:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
NIST AI Risk Management Framework (AI RMF) KI-Systeme müssen vertrauenswürdiger werden
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Das NIST AI Framework hat zum Ziel, Unternehmen und Behörden, die KI-Systeme nutzen, ein freiwilliges Konzept an die Hand geben, um mögliche Risiken, die sich aus dem Einsatz von KI-Systemen ergeben, wesentlich zu reduzieren. Damit soll letztlich eine verantwortungsvolle Nutzung der KI sichergestellt werden.
Die rasanten Fortschritte der Technologien rund um die künstliche Intelligenz (KI) bergen sowohl enorme Chancen als auch erhebliche Risiken. Für eine effektive Bewältigung dieser Risiken, hat das National Institute of Standards and Technology (NIST) mit dem NIST AI Risk Management Framework (AI RMF) eine Rahmenstruktur erstellt, um Organisationen beim Management von KI-Risiken zu unterstützen. In einem kurzen Video erklärt das NIST die wichtigsten Punkte.
Struktur des NIST-Frameworks
Das NIST AI Risk Management Framework besteht aus einer Reihe von Richtlinien, Best Practices sowie einem strukturierten Ansatz zur Identifizierung, Bewertung und Minderung von Risiken während des gesamten Lebenszyklus eines KI-Systems.
Das Framework ist in zwei große Bereiche unterteilt. Teil 1 enthält grundlegende Informationen zu KI-Risiken und –Herausforderungen. Wogegen sich Teil 2 mit den Map-, Measure-, Manage- und Govern-Funktionen (Kernfunktionen) als Anleitungen zur Bewältigung von KI-Bedrohungen befasst.
Kategorien von KI-Schäden
Das AI RMF legt drei übergreifende Schadenskategorien fest, die von den KI-Anwendern berücksichtigt werden sollen:
- Schädigung eines Menschen: Gewährleistung des Schutzes der individuellen Freiheiten, der physischen und psychischen Sicherheit sowie der Chancengleichheit bei gleichzeitiger Wahrung demokratischer Anforderungen.
- Schädigung einer Organisation: Schutz vor Störungen des Geschäftsbetriebs, potenziellen Sicherheitsrisiken im Zusammenhang mit Verstößen und Reputationsschäden.
- Schädigung eines Ökosystems: Verhinderung von Störungen in globalen Finanz- oder Lieferkettensystemen und Minimierung von Schäden an Umwelt und natürlichen Ressourcen.
Vertrauenswürdige KI-Systeme
Zur Vermeidung der genannten Schäden zielt das NIST AI RMF darauf ab, die Fähigkeit der Entwickler zu verbessern sowie Überlegungen der Vertrauenswürdigkeit in das Design, die Entwicklung, die Verwendung und die Bewertung von KI-Produkten, -Diensten und -Systemen anzustellen. Hierzu skizziert das Framework für vertrauenswürdige KI-Systeme folgende Merkmale:
- Sicher: Priorisierung der Sicherheit der User und Verhinderung von Schäden.
- Belastbar: Schutz vor böswilligen Angriffen und Aufbau einer Widerstandfähigkeit gegenüber Herausforderungen.
- Valide: Genaue und zuverlässige Ergebnisse.
- Transparent: KI-Systeme sollten für Entscheidungen transparent und rechenschaftspflichtig sein.
- Erklärbar: Verständlichkeit und Interpretierbarkeit.
- Daten schützend: KI-Systeme sollten die Privatsphäre der User respektieren und personenbezogene Daten schützen.
Herausforderungen bei der Risikomessung
Undefinierte oder schlecht erfasste KI-Risiken bzw. -Ausfälle lassen sich weder statistisch noch subjektiv quantifizieren. Die Unfähigkeit, die von KI-Systemen ausgehenden Risiken genau einzuschätzen, bedeutet nicht immer, dass diese Risiken entweder hoch oder niedrig sind.
Kernfunktionen des Frameworks
Um KI-Systeme hoher Qualität zu etablieren, empfehlen sich regelmäßige Bewertungen der Effektivität des KI-Risikomanagements. Dadurch lassen sich die Risikomanagement- und Minderungsstrategien für die KI kontinuierlich verbessern. Der Kern des Frameworks unterteilt diese Aktivitäten in vier verschiedene miteinander verbundene Funktionen. Wobei während des gesamten Lebenszyklus eines KI-Systems spezifische Aktionen empfohlen werden.
MAP-Funktion
Trotz ihrer gegenseitigen Abhängigkeit haben miteinander kooperierende KI-Anwender oft keinen Einblick in die jeweiligen anderen Teile bzw. keine Kontrolle über sie. Dies erschwert es, gemeinsame Auswirkungen beim Risikomanagement zuverlässig vorherzusagen.
Als erste Funktion im Lebenszyklus verlangt die MAP-Funktion, dass die KI-Anwender unterschiedliche Perspektiven einholen. Dazu gehören interne Teams, externe Mitarbeiter, End-User und alle anderen, die möglicherweise davon betroffen sind, um etwaige KI-Risiken vollständiger einschätzen zu können.
MEASURE-Funktion
Sobald die KI-Anwender über das durch die MAP-Funktion erworbene umfassende Verständnis verfügen, fordert die MEASURE-Funktion dazu auf, KI-Systeme sowohl vor der Bereitstellung als auch regelmäßig während des Betriebs zu testen, um ein Verständnis ihrer Funktionalität und Vertrauenswürdigkeit zu aktualisieren.
Durch die konsequente Analyse, Bewertung, Überwachung und das Benchmarking von KI-Risiken und -Auswirkungen mithilfe verschiedener Tools können Anwender diese besser administrieren und so auch die IT-Security optimieren.
MANAGE-Funktion
Mit einem umfassenden Verständnis von KI-Systemen sowie regelmäßigen Neubewertungen sind die Anwender wesentlich besser in der Lage, KI-Systeme im Hinblick auf ihre Risiken optimal zu verwalten. Dazu gehört auch die Zuweisung geeigneter Ressourcen, um den Nutzen der KI zu maximieren und gleichzeitig negative Auswirkungen zu minimieren.
GOVERN-Funktion
Diese übergreifende Funktion stellt Richtlinien für die Implementierung von Strukturen, Systemen, Prozessen und Teams bereit. Dazu zählen im Wesentlichen:
- Etablierung einer starken Risiko-Managementkultur.
- Entwicklung von Richtlinien und Verfahren.
- Integration von Feedback-Mechanismen für eine effektive Risikoerkennung und -minderung.
Für alle diese vier Funktionen enthält das sogenannte NIST AI RMF Playbook weitere Informationskategorien und spezifische Maßnahmen für die jeweilige Implementierung.
Fazit
Das AI Risk Management Framework (AI RMF) bietet einen strukturierten Ansatz zur Identifizierung, Bewertung und Minderung der mit KI-Systemen verbundenen Risiken. Es ermöglicht den Organisationen, sich in der komplizierten Welt der KI-Technologie zurechtzufinden und gleichzeitig eine ethische KI-Einführung zu gewährleisten, vor potenziellen Schäden zu schützen, Rechenschaftspflicht und Transparenz bei der KI-Implementierung zu fördern und die Rechte des Einzelnen zu schützen.
Das Framework ist für den freiwilligen Einsatz gedacht und bietet einen umfassenden Fahrplan für einen verantwortungsvollen Umgang mit KI-Risiken.
(ID:50016728)
:quality(80)/p7i.vogel.de/wcms/5a/71/5a716a7070211d6e2a118810d8da22ce/0112115029.jpeg "Das NIST Cybersecurity Framework ist ein ganzheitlicher Cybersecurity-Ansatz mit Anleitungen und Best Practices für ein verbessertes Risikomanagement.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8f/58/8f588138eccc088592c113be7b748095/0114780503.jpeg "Die Autoren Fabian Mihailowitsch und Stephan Rogalski von Deloitte betrachten die Ursachen und Auswirkungen von Cyberangriffen auf Lieferanten- und Abnehmernetzwerke. (Bild: metamorworks - stock.adobe.com)")