Predictive-Text-Technologien: Veritas gibt CISOs Tipps zu Sicherheit und Datenschutz

Veritas-Stellungnahme soll mit fünf gängigen Missverständnissen aufräumen

[datensicherheit.de, 11.10.2023] Weltweit sind offensichtlich sogenannte Generative Pre-trained Transformers (GPT) und Künstliche Intelligenz (KI) auf dem Vormarsch und werden derzeit intensiv diskutiert. Sie haben das Potenzial, die Art und Weise, wie Menschen kommunizieren und wie Unternehmen arbeiten, dauerhaft zu verändern. Veritas kritisiert in einer aktuellen Stellungnahme indes: „Allerdings kursieren im Zusammenhang mit GPT-Modellen immer wieder falsche Vorstellungen über Sicherheit und Datenschutz.“ In dieser vorliegenden Stellungnahme soll mit fünf gängigen Missverständnissen aufgeräumt werden – zudem gebe es Tipps, um KI-Technologie datenschutzkonform einzusetzen. „Predictive-Text-Technologien haben großes Potenzial für die Art und Weise, wie wir arbeiten. Dennoch ist es wichtig, KI-basierte Technologien verantwortungsvoll einzusetzen. Die Einhaltung der Datenschutzgesetze muss dabei immer an erster Stelle stehen“, betont Ralf Baumann, „Country Manager“ bei Veritas Technologies.

Foto: Veritas Technologies

Ralf Baumann: Im Zusammenhang mit GPT-Modellen immer wieder falsche Vorstellungen über Sicherheit und Datenschutz

Veritas rät Unternehmen, Sicherheit und Datenschutz nicht zu vergessen

Bei GPT-Modellen analysiere die Textvorhersage den Kontext einer bestimmten Eingabe und generiere eine Folge von Wörtern oder Text basierend auf aus umfangreichen Trainingsdaten erlernten Mustern. „Für Unternehmen bedeuten die neuen Technologien, dass sie noch agiler, flexibler und effizienter agieren können“, so Ralf Baumann, „Country Manager“ bei Veritas Technologies, gibt aber zu bedenken:

„Dabei dürfen Unternehmen aber nicht die Sicherheit und den Datenschutz vergessen.“ Die folgenden fünf Punkte sollen demnach häufig anzutreffende Annahmen hinterfragen und Anwendern einen praktikablen Leitfaden liefern.

1. Veritas-Klarstellung zur Annahme, dass GPT die Integrität des Datenschutzes durch das Training mit sensiblen Informationen gefährden kann

„GPT-Modelle werden mithilfe großer Datensätze trainiert, die öffentlich verfügbare Texte aus dem Internet einschließen.“ Die Modelle selbst speicherten jedoch keine spezifischen Details der Trainingsdaten.

Die Organisation trage die Verantwortung dafür, angemessene Maßnahmen zur Anonymisierung von Daten und zum Schutz der Privatsphäre während des Trainings und der Bereitstellung von GPT-Modellen zu gewährleisten.

2. Veritas-Klarstellung zur Annahme, dass GPT erhebliche Sicherheitsrisiken birgt und leicht von Cyber-Kriminellen ausgenutzt werden kann

Zwar könnten GPT-basierte Modelle für böswillige Zwecke wie Phishing-E-Mails oder automatisierte Cyber-Angriffe missbraucht werden, doch ließen sich die Risiken durch geeignete Sicherheitsmaßnahmen und -kontrollen minimieren.

„CISOs“ könnten Strategien wie Datenbereinigung, Zugangskontrollen und kontinuierliche Überwachung implementieren, um Sicherheitsrisiken zu reduzieren.

3. Veritas-Klarstellung zur Annahme, dass Predictive-Text-Modelle Nutzerdaten unbegrenzt speichern können

Die Modelle speicherten in der Regel keine spezifischen Benutzerdaten über den unmittelbaren Kontext der Antwortgenerierung hinaus. Stattdessen liege der Fokus auf der Architektur und den Parametern des Modells.

Entscheidend sei jedoch, „dass die Datenschutzbeauftragten die Datenschutz- und Löschrichtlinien der eingesetzten spezifischen Modelle und Plattformen sorgfältig prüfen und validieren“. Ziel müsse es sein, sicherzustellen, „dass die Datenschutzbestimmungen eingehalten und ,Best Practices’ berücksichtigt werden“.

4. Veritas-Klarstellung zur Annahme, dass Predictive-Text-Modelle sensible oder vertrauliche Informationen gefährden können

GPT-Modelle erzeugten Text auf der Grundlage von Mustern und Beispielen in den Trainingsdaten. „Wenn diese Daten sensible oder vertrauliche Informationen enthalten, besteht die Gefahr, dass das Modell diese Informationen durch seine Ausgaben offenlegt.“

„CISOs“ müssten die Trainingsdaten sorgfältig prüfen und geeignete Daten-Anonymisierungstechniken implementieren, um die Offenlegung sensibler Informationen zu verhindern.

5. Veritas-Klarstellung zur Annahme, dass Predictive-Text-Modelle ein potenzielles Ziel für Datenlecks sind

Die Modelle selbst speicherten in der Regel keine sensiblen Daten. „CISOs“ sollten jedoch mögliche Schwachstellen in jener Infrastruktur im Auge behalten, welche die Modelle unterstützt. Dazu zählten zum Beispiel Speichersysteme oder APIs (application programming interfaces), die für die Inferenz (Schlussfolgerung) verwendet werden.

Empfehlenswert sei es, angemessene Sicherheitskontrollen wie Verschlüsselung, Netzwerksegmentierung und „Intrusion Detection“ zu implementieren und dadurch zu verhindern, dass Daten aus der zugrundeliegenden Infrastruktur entwendet werden.