Eine der Aufgaben, die ich als Geschäftsführer gerne nach wie vor selbst (mit-)übernehme, sind die sogenannten Security Awareness Schulungen. Dabei gehen wir in eine Firma oder Organisation und schulen die Mitarbeitenden dort zu Themen wie sicheren Passwörtern, Ransomware, Browser-Zertifikaten, E-Mail-Verschlüsselung und Social Engineering. Das ist immer eine besondere Herausforderung, denn letztendlich stehen diese Schulungen in der Beliebtheit in einer virtuellen Reihe mit Brandschutzschulungen, Erste-Hilfe-Kursen oder Datenschutzbelehrungen.
Jedoch, wenn man mal in das Thema einsteigt, ergeben sich die Fragen quasi von selbst und die Schulung wird unterhaltsam und lehrreich. Und somit auch wirksam.
Das ist zumindest auch die Rückmeldung, die wir bekommen: “Am Tag nach eurer Schulung kam eine Phishing-Mail, und die Kolleginnen und Kollegen haben alle super reagiert!”
Das ist natürlich schön.
Eine Bitkom Studie hat sich das einmal genauer angeschaut und zusammengefasst ¹. Der Artikel beschreibt, dass 8 von 10 Unternehmen in Deutschland ihre Beschäftigten in IT-Sicherheit schulen. Diese Schulungen sind ein wichtiger Bestandteil, um Angriffe wie Phishing und Schadsoftware zu verhindern. Unternehmen setzen vermehrt auf Sensibilisierung, da ein Großteil der Sicherheitsvorfälle durch menschliches Fehlverhalten verursacht wird. Die Bitkom-Studie zeigt, dass die Sensibilisierung der Mitarbeitenden ein zentraler Pfeiler im Sicherheitskonzept der Firmen ist. Gleichzeitig wird darauf hingewiesen, dass regelmäßige Schulungen und Aktualisierungen der Sicherheitsstandards notwendig sind.
Was ist nun aber mit Generativer KI? Diese Technologie ist in Unternehmen angekommen und Bestandteil des Arbeitsalltags geworden. Auch bei Ihnen. Ob Sie es wissen, oder nicht. Und das ist ein Problem.
Die Versuchung, sich die Arbeit mit ChatGPT oder Code-generierender KI deutlich zu erleichtern, ist groß und nachvollziehbar.
Unsere Empfehlung: Sprechen Sie mit Ihren Mitarbeitenden über KI-Tools, und darüber, wo man sie einsetzen kann, und wo nicht. Insbesondere auch darüber, welche Daten man auf gar keinen Fall einem KI-Modell anvertrauen sollte. Insbesondere, wenn es nicht lokal gehostet ist, sondern bei einem großen Anbieter, der vielleicht mit sensiblen Daten nicht ganz so fürsorglich umgeht.
Dazu kommt natürlich auch noch, dass KI-Systeme, genau wie Menschen, manipulierbar sind. Social Engineering ist auch für unsere künstlichen Gesprächspartner eine Bedrohung, und diese können bösartig werden, wenn jemand von außen entsprechende Anweisungen einschleust. Das konnten wir bereits letztes Jahr nachweisen² : Ein Angreifer kann KI manipulieren, damit sie Ihre Mitarbeitenden manipuliert. Diese und weitere Gefahren müssen deutlich kommuniziert werden.
Vielleicht ein etwas einfacheres Beispiel zum Schluss: Copilot weiß mehr, als uns lieb ist. Geben Sie doch einfach mal “api_key” zusammen mit dem Namen eines Dienstes ein, auf den Sie Zugriff haben möchten. Die Chancen sind gut, dass eine brauchbare Antwort kommt. Das klingt vielleicht zunächst lustig, aber nur so lange es um einen Schlüssel geht, den man nicht selbst bezahlt.
Kurz: Bitte reden Sie mit Ihrem Team über diese Themen. Wenn Sie Hilfe brauchen, sprechen Sie uns gerne an.
CHRISTOPH ENDRES
Geschäftsführer
sequire technology
Das könnte Sie auch interessieren