KI in der Cybersicherheit: Umgang mit der DSGVO, Datenschutzvorschriften und Risikomanagement

Einführung

Der Einsatz künstlicher Intelligenz (KI) in der Cybersicherheit birgt einzigartiges Potenzial, wenn es um die Effizienz von Lösungen, Automatisierung und vieles mehr geht. Allerdings gilt auch hier, dass mit großer Macht große Verantwortung einhergeht: Wenn Unternehmen KI einsetzen, müssen sie sich sowohl mit den Auswirkungen auf die Compliance als auch mit den damit verbundenen ethischen Fragen auseinandersetzen. Insbesondere die Einhaltung von Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO) bei der Nutzung KI-gestützter Cybersicherheitstools ist ein hochkomplexes und gleichzeitig äußerst wichtiges Thema. Infolgedessen sind Unternehmen auf der Suche nach Möglichkeiten, KI für die Cybersicherheit zu nutzen, ohne die Konformität mit den geltenden Vorschriften zu gefährden.

Die Schnittstelle zwischen KI und Cybersicherheit

Künstliche Intelligenz und Algorithmen des maschinellen Lernens haben das Potenzial, die Cybersicherheit jedes Unternehmens zu transformieren. Denn KI kann praktisch jeden Aspekt der Sicherheitsmaßnahmen eines Unternehmens verbessern, einschließlich den Schutz vor Bedrohungen und den Datenschutz.

In Bezug auf Cyberbedrohungen liegt ein klarer Vorteil von KI-basierten Tools in der Möglichkeit einer granularen Bedrohungserkennung in Echtzeit.. Im Gegensatz zu menschlichen Analysten kann KI eine Vielzahl von Daten gleichzeitig verarbeiten. Diese Funktion unterstützt User and Entity Behavioral Analytics (UEBA), um auffälliges User-Verhalten zu erkennen. Zudem ermöglicht KI-gestütztes Cloud-Sandboxing die proaktive Erkennung von Dateien, die mit hoher Wahrscheinlichkeit als schädlich einzustufen sind. Dadurch lassen sich potenzielle Risiken erkennen, bevor Angreifer sich im Netzwerk einnisten können. 

Zu den weiteren KI-Innovationen im Bereich Schutz vor Bedrohungen gehören die automatisierte Bedrohungssuche sowie Maßnahmen zur Abwehr von Phishing, die Natural Language Processing (NLP) nutzen, um schädliche E-Mails zu analysieren und sprachliche Anomalien zu erkennen. All dies minimiert nicht nur das Cyberrisiko, sondern verringert auch die Anzahl von Fehlalarmen, sodass sich die Cybersicherheitsbeauftragten auf die Abwehr echter Bedrohungen konzentrieren können.

Mithilfe von KI/ML können führende Lösungen vertrauliche Daten effektiver und effizienter schützen. Beispielsweise kann die KI-gestützte Datenermittlung das IT-Ökosystem einer Organisation (Geräte, Clouds, Apps, User-Sitzungen usw.) scannen, alle gefundenen Daten automatisch klassifizieren und Reports für Administratoren darüber erstellen, welche Daten sich an welchen Speicherorten befinden. Dies geschieht, ohne dass Administratoren DLP- Wörterbücher, -Engines oder -Richtlinien konfigurieren müssen. Mit anderen Worten: KI ermöglicht es Unternehmen, vertrauliche Daten überall zu erkennen und gleichzeitig den Zeit- und Kostenaufwand für die Verwaltung zu minimieren. 

Eins steht fest: KI verändert die Cybersicherheit grundlegend.

Die DSGVO und datenschutzrechtliche Herausforderungen im Überblick

Trotz der unzähligen Vorteile führt der Einsatz von KI in der Cybersicherheit zu Konflikten mit Datenschutzvorschriften, insbesondere der europäischen DSGVO. Die DSGVO dient in erster Linie dem Schutz personenbezogener Daten und regelt den Umgang von Unternehmen mit Daten. KI und ML verwenden große Mengen an Trainingsdaten, bei denen es sich im Regelfall zumindest teilweise um vertrauliche oder personenbezogenen Daten handelt. Dies kann Sicherheitsverstöße begünstigen (bzw. selbst einen Sicherheitsverstoß darstellen), die zu behördlichen Sanktionen, Reputationsschäden und Kundenabwanderung führen.

Darüber hinaus entstehen Compliance-Hürden durch die Erfassung der Daten, die für ein effektives Training von KI-Modellen erforderlich sind (ganz zu schweigen von den Daten, die Inline-Sicherheitslösungen im Rahmen ihres regulären Betriebs erfassen). Die DSGVO sieht nämlich auch vor, dass Unternehmen, die Daten von Privatpersonen zu einem bestimmten Zweck erfassen wollen, dafür deren ausdrückliche Einwilligung einholen müssen. Darüber hinaus gelten strenge Auflagen für den Datenschutz sowie für die Speicherung und Löschung der Daten. 

Außerdem erschwert das für viele KI-Modelle charakteristische „Blackbox“-Dilemma die Compliance zusätzlich. Die DSGVO legt einen Schwerpunkt auf Transparenz und Verantwortlichkeit, doch viele fortschrittliche KI-Algorithmen sind undurchsichtig, was es für Unternehmen schwierig macht, genau zu erklären, wie personenbezogene Daten verarbeitet und Entscheidungen getroffen werden. Ohne transparente Erklärbarkeit der KI-Verfahren wird der Nachweis ihrer Konformität zu einer mühsamen rechtlichen und technischen Aufgabe.

Aus all diesen Gründen müssen Unterehmen die Vorteile robuster KI-gestützter Schutzmaßnahmen sorgfältig gegen die strengen Anforderungen der DSGVO abwägen – andernfalls kann es zu schwerwiegenden Folgen kommen.

Empfehlungen zum Umgang mit der DSGVO, Datenschutzvorschriften und Risikomanagement mithilfe von KI

Um KI erfolgreich in die Cybersicherheit zu integrieren und gleichzeitig die Compliance aufrechtzuerhalten, ist ein strategischer Ansatz erforderlich, der auf den Grundsätzen des Datenschutzes, Transparenz, speziell entwickelten Sicherheitstools und unternehmensweiter Zusammenarbeit basiert.

Datenschutzorientierte KI-Lösungen

Da KI-basierte Sicherheitslösungen vertrauliche Daten verarbeiten, müssen Unternehmen bei der Auswahl ihrer Tools Anonymisierungs-, Pseudonymisierungs- und Verschlüsselungsfunktionen priorisieren. Durch die Verschleierung persönlicher Kennungen können Cybersicherheitsbeauftragte datenschutzrechtliche Verpflichtungen einhalten und gleichzeitig die analytische Leistungsfähigkeit der KI nutzen. Dieser Ansatz verringert die mit Datenpannen verbundenen Risiken erheblich und gewährleistet die Einhaltung der strengen Datenschutzgrundsätze der DSGVO.

Erklärbare KI-Systeme

Transparenz ist im Rahmen der DSGVO von entscheidender Bedeutung, weshalb erklärbare KI (XAI) unerlässlich ist. Unternehmen sollten KI-basierte Lösungen implementieren, deren Entscheidungen und Datenverarbeitungsmethoden klar formuliert und demonstriert werden können. Erklärbarkeit fördert nicht nur die Compliance mit gesetzlichen Vorschriften, sondern schafft auch Vertrauen bei Kunden und Stakeholdern, die einen verantwortungsvollen Umgang mit ihren personenbezogenen Daten erwarten.

Auf Compliance ausgelegte KI-Lösungen

Bei der Bewertung von KI-Cybersicherheitstools müssen Unternehmen Lösungen anwenden, die so konzipiert sind, dass sie Datenschutzvorschriften wie die DSGVO und den CCPA einhalten. Die DSGVO verpflichtet die für die Datenverarbeitung Verantwortlichen (die Organisationen), mit den Auftragsverarbeitern (den Sicherheitsanbietern) zusammenzuarbeiten und Dienste (die KI-gestützten Sicherheitslösungen) zu implementieren, die den Standards der DSGVO entsprechen. Wenn ein Auftragsverarbeiter oder seine Dienste gegen die DSGVO verstoßen, kann dies Konsequenzen für den für die Datenverarbeitung Verantwortlichen haben. 

Gleichzeitig empfiehlt es sich, Sicherheitslösungen mit sofort einsetzbaren Funktionen bereitzustellen, die den Unternehmen helfen, die Einhaltung der DSGVO zu gewährleisten. Zur Verhinderung von Datenverlusten sollten beispielsweise DLP-Lösungen (Data Loss Prevention) mit vorgefertigten Wörterbüchern verwendet werden, die DSGVO-regulierte Daten im gesamten IT-Ökosystem des Unternehmens erkennen können. Derartige Funktionen verbessert die Datenkontrollmöglichkeiten des Unternehmens und verringern gleichzeitig das Potenzial für menschliche Fehler, die bei der manuellen Konfiguration auftreten können. Ein zusätzlicher Vorteil besteht darin, dass diese Einbettung von Compliance-Faktoren in den operativen Kern der Cybersicherheit zudem dazu beiträgt, das Risikomanagement sowohl kurzfristig als auch langfristig zu vereinfachen.

Abteilungsübergreifende Zusammenarbeit

Zur Einhaltung der Datenschutzvorschriften und Bewältigung der mit KI verbundenen Risiken ist eine abteilungsübergreifende Zusammenarbeit erforderlich. Die Berücksichtigung der Perspektiven von Cybersicherheits-, Netzwerk-, Rechts- und Compliance-Beauftragten stellt eine fundierte Bewertung potenzieller Risiken und rechtlicher Komplikationen sowie die Erarbeitung umfassender Lösungen sicher. Durch eine solche Zusammenarbeit kann ein Unternehmen Probleme proaktiv vorhersehen und eindämmen, anstatt erst zu reagieren, wenn Compliance-Probleme oder Cyber-Verstöße auftreten.

Ausblick in die Zukunft: Weitere Entwicklung von KI und Datenschutzvorschriften

Mit dem technologischen Fortschritt werden sich auch Datenschutzvorschriften wie die DSGVO zweifellos weiterentwickeln und Einfluss auf die Datenschutzmaßnahmen der Unternehmen haben. Ebenso wird die Rolle der KI in der Cybersicherheit weiter zunehmen. Dies wird zwar neue Chancen eröffnen, aber auch zu neuen komplexen Herausforderungen führen. Daher müssen Unternehmen wachsam bleiben und ihre Richtlinien und Maßnahmen bedarfsgerecht anpassen, wenn sie mit gesetzlichen Neuerungen, der Weiterentwicklung von Technologien und aufkommenden Cyberbedrohungen Schritt halten wollen. Vor allem erfordert dies kontinuierliche Investitionen in Schulungen, Prozesse, proaktive aufsichtsrechtliche Überwachung und – ganz entscheidend – branchenführende Cybersicherheit.

Angesichts des dynamischen aufsichtsrechtlichen Umfelds wird die Umstellung auf Sicherheitsframeworks, die auf Zero Trust basieren, zunehmend unerlässlich. Eine Zero-Trust-Architektur basiert auf dem Prinzip der minimalen Rechtevergabe. Dieses Prinzip erfordert, dass nur ausdrücklich autorisierte Entitäten Zugriff auf IT-Ressourcen und Daten erhalten und dass ihnen nur der für ihre Arbeit erforderliche Mindestumfang an Zugriff für einen entsprechend befristeten Zeitraum gewährt wird. 

Bereitgestellt wird dieser Architektur über eine Plattform, die den Traffic über einen Proxy weiterleitet und als intelligente Schaltzentrale fungiert, die sichere Einzelverbindungen zwischen allen Entitäten und Ressourcen ermöglicht, ohne das Netzwerk auf andere auszuweiten (was  laterale Bewegung im Netzwerk ausschließt). Sie regelt den Zugriff unter Berücksichtigung einer Vielzahl kontextbezogener Faktoren und stellt so sicher, dass keine unnötigen Risiken bestehen. 

Konkret heißt das: Zero Trust prüft den gesamten Traffic, minimiert unnötige Berechtigungen, kontrolliert den Zugriff auf IT-Ressourcen, überwacht den Fluss vertraulicher Daten, setzt granulare Datensicherheitsrichtlinien in Echtzeit durch und stellt zahlreiche weitere Funktionen bereit, die nahtlos mit den Grundprinzipien der DSGVO vereinbar sind. Dadurch können Unternehmen ihre Daten überall zuverlässig schützen, KI-basierte Tools (sowohl für die Sicherheit als auch für andere Zwecke) nutzen und die DSGVO-Konformität gewährleisten. 

Zscaler: KI-gestützte Sicherheit und Compliance

Unsere Zero-Trust-Lösung erfüllt alle in diesem Blogbeitrag genannten Kriterien. Die Zero-Trust-Exchange stellt Ihnen die Funktionen bereit, die Sie für die Sicherheit, KI und die Compliance mit Vorschriften benötigen. Mit Zscaler profitieren Unternehmen von einer Reihe von Vorteilen:    

• Eine praxisbewährte Architektur, die vom ursprünglichen Vorreiter und ständigen Innovator im Bereich Zero Trust bereitgestellt wird und so eine systematische Reduzierung des Cyberrisikos ermöglicht.
• Zusammenarbeit mit einem vertrauenswürdigen Auftragsverarbeiter, dessen Plattform globalen Standards wie DSGVO, ISO 27001, FedRAMP, SOC 2 und weiteren Datenschutzstandards entspricht.
• Kontrolle über alle Datenflüsse (einschließlich KI-Systeme, die für die Verarbeitung großer Datenmengen ausgelegt sind), um Datenlecks zu verhindern.
• Beschleunigte Innovation, indem Sie Einblick in die Nutzung generativer KI-Apps und anderer KI-Tools durch Mitarbeiter gewinnen und granulare Richtlinien zur Zugriffskontrolle durchsetzen können.
• KI-gestützte Funktionen, die den Sicherheitsstatus weiter verbessern und gleichzeitig die Automatisierung und Produktivität steigern können.
• Abwehr komplexer KI-basierter Cyberangriffe durch eine umfassende Schutzsuite, die Bedrohungen in allen Phasen der Angriffskette erkennt und blockiert.
• Vollständige Einhaltung globaler Vorschriften wie die DSGVO, entsprechend geringes Risiko von Strafen, Reputationsschäden und anderen Konsequenzen.

Um mehr über Zero Trust zu erfahren, nehmen Sie am ersten Teil unserer Webinarreihe „Zero Trust – von der Theorie zur Praxis“ teil, die Ihnen als Leitfaden für die Umstellung auf Zero Trust dienen soll.

Um mehr darüber zu erfahren, wie wir Zero Trust und KI kombinieren, um aktuelle IT-Probleme zu lösen, laden Sie unser Whitepaper zum Thema herunter.