BSI 2023 und ITSM: Eine Roadmap für mehr KI-Sicherheit
Im heutigen digitalen Zeitalter, in dem große Sprachmodelle wie ChatGPT immer mehr an Bedeutung gewinnen, weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht 2023 darauf hin, dass wir es mit neuen und ungewohnten Bedrohungen zu tun haben. So effizient und innovativ der Einsatz dieser Technologien in Unternehmen auch sein mag, er birgt Risiken, die weit über die bekannten Gefahren von Ransomware und ungepatchten Schwachstellen hinausgehen. Interessanterweise weist das BSI nun auf ein bisher weniger beachtetes Problem hin: die Gefahren der generativen KI. Unternehmen integrieren diese Technologien zunehmend in ihre Infrastruktur, um alltägliche Aufgaben wie das Formulieren von E-Mails, die Analyse von Daten oder das Erstellen von Präsentationen zu erleichtern. Diese Entwicklung stellt einen Fortschritt dar, öffnet aber auch Türen für potenzielle neue Angriffsvektoren.
Ein besonderer Schwerpunkt liegt auf dem Einsatz von KI zur Codegenerierung. Während dies die Programmierarbeit zweifellos effizienter macht, weist das BSI darauf hin, dass die inhärente Fehleranfälligkeit großer Sprachmodelle eine Quelle von Schwachstellen sein könnte. Fehler im Code oder “halluzinatorische” Ausgaben von KI-Modellen könnten übersehen und ungeprüft in Produkte übernommen werden, was zu ernsthaften Sicherheitsrisiken führen kann. Noch beunruhigender ist die Vorstellung, dass Angreifer diese KI-Modelle nutzen könnten, um automatisiert nach Sicherheitslücken zu suchen, ohne dass dafür tiefgreifende Fachkenntnisse erforderlich sind. Das Risiko solcher Schwachstellen wird durch die Komplexität und die schwer nachvollziehbaren Entscheidungswege von KI-Systemen noch verstärkt. Da diese Systeme ihre Entscheidungen oft nicht eindeutig erklären können, ist eine vollständige Kontrolle durch menschliche Aufsicht nicht möglich.
Ein weiteres Problem besteht darin, dass herkömmliche Sicherheitsansätze wie “Security by Design” beim Einsatz von KI-Modellen nicht mehr greifen. Da KI-Modelle oft selbstlernend sind und kein festes “Design” haben, kann Sicherheit nicht mehr von vornherein eingeplant werden. Das BSI weist auch darauf hin, dass die sprachliche Manipulierbarkeit von KI-Modellen zu einer erheblichen Schwachstelle werden kann. Es sind bereits Fälle bekannt geworden, in denen durch geschickt formulierte Prompts vertrauliche Informationen aus KI-Modellen extrahiert werden konnten, obwohl die Modelle eigentlich für andere Zwecke konzipiert waren.
Neben der direkten Ausnutzung von KI-Modellen für bösartige Zwecke gibt es auch indirekte Methoden, wie das Einbetten von versteckten Befehlen in Web-Inhalte, die von einem KI-Modell beim Zugriff auf das Internet aufgenommen und ausgeführt werden können. Diese Art der “Prompt Injection” kann für Angreifer ein einfacher Weg sein, in Unternehmensnetzwerke einzudringen oder Schadsoftware zu verbreiten. Das BSI weist darauf hin, dass es derzeit keine wirksamen Methoden gibt, solche Angriffe zu erkennen oder abzuwehren. Antivirensoftware, die traditionell auf die Erkennung von bekannter Schadsoftware und auffälligem Verhalten angewiesen ist, steht vor der Herausforderung, dass sich Schadbefehle in zahlreichen semantischen Variationen verbergen können.
Abschließend betont das BSI, dass KI bei der Abwehr von Cyber-Angriffen zwar hilfreich sein kann, aber die Gefahr besteht, dass die negativen Auswirkungen überwiegen. Die Herausforderung, vor der wir stehen, ist nicht nur die Entwicklung neuer Sicherheitskonzepte für den Umgang mit KI-Technologien, sondern auch das gründliche Verständnis und die kritische Bewertung der Risiken, die mit ihrer Anwendung einhergehen. Dieser realistische Blick auf die potenziellen Gefahren großer Sprachmodelle ist entscheidend, um zukünftige Sicherheitsstrategien anzupassen und zu stärken.
Lösungsansätze im Bereich IT Service Management
Um den im BSI-Bericht 2023 genannten Herausforderungen und Gefahren im Zusammenhang mit dem Einsatz von KI und großen Sprachmodellen im IT Service Management (ITSM) zu begegnen, könnten folgende Lösungsansätze verfolgt werden:
Verstärkte Schulung und Sensibilisierung
- Für IT-Personal: Schulungen zu Risiken und Best Practices im Umgang mit KI-basierten Systemen.
- Für alle Beschäftigten: Sensibilisierung für mögliche Manipulationen durch KI und Schulung in sicherer Kommunikation.
Verbesserung der Sicherheitsinfrastruktur
- KI-basierte Sicherheitswerkzeuge: Einsatz fortschrittlicher Tools zur Erkennung und Abwehr von Angriffen, die KI-Modelle nutzen.
- Kontinuierliche Überwachung und Analyse: Einrichtung kontinuierlicher Überwachungssysteme zur Erkennung von Anomalien in KI-gestützten Prozessen.
Entwicklung robuster KI-Modelle
- Robustheit und Validierung: Entwicklung robuster Modelle und regelmäßige Validierung der Ergebnisse, um Fehler und Manipulationen zu vermeiden.
- Begrenzung der Autonomie: Begrenzung der Selbstlernfähigkeit und Autonomie von KI-Systemen, um unbeabsichtigte Schwachstellen zu reduzieren.
Anwendung von Sicherheitsrichtlinien und -standards
- Richtlinien für den Einsatz von KI: Festlegung spezifischer Sicherheitsrichtlinien für den Einsatz von KI-Systemen.
- Compliance und Standards: Sicherstellen, dass KI-Lösungen den aktuellen Sicherheitsstandards und Best Practices entsprechen.
Transparenz und Nachvollziehbarkeit erhöhen
- Erklärbarkeit von KI-Entscheidungen: Förderung der Nachvollziehbarkeit und Erklärbarkeit von KI-basierten Entscheidungsprozessen.
- Audit Trails: Protokollierung aller KI-Entscheidungen und -Aktivitäten zur späteren Überprüfung.
Incident Response Pläne
- Spezifische Reaktionsstrategien: Entwicklung von Plänen, die auf Sicherheitsvorfälle im Zusammenhang mit KI-Technologien zugeschnitten sind.
- Regelmäßige Übungen und Tests: Durchführung von Übungen, um die Wirksamkeit dieser Strategien zu testen und zu verbessern.
Forschung und Innovation
- Forschungsförderung: Investitionen in die Forschung zur Identifizierung potenzieller neuer Bedrohungen und zur Abwehr dieser Bedrohungen.
- Zusammenarbeit mit der Wissenschaft: Aufbau von Partnerschaften zwischen Industrie und Wissenschaft, um die neuesten Erkenntnisse und Technologien zu integrieren.
Schlussfolgerung
Die ITSM-Community muss sich anpassen und weiterentwickeln, um mit den sich ständig ändernden Herausforderungen der Cybersicherheit Schritt halten zu können, insbesondere im Kontext von KI-basierten Systemen. Eine Kombination aus technischen, organisatorischen und bildungsorientierten Maßnahmen ist entscheidend, um der sich verändernden Bedrohungslandschaft effektiv zu begegnen.
Kommentar
“Angesichts aktueller Entwicklungen und Warnungen, wie sie etwa im jüngsten BSI-Risikobericht zu KI zum Ausdruck kommen, erscheint es verführerisch, neue Technologien wie Künstliche Intelligenz pauschal als bedrohlich oder gar gefährlich einzustufen. Eine solche Sichtweise ist jedoch nicht nur reduktionistisch, sondern auch kontraproduktiv. Es ist unbestritten, dass KI – wie jede andere Technologie auch – in den falschen Händen Schaden anrichten kann. Aber darf man deshalb eine ganze Schlüsseltechnologie verurteilen oder gar verbieten?
Eine solche Reaktion wäre kurzsichtig und würde uns am Ende mehr schaden als nützen. Vielmehr müssen wir uns daran erinnern, dass Technologie an sich weder gut noch schlecht ist, sondern dass es darauf ankommt, wie sie eingesetzt wird. Statt KI zu verteufeln, sollten wir uns daher darauf konzentrieren, die Nutzer umfassend zu informieren und zu sensibilisieren.
Der Erhalt der individuellen Mündigkeit steht dabei im Vordergrund. Unsere Gesellschaft muss in der Lage sein, informierte Entscheidungen über den Einsatz und die Regulierung von KI zu treffen, basierend auf einem tiefen Verständnis der Technologie und ihrer Potenziale – sowohl für den Fortschritt als auch für mögliche Risiken. Bildung, Aufklärung und eine transparente, offene Debatte sind Schlüsselelemente, um dieses Ziel zu erreichen. Nur so können wir sicherstellen, dass wir die Vorteile von KI nutzen und gleichzeitig die Risiken minimieren und beherrschen.
In diesem Zusammenhang spielt das IT Service Management (ITSM) eine zentrale Rolle. Durch die Bereitstellung von Richtlinien, Best Practices und Schulungen kann ITSM dazu beitragen, das Bewusstsein für die Herausforderungen und Chancen von KI zu schärfen. Es geht darum, eine Kultur der Sicherheit und des verantwortungsvollen Umgangs mit KI in Unternehmen und bei einzelnen Nutzern zu fördern. ITSM kann nicht nur als Schutzschild gegen die Gefahren dienen, sondern auch als Katalysator für eine innovative und ethisch verantwortungsvolle Nutzung dieser bahnbrechenden Technologie”.
Elektronische Gesundheitskarte
Die Digitalisierung des Gesundheitswesens in Deutschland schreitet voran und hat in den letzten Jahren erhebliche Fortschritte gemacht. Mit der Einführung der elektronischen Gesundheitskarte (eGK) und der Telematikinfrastruktur ergeben sich Chancen und Herausforderungen für das IT-Servicemanagement.
Rolle Rückwärts bei der Digitalisierung
Laut dem kürzlich veröffentlichten Haushaltsentwurf des Bundesinnenministeriums (BMI) für 2024 sind gerade einmal 3,3 Millionen Euro für die Digitalisierung von Verwaltungsprozessen vorgesehen. Das ist ein Bruchteil der 377 Millionen Euro für das laufende Jahr. Ein Rückgang um fast 99 Prozent in einem Bereich, der dringend Verbesserungen und Innovationen benötigt.
itSMF Deutschland | Berufs- und Fachverband für IT Service Management
In der dynamischen Welt des IT Service Managements spielen Pioniere und Innovatoren eine entscheidende Rolle. Einer dieser Pioniere ist das itSMF Deutschland, die größte deutschsprachige Service Management Community in der D-A-CH-Region. Am 6. Juli 2023 markierte das itSMF Deutschland einen wichtigen Meilenstein in seiner Entwicklungsgeschichte – mit dem Beschluss seiner Mitgliederversammlung, sich zum ersten bundesweiten Berufs- und Fachverband für IT Service Management zu wandeln.
Multi Provider Management – Herausforderung im ITSM
In einer zunehmend digitalisierten Geschäftswelt ist die Auslagerung von IT-Services an spezialisierte Anbieter keine Seltenheit mehr. Diese Auslagerung, oft auch als IT-Outsourcing bezeichnet, wird jedoch immer komplexer, da die Services an immer mehr spezialisierte Anbieter ausgelagert werden. Dies führt zu einer heterogenen und oft unübersichtlichen Dienstleisterlandschaft, durch die das Unternehmen navigieren muss. Hier liegt der Bedarf für ein effektives Multi-Provider-Management.
Künstliche Intelligenz im Service Management
Im Umfeld der Unternehmens-IT entsteht langsam eine neue Landschaft. Künstliche Intelligenz (KI) – lange Zeit ein unerschlossenes Feld – findet sie nun ihren Weg in die IT-Abteilungen und bringt echten Mehrwert für das IT Service Management (ITSM). Dieser Artikel wirft einen Blick auf den praktischen Einsatz von KI, zeigt die Vorteile auf und beleuchtet beispielhaft die aktuellen Lösungen von ServiceNow und BMC Software.
Business Continuity Management
Angesichts steigender Herausforderungen und zahlreicher Bedrohungen müssen Unternehmen heutzutage besonders gut auf potenziell eintretende Notfälle vorbereitet sein, um langfristig fortbestehen zu können. Mit fortschreitender Digitalisierung wird reibungslos laufende Informationstechnik immer relevanter.
Die RACI Tabelle
Im Bereich IT Service Management (ITSM) spielen eine effektive Kommunikation sowie klar definierte Rollen und Verantwortlichkeiten eine entscheidende Rolle. Die RACI-Tabelle ist ein bewährtes Instrument, um diesen Anforderungen gerecht zu werden. Im Folgenden werden die Definition von RACI-Tabellen, ihr Zweck und ihre Bedeutung erläutert sowie Anwendungsgebiete und Branchen vorgestellt.
PeopleCert und Pink Elephant gehen getrennte Wege
Es ist immer ein einschneidendes Ereignis, wenn zwei Branchenriesen beschließen, sich zu trennen. So auch in der Welt des IT Service Managements. Die fast vier Jahrzehnte währende Partnerschaft zwischen Pink Elephant und PeopleCert, dem Eigentümer von ITIL® (IT Infrastructure Library), geht zu Ende.