Das Thema KI-Sicherheit wird überbewertet
Die aktuelle Debatte über die Sicherheit von KI und großen Sprachmodellen ist ein einziges Durcheinander.
Auf der einen Seite gibt es atemlose Berichte über Prompt-Injektionen, Jailbreaks, böswillige Agenten und existenzielle Modellausfälle. Auf der anderen Seite stehen Sicherheitsteams, die noch nicht einmal eine ganz einfache Frage beantworten können: Wo wird KI in unserer Umgebung eigentlich eingesetzt?
Diese beiden Dinge sollten nicht gleichzeitig passieren – tun es aber doch.
Die meisten Unternehmen werden aufgefordert, sich gegen die Extremfälle von morgen zu wappnen, noch bevor sie die Realität von heute gesichert haben. Und so kommt es, dass man am Ende eine „performative“ KI-Sicherheit anstelle einer wirksamen KI-Sicherheit erhält.
Sagen wir es ganz offen: Das durchschnittliche Unternehmen ist von dem auf Konferenzen diskutierten Bedrohungsszenario meilenweit entfernt.
Die Realität, in der die meisten CISOs leben
Trotz des Hypes setzen die meisten Unternehmen keine autonomen KI-Systeme ein, die eigenständig sinnvoll handeln können. Sie trainieren keine Grundmodelle. Sie übergeben den großen Sprachmodellen nicht die Kontrolle über die Produktionsinfrastruktur.
Sie probieren etwas Neues aus.
Man spricht von „Managed APIs“. Man integriert große Sprachmodelle in interne Tools. Man erlaubt den Mitarbeitern die Nutzung von ChatGPT, denn ein „Nein“ ohne Alternative hätte niemals funktioniert.
Aus sicherheitstechnischer Sicht entstehen dadurch weniger neue Risiken, sondern vielmehr werden bestehende Risiken verstärkt.
Daten verlassen das Unternehmen leichter. Integrationen verbreiten sich schneller als Governance-Maßnahmen. Die Transparenz hinkt der Einführung hinterher. Die Zuständigkeiten sind unklar. Das ist nichts Neues – es ist derselbe Film, den Sicherheitsteams jedes Mal sehen, wenn eine leistungsstarke neue SaaS-Funktion auf den Markt kommt.
Der Fehler, den wir derzeit begehen, besteht darin, so zu tun, als sei dies etwas völlig anderes, nur weil das Wort „KI“ im Spiel ist.
Großes Sprachmodelle sind keine Zauberei – sie sind nicht vertrauenswürdige Systeme
Hier ist die Sichtweise, die den meisten Lärm ausblendet: Ein LLM ist kein denkendes Wesen. Es ist kein Mitarbeiter. Es ist kein Entscheidungsträger. Es ist ein System, dem man nicht trauen kann, das Daten verarbeitet und Ergebnisse liefert.
Das war's.
Sobald man das akzeptiert, verliert sich ein Großteil der vermeintlichen Komplexität. Eingabeaufforderungen sind Daten. Antworten sind Daten. APIs sind immer noch APIs. Berechtigungen bestimmen nach wie vor den Auswirkungsbereich. Die Protokollierung entscheidet nach wie vor darüber, ob man einen Vorfall untersuchen kann oder nicht.
Wenn Ihre LLM-Sicherheitsstrategie nicht genau dort ansetzt, ist sie wahrscheinlich nur Show.
Was gerade wichtig ist
Derzeit besteht das größte Risiko für die meisten Unternehmen nicht darin, dass ein gewiefter Angreifer eine Eingabeaufforderung manipuliert, um etwas Bösartiges zu bewirken.
Es ist ein Mitarbeiter, der sensible Informationen in ein Tool einfügt, das er nicht vollständig versteht.
Es ist ein Team, das einen API-Schlüssel mit weitreichenden Zugriffsrechten und ohne Ablaufdatum generiert.
Es ist die Unternehmensleitung, die davon ausgeht, dass „wir trainieren nicht mit Ihren Daten“ bedeutet, „das kann uns nichts anhaben“.
Es sind Sicherheitsteams, die erst dann nach KI-Risiken gefragt werden, wenn die Tools bereits in die Arbeitsabläufe integriert sind.
Das ist grundlegende, wenig glamouröse Sicherheitsarbeit. Datengrenzen. Sorgfaltspflicht gegenüber Lieferanten. Zugriffskontrolle. Transparenz. Rechenschaftspflicht. Und gerade weil sie so wenig glamourös ist, wird sie von weitaus interessanteren – und weitaus weniger relevanten – Diskussionen in den Hintergrund gedrängt.
Das Risiko steigt, wenn wir Berechtigungen hinzufügen, nicht aber Intelligenz
Die Dinge ändern sich, wenn große Sprachmodelle nicht mehr nur passive Assistenten sind, sondern in reale Systeme eingebunden werden.
Die Gefahr besteht nicht darin, dass das Modell plötzlich intelligenter wird. Die Gefahr besteht vielmehr darin, dass jemand beschlossen hat, es interne Datenbanken abfragen, Aktionen auslösen oder Entscheidungen treffen zu lassen, ohne dass dies einer sinnvollen Kontrolle unterliegt.
In diesem Fall sichern Sie nicht mehr eine KI ab – Sie sichern ein automatisiertes System mit einer sehr unvorhersehbaren Schnittstelle ab.
Und auch das ist nichts Neues. Wir wissen bereits, wie man solche Systeme absichert. Das Prinzip der geringsten Berechtigungen ist entscheidend. Die Überprüfung durch Menschen ist entscheidend. Die Nachvollziehbarkeit ist entscheidend. Ein sicheres Scheitern ist entscheidend.
Wenn eine KI-gesteuerte Aktion echten Schaden anrichten kann und es keinen Kontrollpunkt gibt, bevor dies geschieht, ist das kein KI-Problem – das ist ein Konstruktionsfehler.
Der Preis für das Hinterherlaufen beim Hype
Das Gefährlichste am aktuellen Hype-Zyklus rund um KI-Sicherheit ist nicht, dass wir einen obskuren Sonderfall übersehen könnten. Es ist vielmehr, dass wir Zeit verschwenden.
Sicherheitsteams werden in Debatten über theoretische Angriffe hineingezogen, während offensichtliche Sicherheitslücken weiterhin bestehen. Es werden Richtlinien verfasst, die zwar ausgefeilt klingen, aber das Verhalten nicht ändern. Es werden Tools für Probleme evaluiert, mit denen das Unternehmen noch gar nicht konfrontiert ist.
Dies erweckt den Anschein von Fortschritt, ohne das tatsächliche Risiko zu verringern.
Eine ausgereifte KI-Sicherheitsstrategie zeichnet sich nicht dadurch aus, wie viele Sonderfälle man aufzählen kann. Sie zeichnet sich vielmehr dadurch aus, wie genau man versteht, was eingesetzt wird, auf welche Daten es zugreift und was passiert, wenn es ausfällt.
Ein ehrlicherer Maßstab für Reife
Wenn Sie als CISO folgende Frage selbstbewusst beantworten können:
- Welche LLMs werden verwendet?
- Welche Daten sehen sie?
- Wem gehören sie?
- Und wie werden Fehler erkannt, bevor sie zu Zwischenfällen führen?
Sie sind den meisten Unternehmen bereits einen Schritt voraus – auch wenn Sie noch nicht jedes hypothetische KI-Ausfallszenario im Internet gelöst haben.
KI-Sicherheit braucht keinen weiteren Hype. Sie braucht eine schrittweise Umsetzung.
Sichere dir zuerst das, was wirklich wichtig ist. Der Rest kann warten.
