Neue Standards für KI-Sicherheit und der Wert von Cyber-Teams in Unternehmen

LONDON (IT BOLTWISE) – Die Europäische Telekommunikationsnormungsorganisation (ETSI) hat in Zusammenarbeit mit dem britischen National Cyber Security Center (NCSC) und dem britischen Department for Science, Innovation & Technology (DSIT) einen globalen Standard zur Sicherung von KI-Systemen veröffentlicht. Diese Initiative zielt darauf ab, Klarheit in die vielfältigen Empfehlungen und Richtlinien zur KI-Sicherheit zu bringen.

Die Veröffentlichung des neuen globalen Standards durch ETSI markiert einen bedeutenden Schritt in der Sicherung von KI-Systemen. Der Standard umfasst den gesamten Lebenszyklus eines KI-Systems und richtet sich an Entwickler, Anbieter, Betreiber, Integratoren, Käufer und andere Interessengruppen im Bereich der Künstlichen Intelligenz. Die technische Spezifikation mit dem Titel „Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems“ legt eine Reihe von grundlegenden Sicherheitsprinzipien fest, die für den gesamten Lebenszyklus eines KI-Systems übernommen werden müssen.

Der Standard gliedert sich in fünf Phasen: die sichere Designphase, die sichere Entwicklungsphase, die sichere Einsatzphase, die sichere Wartungsphase und die sichere End-of-Life-Phase. Jede dieser Phasen beinhaltet spezifische Sicherheitsprinzipien, die weiter in detaillierte Anforderungen unterteilt sind. Beispielsweise fordert ETSI in der Wartungsphase, dass Entwickler größere Updates von KI-Systemen testen und bewerten, als ob es sich um eine neue Version eines KI-Modells handeln würde.

Parallel dazu zeigt eine Studie von Ernst & Young, dass Cybersecurity-Teams erheblichen monetären Nutzen für große organisatorische Initiativen bringen, insbesondere wenn CISOs frühzeitig in diese Bemühungen einbezogen werden. Die Studie ergab, dass Cybersecurity-Teams einen mittleren Beitrag von 36 Millionen US-Dollar zu jedem unternehmensweiten Projekt leisten, an dem sie beteiligt sind. Dies entspricht 11% bis 20% des Wertes jedes Projekts.

Die Studie hebt hervor, dass CISOs, die frühzeitig in funktionsübergreifende Entscheidungsprozesse eingebunden werden, mehr Wert generieren als diejenigen, die spät oder gar nicht konsultiert werden. CEOs, CFOs und Vorstände sollten Schritte unternehmen, um die Cybersicherheit sinnvoller in Transformationen und andere strategische Initiativen zu integrieren.

Ein weiteres Thema, das in der Diskussion um Cybersicherheit an Bedeutung gewinnt, ist die sichere Stilllegung von technischen Produkten. Das britische National Cyber Security Centre (NCSC) hat Leitlinien veröffentlicht, wie veraltete technische Geräte sicher aus dem IT-Umfeld entfernt werden können. Eine unsachgemäße Stilllegung könnte unbefugten Personen den Zugriff auf vertrauliche Daten ermöglichen und zur Verletzung von Diensten und Geräten führen.

Die Bedrohung durch die Hackergruppe Silent Ransom, die gezielt Anwaltskanzleien angreift, zeigt die Notwendigkeit verstärkter Sicherheitsmaßnahmen. Diese Gruppe verwendet Phishing-Anrufe und -E-Mails, um Mitarbeiter dazu zu bringen, ihnen Fernzugriff auf ihre Computer zu gewähren. Die Angreifer stehlen dann vertrauliche Daten und nutzen diese, um die Opfer zu erpressen.

Abschließend hat das Center for Internet Security seine CIS Benchmarks für Kubernetes, Azure Kubernetes Service und Microsoft Intune aktualisiert und einen neuen CIS Benchmark für Red Hat Enterprise Linux Security Technical Implementation Guide (STIG) veröffentlicht. Diese Benchmarks bieten sichere Konfigurationsrichtlinien, um Produkte gegen Angriffe zu härten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!