Skip to main content
Join the Community
Join the Community Join the Community
Cybersicherheit

Vertrauen in KI schaffen: Wie neue Vorschriften Cybersecurity-Herausforderungen angehen

Ghazi Ben Amor
By
Ghazi Ben Amor
Ghazi Ben Amor VP, Corporate Development, Zama

More about Ghazi
QUICK SUMMARY

Angesichts zunehmender Cyber-Bedrohungen zielen die neuen KI-Vorschriften des Vereinigten Königreichs darauf ab, sensible Daten zu schützen. Dennoch sorgen sich Technologie-Führungskräfte weiterhin darüber, wie sie sich gegen ständig wandelnde Risiken wappnen. Erfahren Sie, wie Sie datenschutzfördernde Technologien (PETs) nutzen und anpassungsfähige Rahmenwerke aufbauen, um Ihre KI abzusichern und zugleich Innovationen voranzutreiben.

TABLE OF CONTENTS Wie gestaltet man anpassungsfähige und wirksame regulatorische Rahmenwerke Kollaborative Politikgestaltung
passion-post-future-proofing cybersecurity regulatory frameworks featured image

Im vergangenen Monat hat die britische Regierung neue regulatorische Fortschritte eingeführt, um die Cybersicherheit in KI-Modellen und Software zu verbessern. Diese Maßnahmen sind darauf ausgelegt, digitale Systeme gegen Hacking und Sabotage zu stärken und sollen das Vertrauen in den Einsatz von KI in verschiedensten Branchen fördern – ein Vertrauen, das dringend benötigt wird. 

Da die Kosten für Cyberkriminalität bereits bis 2028 auf voraussichtlich 13,82 Billionen US-Dollar ansteigen werden – und durch den Zugang der neuen Generation von Cyberkriminellen zu immer ausgefeilterer KI-Technologie womöglich noch stärker wachsen könnten – beginnt das Vertrauen in diese Technik verständlicherweise zu schwinden.

Auch wenn diese neuen Maßnahmen einen bedeutenden Fortschritt bei der Bewältigung aktueller Herausforderungen der Cybersicherheit darstellen, gibt es weiterhin Fragen und Bedenken hinsichtlich der künftigen Anpassungsfähigkeit und Wirksamkeit von regulatorischen Rahmenbedingungen – insbesondere in der Entwickler-Community

Want more from The CTO Club?

Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.

Have an account? Log In

This field is for validation purposes and should be left unchanged.
Name*

In einer aktuellen Umfrage unter Entwicklern sowohl aus Großbritannien als auch den USA gaben insgesamt 72 % an, dass bestehende Vorschriften zum Schutz der Privatsphäre nicht zukunftsfähig seien; 56 % glauben zudem, dass dynamische regulatorische Strukturen – die eigentlich für technologische Entwicklungen flexibel gestaltet werden sollen – sogar ein reales Risiko darstellen könnten. Besonders alarmierend ist das Sicherheitsrisiko im Zusammenhang mit KI-Systemen, die für ihr Training riesige Datensätze benötigen, die häufig sensible persönliche Informationen enthalten.

Vor diesem Hintergrund könnten sich durch veränderte oder inkonsistente Vorschriften Schwachstellen oder Lücken im Schutz dieser sensiblen Daten ergeben, was das Risiko von Datenlecks oder Missbrauch erhöht.

Mit dem Wandel der Vorschriften wird es immer schwieriger, die Sicherheit und Vertraulichkeit der für das KI-Training verwendeten personenbezogenen Daten zu gewährleisten. Dies könnte schwerwiegende Folgen für sowohl Einzelpersonen als auch Organisationen haben.

Die gleiche Umfrage ergab zudem, dass 30 % der Entwickler der Meinung sind, dass viele Regulierungsbehörden nicht über die erforderlichen Fähigkeiten verfügen, um die Technologie, die sie regulieren sollen, in vollem Umfang zu verstehen.

Wie man anpassungsfähige und effektive regulatorische Rahmenbedingungen gestaltet

Angesichts von Kompetenz- und Wissenslücken sowie der rasanten Entwicklung von KI und Bedrohungen der Cybersicherheit stellt sich die Frage: Worauf sollten Regulierungsbehörden achten, wenn sie Rahmenbedingungen schaffen, die sowohl flexibel als auch wirksam sind?

Meiner Ansicht nach sollten Regulierungsbehörden zunächst sämtliche Optionen in Bezug auf mögliche Privacy-Enhancing Technologies (PETs) kennen. Während einige PETs bereits genutzt werden, um das Risiko von Datenschutzverletzungen zu minimieren, entwickeln sich andere gerade weiter und bieten enormes Potenzial, was die Sicherung sensibler Daten und den Schutz der Privatsphäre betrifft. Die jeweiligen Vorteile wie auch die Einschränkungen zu kennen, ermöglicht eine flexible Nutzung, statt zu versuchen, alles mit einer einzigen Richtlinie abzudecken, zum Beispiel:

  • Authentifizierungstechnologien: Multi-Faktor-Authentifizierung (MFA) – von Entwicklern häufig in Authentifizierungssysteme integriert, um eine zusätzliche Sicherheitsebene zu schaffen – wird in Anwendungen von Online-Banking bis hin zu Unternehmenssoftware eingesetzt. Biometrische Authentifizierung ist eine weitere fortschrittliche und sichere Methode, die heute bereits genutzt wird und dabei auf einzigartige physische Merkmale wie Fingerabdrücke oder Gesichtserkennung setzt. Mit Blick auf die Zukunft bieten föderierte Identitätsmechanismen wie FIDO (Fast Identity Online) oder OpenID Connect großes Potenzial. Sie verbessern nicht nur die Sicherheit, sondern vereinfachen auch Authentifizierungsprozesse über verschiedene Plattformen hinweg und sorgen für einen einheitlichen und sicheren Ansatz im Identitätsmanagement.
  • Ende-zu-Ende-Verschlüsselung (E2EE): Diese Technologie bietet starken Schutz, indem Daten vom Absender bis zum Empfänger verschlüsselt werden und so auch Dienstanbieter keinen Zugriff erhalten. Die Implementierung von E2EE kann jedoch komplex und ressourcenintensiv sein und erfordert oft erhebliche Rechenleistung sowie eine ausgefeilte Schlüsselverwaltung. Da E2EE auch den Dienstanbietern den Zugriff auf die Daten verwehrt, erschwert sie deren Fähigkeit, bei Datenwiederherstellung zu helfen oder rechtliche Auskunftspflichten zu erfüllen – was bei strafrechtlichen Ermittlungen oder der Datenrettung problematisch sein kann.
  • Vollständig homomorphe Verschlüsselung (FHE): Auch wenn FHE noch als relativ unausgereift gilt, wurden in den vergangenen Jahren erhebliche Fortschritte erzielt. Diese Verschlüsselungsart ermöglicht Datenverarbeitung, ohne dass Daten entschlüsselt werden müssen – eine optimale Verbindung zwischen KI und Datensicherheit, da Organisationen so die Technologie nutzen können, ohne die Privatsphäre der Nutzer zu beeinträchtigen. Beispielsweise können Banken mithilfe von FHE KI-Modelle zur Betrugserkennung vertraulich trainieren, ohne personenbezogene Daten offenzulegen, und Gesundheitsdienstleister können prädiktive Diagnostik durchführen, ohne sensible Patienteninformationen preiszugeben.
  • Multi-Party Computation (MPC): Diese Technologie ergänzt FHE, indem sie Endnutzern die Möglichkeit gibt, verschlüsselte Daten zu entschlüsseln, nachdem überprüft wurde, dass sie berechtigt sind, auf diese Daten zuzugreifen. MPC ermöglicht es, dass ein Quorum bestimmter Parteien ein kollaboratives Protokoll ausführt, um einen Konsens bezüglich der Zugriffskontrolle zu erzielen, bevor die Daten vom öffentlichen Verschlüsselungsschlüssel des Protokolls auf den öffentlichen Verschlüsselungsschlüssel des Endnutzers umverschlüsselt werden. Dadurch erhält der Endnutzer Zugriff auf die Klartextdaten. Jede Partei in diesem Quorum besitzt nur einen Teil des privaten Entschlüsselungsschlüssels des Protokolls und ist so nicht in der Lage, selbstständig Daten zu entschlüsseln. Zudem werden die Klartextdaten niemals jemand anderem als dem Endnutzer selbst zugänglich gemacht. 

Kollaborative Politikgestaltung

Sobald Regulierungsbehörden ein gutes und aktuelles Verständnis von PETs – von denen es noch viele weitere gibt – haben, besteht der nächste Schritt darin, sicherzustellen, dass Vorschriften den technologischen Fortschritt nicht behindern und gleichzeitig Cyberbedrohungen abwehren.

Um differenzierte und wirkungsvolle Datenschutzrichtlinien zu entwickeln, die mit dem technologischen Fortschritt Schritt halten, ist es entscheidend, sich daran zu erinnern, dass diese nicht isoliert agieren. Es wird nicht erwartet, dass sie die einzige verantwortliche Instanz sind. Stattdessen sollten politische Entscheidungsträger Hand in Hand mit den Technologieentwicklern arbeiten – diese wiederum sollten ihre Technologien im Hinblick auf bestehende Rahmenbedingungen entwickeln, anstatt zu erwarten, dass sich neue Regelungen anpassen.

Auch die kontinuierliche Weiterbildung innerhalb der Organisation ist unerlässlich, ebenso wie die Ermöglichung der Teilnahme von Mitarbeitenden an Branchenveranstaltungen und Konferenzen, um mit den neuesten Entwicklungen Schritt zu halten und sich mit Experten auszutauschen. Wo möglich, sollten wir mit der Industrie zusammenarbeiten, zum Beispiel indem wir Vertreter von Technologieunternehmen einladen, interne Seminare oder Demonstrationen zu halten.

Ich bin fest davon überzeugt, dass all dies berücksichtigt werden sollte, wenn wir zunehmend komplexe Systeme wie KI, IoT und fortschrittliche Datenanalytik in unseren Alltag integrieren und das Potenzial für Cyberangriffe wächst.

Wenn wir Vorschriften zukunftssicher gestalten, stellen wir sicher, dass wir Cyberkriminellen nicht ständig hinterherlaufen, sondern unsere digitale Infrastruktur proaktiv schützen. Mit einem dynamischen und anpassungsfähigen Regulierungsrahmen können wir sensible Daten besser schützen, die Privatsphäre der Nutzer wahren und das Vertrauen der Öffentlichkeit in digitale Technologien erhalten.

Abonnieren Sie unseren Newsletter für aktuelle Einblicke, Trends und Strategien, um Ihre Technologie zu schützen und Innovationen voranzutreiben.

You may also like