Sprachmodellen im IT Service Management (ITSM) zu begegnen, könnten folgende Lösungsansätze verfolgt werden:

Verstärkte Schulung und Sensibilisierung

    • Für IT-Personal: Schulungen zu Risiken und Best Practices im Umgang mit KI-basierten Systemen.
    • Für alle Beschäftigten: Sensibilisierung für mögliche Manipulationen durch KI und Schulung in sicherer Kommunikation.

Verbesserung der Sicherheitsinfrastruktur

    • KI-basierte Sicherheitswerkzeuge: Einsatz fortschrittlicher Tools zur Erkennung und Abwehr von Angriffen, die KI-Modelle nutzen.
    • Kontinuierliche Überwachung und Analyse: Einrichtung kontinuierlicher Überwachungssysteme zur Erkennung von Anomalien in KI-gestützten Prozessen.

Entwicklung robuster KI-Modelle

  • Robustheit und Validierung: Entwicklung robuster Modelle und regelmäßige Validierung der Ergebnisse, um Fehler und Manipulationen zu vermeiden.
  • Begrenzung der Autonomie: Begrenzung der Selbstlernfähigkeit und Autonomie von KI-Systemen, um unbeabsichtigte Schwachstellen zu reduzieren.

Anwendung von Sicherheitsrichtlinien und -standards

  • Richtlinien für den Einsatz von KI: Festlegung spezifischer Sicherheitsrichtlinien für den Einsatz von KI-Systemen.
  • Compliance und Standards: Sicherstellen, dass KI-Lösungen den aktuellen Sicherheitsstandards und Best Practices entsprechen.

Transparenz und Nachvollziehbarkeit erhöhen

  • Erklärbarkeit von KI-Entscheidungen: Förderung der Nachvollziehbarkeit und Erklärbarkeit von KI-basierten Entscheidungsprozessen.
  • Audit Trails: Protokollierung aller KI-Entscheidungen und -Aktivitäten zur späteren Überprüfung.

Incident Response Pläne

  • Spezifische Reaktionsstrategien: Entwicklung von Plänen, die auf Sicherheitsvorfälle im Zusammenhang mit KI-Technologien zugeschnitten sind.
  • Regelmäßige Übungen und Tests: Durchführung von Übungen, um die Wirksamkeit dieser Strategien zu testen und zu verbessern.

Forschung und Innovation

  • Forschungsförderung: Investitionen in die Forschung zur Identifizierung potenzieller neuer Bedrohungen und zur Abwehr dieser Bedrohungen.
  • Zusammenarbeit mit der Wissenschaft: Aufbau von Partnerschaften zwischen Industrie und Wissenschaft, um die neuesten Erkenntnisse und Technologien zu integrieren.

Schlussfolgerung

Die ITSM-Community muss sich anpassen und weiterentwickeln, um mit den sich ständig ändernden Herausforderungen der Cybersicherheit Schritt halten zu können, insbesondere im Kontext von KI-basierten Systemen. Eine Kombination aus technischen, organisatorischen und bildungsorientierten Maßnahmen ist entscheidend, um der sich verändernden Bedrohungslandschaft effektiv zu begegnen.

Kommentar

„Angesichts aktueller Entwicklungen und Warnungen, wie sie etwa im jüngsten BSI-Risikobericht zu KI zum Ausdruck kommen, erscheint es verführerisch, neue Technologien wie Künstliche Intelligenz pauschal als bedrohlich oder gar gefährlich einzustufen. Eine solche Sichtweise ist jedoch nicht nur reduktionistisch, sondern auch kontraproduktiv. Es ist unbestritten, dass KI – wie jede andere Technologie auch – in den falschen Händen Schaden anrichten kann. Aber darf man deshalb eine ganze Schlüsseltechnologie verurteilen oder gar verbieten?

Eine solche Reaktion wäre kurzsichtig und würde uns am Ende mehr schaden als nützen. Vielmehr müssen wir uns daran erinnern, dass Technologie an sich weder gut noch schlecht ist, sondern dass es darauf ankommt, wie sie eingesetzt wird. Statt KI zu verteufeln, sollten wir uns daher darauf konzentrieren, die Nutzer umfassend zu informieren und zu sensibilisieren.

Der Erhalt der individuellen Mündigkeit steht dabei im Vordergrund. Unsere Gesellschaft muss in der Lage sein, informierte Entscheidungen über den Einsatz und die Regulierung von KI zu treffen, basierend auf einem tiefen Verständnis der Technologie und ihrer Potenziale – sowohl für den Fortschritt als auch für mögliche Risiken. Bildung, Aufklärung und eine transparente, offene Debatte sind Schlüsselelemente, um dieses Ziel zu erreichen. Nur so können wir sicherstellen, dass wir die Vorteile von KI nutzen und gleichzeitig die Risiken minimieren und beherrschen.

In diesem Zusammenhang spielt das IT Service Management (ITSM) eine zentrale Rolle. Durch die Bereitstellung von Richtlinien, Best Practices und Schulungen kann ITSM dazu beitragen, das Bewusstsein für die Herausforderungen und Chancen von KI zu schärfen. Es geht darum, eine Kultur der Sicherheit und des verantwortungsvollen Umgangs mit KI in Unternehmen und bei einzelnen Nutzern zu fördern. ITSM kann nicht nur als Schutzschild gegen die Gefahren dienen, sondern auch als Katalysator für eine innovative und ethisch verantwortungsvolle Nutzung dieser bahnbrechenden Technologie“.

Umfrage IT-Service Manager Grafik itSMF Deutschland

Berufsbild IT-Service Manager:In

Im Rahmen unserer Initiative zur Stärkung, Weiterentwicklung und Akkreditierung des Berufsbildes IT-Service Manager:In sind wir bestrebt, ein umfassendes Verständnis der aktuellen Anforderungen, Kompetenzen und Bedürfnisse in diesem Berufsfeld zu erlangen. Durch Ihre Teilnahme an dieser Umfrage leisten Sie einen wichtigen Beitrag zur Gestaltung und Verbesserung des Berufsbildes IT-Service Manager:In.

Weiterlesen »
itSMF Deutschland EU KI Gesetz copyright 2024 Grafik

Das EU-KI-Gesetz

Ein neues Zeitalter der künstlichen Intelligenz bricht an in Europa – dies ist die Botschaft, die vom Europäischen Parlament ausgeht, das nun das weltweit erste umfassende Gesetz zur Regelung von KI-Systemen verabschiedet hat. Wie ein Leuchtturm soll dieses Gesetz den Weg in eine Zukunft weisen, in der Technologie uns voranschreitet auf einem Pfad, der ebenso von humanistischen Werten wie von wirtschaftlichem Weitblick geprägt ist.

Weiterlesen »
itSMF BLOG Wegweiser zur Automatisierung im ITSM Grafik

Wegweiser zur Automatisierung im ITSM

Im digitalen Zeitalter werden Geschwindigkeit und Effizienz großgeschrieben. Unternehmen streben stetig danach, ihre Servicequalität zu verbessern und gleichzeitig die operativen Kosten zu senken. Eine Schlüsselrolle spielt dabei das IT-Service-Management (ITSM), das die Planung, Lieferung, Verwaltung und Verbesserung von IT-Dienstleistungen an Geschäftsprozesse anlehnt. Doch wie können diese Ziele erreicht werden, ohne dabei die menschliche Arbeitskraft zu überlasten? Die Antwort findet sich in einem Begriff, der in der IT-Branche zunehmend an Bedeutung gewinnt: Automatisierung.

Weiterlesen »

Cyberkriminalität im ITSM-Kontext

August 2023 – Cyberangriffe sind zu einer alltäglichen Realität geworden, die kaum noch jemanden erschreckt – eine beunruhigende Entwicklung. Laut der aktuellen BKA-Statistik wurden im Jahr 2022 136.865 Fälle von Cyberkriminalität registriert. Das ist zwar ein Rückgang um 6,5 Prozent im Vergleich zum Vorjahr, doch Experten weisen darauf hin, dass diese Zahl nur die Spitze des Eisbergs darstellt. Berücksichtigt man das sogenannte Dunkelfeld, welches das BKA auf bis zu 90 Prozent schätzt, bedeutet dies, dass von zehn Cybercrime-Fällen nur einer zur Anzeige kommt.

Weiterlesen »

ITSM Frameworks im Vergleich

In der IT-Welt gibt es viele verschiedene ITSM-Frameworks, von denen jedes einen einzigartigen Ansatz zur Optimierung von IT-Services bietet. Es liegt in der Verantwortung des Unternehmens, das richtige Framework zu wählen und es an die eigenen Bedürfnisse anzupassen.

Weiterlesen »

Änderungen im SAP-Angebot

Auf der jüngsten Bilanzpressekonferenz kündigte die SAP an, dass die neuesten Innovationen des Unternehmens ausschließlich in der Cloud verfügbar sein werden. Diese Innovationen werden ausschließlich für Kunden bereitgestellt, die bestimmte Cloud-Versionen von SAP S/4HANA über ausgewählte Vertragsmodelle nutzen. Obwohl dies nicht bedeutet, dass On-Premise-Lösungen nicht weiterentwickelt werden, können diese Kunden nicht von den neuesten Technologien wie Künstliche Intelligenz und Green Ledger profitieren.

Weiterlesen »

Wettbewerb, Cybersecurity und ITSM

Die EU-Kommission prüft, ob Microsoft seine marktbeherrschende Stellung missbraucht. Software-Monokulturen sind zwar altbekannt, ihre Relevanz nimmt aber stetig zu. Dabei spielt auch das IT-Service Management (ITSM) eine entscheidende Rolle.

Weiterlesen »

PRODUKT vs. SERVICE

In der dynamischen Welt der Informations- und Kommunikationstechnologien wird die Differenzierung zwischen Produkten und Services zunehmend komplexer. Dieses Phänomen ist auf die rasanten Veränderungen und Innovationen in der Technologiebranche zurückzuführen, die sich nicht nur auf die Art und Weise auswirken, wie wir arbeiten und interagieren, sondern auch auf die Art und Weise, wie wir zwischen Produkten und Services unterscheiden.

Weiterlesen »