BSI 2023 und ITSM: Eine Roadmap für mehr KI-Sicherheit

Im heutigen digitalen Zeitalter, in dem große Sprachmodelle wie ChatGPT immer mehr an Bedeutung gewinnen, weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht 2023 darauf hin, dass wir es mit neuen und ungewohnten Bedrohungen zu tun haben. So effizient und innovativ der Einsatz dieser Technologien in Unternehmen auch sein mag, er birgt Risiken, die weit über die bekannten Gefahren von Ransomware und ungepatchten Schwachstellen hinausgehen. Interessanterweise weist das BSI nun auf ein bisher weniger beachtetes Problem hin: die Gefahren der generativen KI. Unternehmen integrieren diese Technologien zunehmend in ihre Infrastruktur, um alltägliche Aufgaben wie das Formulieren von E-Mails, die Analyse von Daten oder das Erstellen von Präsentationen zu erleichtern. Diese Entwicklung stellt einen Fortschritt dar, öffnet aber auch Türen für potenzielle neue Angriffsvektoren.

Ein besonderer Schwerpunkt liegt auf dem Einsatz von KI zur Codegenerierung. Während dies die Programmierarbeit zweifellos effizienter macht, weist das BSI darauf hin, dass die inhärente Fehleranfälligkeit großer Sprachmodelle eine Quelle von Schwachstellen sein könnte. Fehler im Code oder „halluzinatorische“ Ausgaben von KI-Modellen könnten übersehen und ungeprüft in Produkte übernommen werden, was zu ernsthaften Sicherheitsrisiken führen kann. Noch beunruhigender ist die Vorstellung, dass Angreifer diese KI-Modelle nutzen könnten, um automatisiert nach Sicherheitslücken zu suchen, ohne dass dafür tiefgreifende Fachkenntnisse erforderlich sind. Das Risiko solcher Schwachstellen wird durch die Komplexität und die schwer nachvollziehbaren Entscheidungswege von KI-Systemen noch verstärkt. Da diese Systeme ihre Entscheidungen oft nicht eindeutig erklären können, ist eine vollständige Kontrolle durch menschliche Aufsicht nicht möglich.

Ein weiteres Problem besteht darin, dass herkömmliche Sicherheitsansätze wie „Security by Design“ beim Einsatz von KI-Modellen nicht mehr greifen. Da KI-Modelle oft selbstlernend sind und kein festes „Design“ haben, kann Sicherheit nicht mehr von vornherein eingeplant werden. Das BSI weist auch darauf hin, dass die sprachliche Manipulierbarkeit von KI-Modellen zu einer erheblichen Schwachstelle werden kann. Es sind bereits Fälle bekannt geworden, in denen durch geschickt formulierte Prompts vertrauliche Informationen aus KI-Modellen extrahiert werden konnten, obwohl die Modelle eigentlich für andere Zwecke konzipiert waren.

Neben der direkten Ausnutzung von KI-Modellen für bösartige Zwecke gibt es auch indirekte Methoden, wie das Einbetten von versteckten Befehlen in Web-Inhalte, die von einem KI-Modell beim Zugriff auf das Internet aufgenommen und ausgeführt werden können. Diese Art der „Prompt Injection“ kann für Angreifer ein einfacher Weg sein, in Unternehmensnetzwerke einzudringen oder Schadsoftware zu verbreiten. Das BSI weist darauf hin, dass es derzeit keine wirksamen Methoden gibt, solche Angriffe zu erkennen oder abzuwehren. Antivirensoftware, die traditionell auf die Erkennung von bekannter Schadsoftware und auffälligem Verhalten angewiesen ist, steht vor der Herausforderung, dass sich Schadbefehle in zahlreichen semantischen Variationen verbergen können.

Abschließend betont das BSI, dass KI bei der Abwehr von Cyber-Angriffen zwar hilfreich sein kann, aber die Gefahr besteht, dass die negativen Auswirkungen überwiegen. Die Herausforderung, vor der wir stehen, ist nicht nur die Entwicklung neuer Sicherheitskonzepte für den Umgang mit KI-Technologien, sondern auch das gründliche Verständnis und die kritische Bewertung der Risiken, die mit ihrer Anwendung einhergehen. Dieser realistische Blick auf die potenziellen Gefahren großer Sprachmodelle ist entscheidend, um zukünftige Sicherheitsstrategien anzupassen und zu stärken.

Lösungsansätze im Bereich IT Service Management

Um den im BSI-Bericht 2023 genannten Herausforderungen und Gefahren im Zusammenhang mit dem Einsatz von KI und großen Sprachmodellen im IT Service Management (ITSM) zu begegnen, könnten folgende Lösungsansätze verfolgt werden:

Verstärkte Schulung und Sensibilisierung

    • Für IT-Personal: Schulungen zu Risiken und Best Practices im Umgang mit KI-basierten Systemen.
    • Für alle Beschäftigten: Sensibilisierung für mögliche Manipulationen durch KI und Schulung in sicherer Kommunikation.

Verbesserung der Sicherheitsinfrastruktur

    • KI-basierte Sicherheitswerkzeuge: Einsatz fortschrittlicher Tools zur Erkennung und Abwehr von Angriffen, die KI-Modelle nutzen.
    • Kontinuierliche Überwachung und Analyse: Einrichtung kontinuierlicher Überwachungssysteme zur Erkennung von Anomalien in KI-gestützten Prozessen.

Entwicklung robuster KI-Modelle

  • Robustheit und Validierung: Entwicklung robuster Modelle und regelmäßige Validierung der Ergebnisse, um Fehler und Manipulationen zu vermeiden.
  • Begrenzung der Autonomie: Begrenzung der Selbstlernfähigkeit und Autonomie von KI-Systemen, um unbeabsichtigte Schwachstellen zu reduzieren.

Anwendung von Sicherheitsrichtlinien und -standards

  • Richtlinien für den Einsatz von KI: Festlegung spezifischer Sicherheitsrichtlinien für den Einsatz von KI-Systemen.
  • Compliance und Standards: Sicherstellen, dass KI-Lösungen den aktuellen Sicherheitsstandards und Best Practices entsprechen.

Transparenz und Nachvollziehbarkeit erhöhen

  • Erklärbarkeit von KI-Entscheidungen: Förderung der Nachvollziehbarkeit und Erklärbarkeit von KI-basierten Entscheidungsprozessen.
  • Audit Trails: Protokollierung aller KI-Entscheidungen und -Aktivitäten zur späteren Überprüfung.

Incident Response Pläne

  • Spezifische Reaktionsstrategien: Entwicklung von Plänen, die auf Sicherheitsvorfälle im Zusammenhang mit KI-Technologien zugeschnitten sind.
  • Regelmäßige Übungen und Tests: Durchführung von Übungen, um die Wirksamkeit dieser Strategien zu testen und zu verbessern.

Forschung und Innovation

  • Forschungsförderung: Investitionen in die Forschung zur Identifizierung potenzieller neuer Bedrohungen und zur Abwehr dieser Bedrohungen.
  • Zusammenarbeit mit der Wissenschaft: Aufbau von Partnerschaften zwischen Industrie und Wissenschaft, um die neuesten Erkenntnisse und Technologien zu integrieren.

Schlussfolgerung

Die ITSM-Community muss sich anpassen und weiterentwickeln, um mit den sich ständig ändernden Herausforderungen der Cybersicherheit Schritt halten zu können, insbesondere im Kontext von KI-basierten Systemen. Eine Kombination aus technischen, organisatorischen und bildungsorientierten Maßnahmen ist entscheidend, um der sich verändernden Bedrohungslandschaft effektiv zu begegnen.

itSMF Infobanner 02 werden sie teil der service management community

Kommentar

„Angesichts aktueller Entwicklungen und Warnungen, wie sie etwa im jüngsten BSI-Risikobericht zu KI zum Ausdruck kommen, erscheint es verführerisch, neue Technologien wie Künstliche Intelligenz pauschal als bedrohlich oder gar gefährlich einzustufen. Eine solche Sichtweise ist jedoch nicht nur reduktionistisch, sondern auch kontraproduktiv. Es ist unbestritten, dass KI – wie jede andere Technologie auch – in den falschen Händen Schaden anrichten kann. Aber darf man deshalb eine ganze Schlüsseltechnologie verurteilen oder gar verbieten?

Eine solche Reaktion wäre kurzsichtig und würde uns am Ende mehr schaden als nützen. Vielmehr müssen wir uns daran erinnern, dass Technologie an sich weder gut noch schlecht ist, sondern dass es darauf ankommt, wie sie eingesetzt wird. Statt KI zu verteufeln, sollten wir uns daher darauf konzentrieren, die Nutzer umfassend zu informieren und zu sensibilisieren.

Der Erhalt der individuellen Mündigkeit steht dabei im Vordergrund. Unsere Gesellschaft muss in der Lage sein, informierte Entscheidungen über den Einsatz und die Regulierung von KI zu treffen, basierend auf einem tiefen Verständnis der Technologie und ihrer Potenziale – sowohl für den Fortschritt als auch für mögliche Risiken. Bildung, Aufklärung und eine transparente, offene Debatte sind Schlüsselelemente, um dieses Ziel zu erreichen. Nur so können wir sicherstellen, dass wir die Vorteile von KI nutzen und gleichzeitig die Risiken minimieren und beherrschen.

In diesem Zusammenhang spielt das IT Service Management (ITSM) eine zentrale Rolle. Durch die Bereitstellung von Richtlinien, Best Practices und Schulungen kann ITSM dazu beitragen, das Bewusstsein für die Herausforderungen und Chancen von KI zu schärfen. Es geht darum, eine Kultur der Sicherheit und des verantwortungsvollen Umgangs mit KI in Unternehmen und bei einzelnen Nutzern zu fördern. ITSM kann nicht nur als Schutzschild gegen die Gefahren dienen, sondern auch als Katalysator für eine innovative und ethisch verantwortungsvolle Nutzung dieser bahnbrechenden Technologie“.

Autoren-Profilbild

Mit einem Master in Psychologie (Master of Science) und einem Diplom in darstellenden Künsten hat er einzigartige Perspektiven und Fähigkeiten entwickelt, die er in seiner Arbeit im Change Management, Transition / Transformation und Service Management erfolgreich einsetzt. Seit vielen Jahren leitet er erfolgreich Projekte in diesen Bereichen und hat dabei seine Neugierde und Begeisterungsfähigkeit für Neuerungen und Innovationen nie abgelegt.

PeopleCert und Pink Elephant gehen getrennte Wege

Es ist immer ein einschneidendes Ereignis, wenn zwei Branchenriesen beschließen, sich zu trennen. So auch in der Welt des IT Service Managements. Die fast vier Jahrzehnte währende Partnerschaft zwischen Pink Elephant und PeopleCert, dem Eigentümer von ITIL® (IT Infrastructure Library), geht zu Ende.

Weiterlesen »

Mitgliederversammlung 2023

Entsprechend der Satzung des Vereins, § 8.2, in Verbindung mit BGB § 36, beruft der Vorstand des IT Service Management Forums Deutschland e.V. hiermit fristgerecht die ordentliche Mitgliederversammlung ein, zu der Sie herzlich eingeladen sind.

Weiterlesen »

Die Geschichte der Easter Eggs

Es war einmal ein IT Service Manager namens Erik, der für ein großes Softwareunternehmen arbeitete. Die Firma entwickelte bahnbrechende Programme und Anwendungen, die das Leben ihrer Kunden erleichterten. Doch in den langen Stunden, die das Team vor den Computern verbrachte, sehnte sich Erik nach etwas mehr Spaß und Kreativität bei der Arbeit.

Weiterlesen »

Digitalisierung in Deutschland

Die Verantwortung, die wir gegenüber den nachfolgenden Generationen haben, ist gewaltig. Es liegt in unserer Hand, eine nachhaltige, integrative und demokratische Zukunft zu gestalten. Wir müssen unsere gemeinsamen Anstrengungen darauf konzentrieren, die Vorteile der Digitalisierung zu nutzen und gleichzeitig mögliche Risiken zu minimieren. Um gemeinsame Ziele und Werte zu verfolgen, müssen Politik, Wirtschaft, Wissenschaft und Gesellschaft eng zusammenarbeiten. Wir dürfen nicht vergessen, dass die Digitalisierung nicht nur ein technologischer, sondern auch ein sozialer und kultureller Wandel ist.

Weiterlesen »

Wertschöpfung durch Teamarbeit

Die Bedeutung der Interaktion zwischen Führungskräften und Teams in Organisationen ist entscheidend, um die Wertschöpfung optimal auf den Markt auszurichten und den Mitarbeitenden einen geeigneten Rahmen dafür zu bieten. Diese Wechselwirkung gewinnt insbesondere bei Marktveränderungen, Leistungsverbesserungen und organisatorischen Veränderungen an Bedeutung, da sie einen entscheidenden Einfluss auf die Fähigkeit einer Organisation hat, sich an neue Gegebenheiten anzupassen und innovativ zu handeln.

Weiterlesen »

KI-gesteuerte Haustiere als ITSM Expert:Innen

In einer beispiellosen Entwicklung haben deutsche IT-Unternehmen beschlossen, das IT-Service-Management von Grund auf zu revolutionieren. Anstatt sich weiterhin auf menschliche IT-Experten zu verlassen, wird nun künstliche Intelligenz in Haustiere integriert, um IT-Probleme effizienter und kostengünstiger zu lösen.

Weiterlesen »

ICT Ausgaben in 2023

Dem Worldwide ICT Spending Guide von IDC (International Data Corporation) zufolge werden die ICT-Ausgaben in der DACH-Region (Deutschland, Österreich und Schweiz) im Jahr 2023 rund 275 Milliarden US-Dollar erreichen und bis 2026 auf über 330 Milliarden US-Dollar ansteigen. Mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 6,4 Prozent im Zeitraum 2021-2026 wird das Wachstum der IKT-Ausgaben in der Region über dem europäischen Durchschnitt (5,4 Prozent) liegen.

Weiterlesen »

ITSM Prozesse im Detail

Ein IT-Servicemanagementprozess ist ein systematischer Ansatz für die Planung, die Bereitstellung, den Betrieb und die Verbesserung von IT-Services, die eine Organisation ihren Kunden oder internen Nutzern anbietet. Dieser Prozess umfasst eine Reihe strukturierter Aktivitäten und Praktiken, die darauf abzielen, die Effizienz der IT-Ressourcen zu optimieren, die Qualität der erbrachten Dienstleistungen zu verbessern und den Geschäftswert der IT zu maximieren. ITSM ist ein entscheidender Erfolgsfaktor, da es dazu beiträgt, die IT-Strategie und die IT-Ziele mit der Geschäftsstrategie und den Geschäftszielen in Einklang zu bringen.

Weiterlesen »