Veritas Leitfaden für CISOs: Sicherheit und Datenschutz beim Einsatz von Predictive-Text-Technologien

Bei GPT-Modellen analysiert die Textvorhersage den Kontext einer bestimmten Eingabe und generiert eine Folge von Wörtern oder Text basierend auf Mustern, die aus umfangreichen Trainingsdaten erlernt wurden. „Für Unternehmen bedeuten die neuen Technologien, dass sie noch agiler, flexibler und effizienter agieren können“, erklärt Ralf Baumann, Country Manager bei Veritas Technologies. „Dabei dürfen Unternehmen aber nicht die Sicherheit und den Datenschutz vergessen.“ Die folgenden fünf Punkte hinterfragen häufig anzutreffende Annahmen und liefern Anwendern einen praktikablen Leitfaden.

1. GPT kann die Integrität des Datenschutzes durch das Training mit sensiblen Informationen gefährden
   GPT-Modelle werden mithilfe großer Datensätze trainiert, die öffentlich verfügbare Texte aus dem Internet einschließen. Die Modelle selbst speichern jedoch keine spezifischen Details der Trainingsdaten. Die Organisation trägt die Verantwortung dafür, angemessene Maßnahmen zur Anonymisierung von Daten und zum Schutz der Privatsphäre während des Trainings und der Bereitstellung von GPT-Modellen zu gewährleisten. 
    
2. GPT birgt erhebliche Sicherheitsrisiken und kann leicht von Cyberkriminellen ausgenutzt werden
   Zwar können GPT-basierte Modelle für böswillige Zwecke wie Phishing-E-Mails oder automatisierte Cyberangriffe missbraucht werden, doch lassen sich die Risiken durch geeignete Sicherheitsmaßnahmen und -kontrollen minimieren. CISOs können Strategien wie Datenbereinigung, Zugangskontrollen und kontinuierliche Überwachung implementieren, um Sicherheitsrisiken zu reduzieren.

3. Predictive-Text-Modelle speichern Nutzerdaten unbegrenzt
   Die Modelle speichern in der Regel keine spezifischen Benutzerdaten über den unmittelbaren Kontext der Antwortgenerierung hinaus. Stattdessen liegt der Fokus auf der Architektur und den Parametern des Modells. Entscheidend ist jedoch, dass die Datenschutzbeauftragten die Datenschutz- und Löschrichtlinien der eingesetzten spezifischen Modelle und Plattformen sorgfältig prüfen und validieren. Ziel muss es sein, sicherzustellen, dass die Datenschutzbestimmungen eingehalten und Best Practices berücksichtigt werden.

4. Predictive-Text-Modelle können sensible oder vertrauliche Informationen gefährden
   GPT-Modelle erzeugen Text auf der Grundlage von Mustern und Beispielen in den Trainingsdaten. Wenn diese Daten sensible oder vertrauliche Informationen enthalten, besteht die Gefahr, dass das Modell diese Informationen durch seine Ausgaben offenlegt. CISOs müssen die Trainingsdaten sorgfältig prüfen und geeignete Datenanonymisierungstechniken implementieren, um die Offenlegung sensibler Informationen zu verhindern.

5. Predictive-Text-Modelle sind ein potenzielles Ziel für Datenlecks
   Die Modelle selbst speichern in der Regel keine sensiblen Daten. CISOs sollten jedoch mögliche Schwachstellen in der Infrastruktur im Auge behalten, die die Modelle unterstützt. Dazu zählen zum Beispiel Speichersysteme oder APIs, die für die Inferenz verwendet werden. Empfehlenswert ist es, angemessene Sicherheitskontrollen wie Verschlüsselung, Netzwerksegmentierung und Intrusion Detection zu implementieren und dadurch zu verhindern, dass Daten aus der zugrunde liegenden Infrastruktur entwendet werden.

„Predictive-Text-Technologien haben großes Potenzial für die Art und Weise, wie wir arbeiten. Dennoch ist es wichtig, KI-basierte Technologien verantwortungsvoll einzusetzen. Die Einhaltung der Datenschutzgesetze muss dabei immer an erster Stelle stehen“, so Baumann.