Eine aktuelle Studie von SecurityScorecard zeigt, dass Angriffe auf Drittanbieter für 29 Prozent der Sicherheitsvorfälle in Unternehmen verantwortlich sind. Zudem stehen 98 Prozent der Unternehmen in Verbindung mit Drittanbietern, bei denen bereits Sicherheitsverletzungen aufgetreten sind.
Die Zahlen verdeutlichen, dass trotz der Effizienzgewinne durch Outsourcing erhebliche Risiken bestehen, die finanzielle, betriebliche und rufschädigende Auswirkungen haben können. Ohne Maßnahmen zur Einhaltung der Vorschriften besteht sogar die Möglichkeit, dass diese Risiken rechtliche Folgen nach sich ziehen.
Drittanbieter-KI als Herausforderung für das Risikomanagement
Eine wichtige Herausforderung beim Umgang mit KI von Drittanbietern liegt darin, mögliche Cyberrisiken zu erkennen und zu reduzieren. Wenn Drittanbieter keine angemessenen Sicherheitsmaßnahmen ergreifen oder sich nicht an geltende Vorschriften halten, können Unternehmen erheblichen Gefahren ausgesetzt sein.
Daher sollten zunächst zwei entscheidende Fragen geklärt werden: Hat der Drittanbieter Zugang zur unternehmenseigenen Infrastruktur oder zu sensiblen Daten? Und ist das Unternehmen auf dessen Dienste angewiesen?
Alle Lösungen von Drittanbietern bergen potenzielle Risiken, einige davon sind jedoch für KI-Systeme besonders relevant. Es gibt zahlreiche Berichte über sogenannte "Halluzinationen" von KI-Systemen, die falsche oder irreführende Ergebnisse liefern. Ein weiteres Risiko ist die mangelnde Transparenz von KI-Systemen. Oft ist unklar, mit welchen Daten ein KI-System trainiert wurde oder wie sein Algorithmus funktioniert.
Diese Intransparenz kann von Angreifern ausgenutzt werden, beispielsweise durch sogenannte Data-Poisoning-Angriffe, bei denen der Trainingsdatensatz manipuliert wird, um die Ergebnisse zu beeinflussen. Im geschäftlichen Kontext können solche falschen Ergebnisse eines KI-Systems schwerwiegende Konsequenzen haben. Daher ist eine sorgfältige Auswahl von KI-Lösungen unumgänglich, insbesondere in Fällen, in denen die KI-Outputs nicht manuell überprüft werden können.
Allgemeine Risiken bei Drittanbieter-Lösungen
KI-spezifische Risiken kommen zu den üblichen Gefahren von Drittanbieter-Lösungen hinzu. So können Drittsoftwareprodukte unentdeckte Schwachstellen, versteckte Hintertüren oder bösartige Komponenten enthalten, die potenzielle Cyberangriffe erleichtern. Und auch die Hardware von Drittanbietern kann durch bösartige Firmware kompromittiert werden.
Potenzielle Gefahren im Zusammenhang mit Drittanbietern im Bereich der KI sind vielfältig. Zu den wichtigsten zählen Risiken für die Systemsicherheit, die Verletzung der Vertraulichkeit von Daten und Bedenken hinsichtlich der Qualität und Integrität von Daten und Modellen. Dies kann zu Verstößen gegen Vorschriften führen, beispielsweise gegen die Datenschutz-Grundverordnung (DSGVO), und damit den Ruf von Unternehmen schädigen.
Best Practices im Umgang mit KI-Drittanbietern
Einfache und bereits bewährte Standards und Maßnahmen können Unternehmen bei der Implementierung eines robusten Risikomanagements unterstützen. Der erste Schritt: Vor der Beauftragung eines Anbieters von KI-Lösungen ist eine umfassende Bewertung durchzuführen, um die Einhaltung von Sicherheits- und Compliance-Standards sowie den Ruf des Anbieters in Bezug auf Transparenz und KI-Fachwissen zu überprüfen.
Ebenso wichtig ist die Ausarbeitung detaillierter Verträge, in denen die Verantwortlichkeiten jeder Partei klar definiert sind. Dazu zählen etwa Sicherheitsmaßnahmen und Pläne für Sicherheitsvorfälle, Geschäftskontinuität und Datenmanagement. Die Verträge sollten so flexibel gestaltet werden, dass sie sich bei Bedarf an technologische und regulatorische Veränderungen anpassen.
Darüber hinaus sollte während des gesamten Lebenszyklus der KI-Lösung ein kontinuierliches Risikomanagement betrieben werden, insbesondere für "High Risk"-Lösungen. Dies umfasst die genaue Überwachung der Aktivitäten des Drittanbieters, die Anpassung an neu auftretende Risiken und die Ausarbeitung möglicher Maßnahmen zur Risikominderung.
Ebenso sollte auf eine enge Zusammenarbeit mit dem Lieferanten gesetzt werden. So lässt sich sicherstellen, dass die Managementmethoden des Drittanbieters den eigenen Erwartungen und Bedürfnissen entsprechen.
Nicht zuletzt sind Transparenz und umfassende Dokumentation zwischen Drittanbietern und Kunden unverzichtbar. Unternehmen sollten vom Drittanbieter einen vollständigen Überblick hinsichtlich der technischen Dokumentation, der verwendeten Daten, der Design- und Testprozesse sowie der implementierten Sicherheitsmaßnahmen verlangen. Alle relevanten Informationen sollten ordnungsgemäß dokumentiert werden, um ein effektives Risikomanagement zu gewährleisten.
Der Schlüssel zur sicheren KI-Nutzung
Die Umsetzung dieser Best Practices ermöglicht es Unternehmen, die mit KI-Lösungen von Drittanbietern verbundenen Risiken effektiver zu managen. Dadurch können sie die Integrität und Sicherheit ihrer eigenen Systeme und Daten aufrechterhalten und gleichzeitig die Vorteile von KI-Technologien nutzen. Ein derart sorgfältiges und kontinuierliches Risikomanagement ist eine zentrale Voraussetzung, um die Herausforderungen der Cybersicherheit im Zeitalter der künstlichen Intelligenz erfolgreich zu bewältigen.
Ein praktischer Leitfaden zur KI-Integration