Erstellen einer sicheren Zero Trust-Grundlage für KI

KI verändert die Art und Weise, wie Unternehmen im Zeitalter der Hybrid- und Fernarbeit arbeiten und Innovationen schaffen. Sie bringt aber auch neue Herausforderungen und Risiken mit sich, insbesondere in Bezug auf Datensicherheit und Datenschutz. Wenn Unternehmen Neuerungen einführen und ihre Arbeitskräfte von überall aus unterstützen möchten, müssen sie auch in der Lage sein, ihre wertvollen Informationen zu schützen. Zero Trust ist ein Sicherheitsframework, das sich an den modernen Arbeitsplatz anpasst, um Arbeitskräfte und ihre Geräte besser zu schützen. Außerdem bietet es Schutz für KI-Technologien, die implementiert werden können, um die Sicherheit zu erhöhen.

Verwaltete Daten versorgen KI-Modelle, die auf großen Mengen von Informationen zum Lernen, Analysieren und Generieren von Erkenntnissen angewiesen sind. Diese Notwendigkeit geschützter Daten macht sie zu einer anfälligen Ressource, die vor unbefugtem Zugriff, Missbrauch und Diebstahl geschützt werden muss. Jede Sicherheitsverletzung – Endpunkt, Identität, App, Infrastruktur, Netzwerk – kann schwerwiegende Folgen für Unternehmen haben, z. B. Reputationsschaden, gesetzliche Haftung und Vertrauensverlust.

Durch die Einführung eines Zero Trust-Sicherheitsframeworks können Unternehmen ihren Zugriff schützen und ihren Arbeitskräften gleichzeitig die Tools bereitstellen, die sie für ihre Arbeit benötigen. Zero Trust folgt drei Grundprinzipien:

1.      Explizite Bestätigung. Zero Trust erfordert eine kontinuierliche Überprüfung der Identität und Berechtigungen, bevor der Zugriff auf Daten und Ressourcen gewährt wird.
2.      Anwenden des Prinzips der geringstmöglichen Zugriffsberechtigungen. Beschränken Sie den Benutzerzugriff mit risikobasierten adaptiven Richtlinien für Just-In-Time und Just-Enough-Access (JIT/JEA).
3.      Annahme einer Sicherheitsverletzung. Wenn etwas seltsam aussieht, minimieren Sie sofort jede potenzielle Bedrohung, indem Sie den Zugriff segmentieren. Verwenden Sie dann Analysen, um das Problem zu identifizieren und die Verteidigung zu stärken.

Zero Trust-Sicherheit stellt sicher, dass vertrauliche Informationen immer geschützt werden, unabhängig davon, wo sie gespeichert oder verarbeitet werden, oder wo darauf zugegriffen wird. Aus diesem Grund sind sie für die KI-Einführung von entscheidender Bedeutung. Da Organisationen vermehrt KI einsetzen, können sie durch ein Sicherheitsmodell, das ihre wertvollsten Ressourcen kontinuierlich schützt, Innovationen fördern und produktiver arbeiten.

Zusammen mit strengeren Sicherheitsmaßnahmen können Zero Trust-Prinzipien auf die KI-Implementierung angewendet werden:

Genaue, vollständige und konsistente Informationen sind wichtig, da sie die Qualität der KI-Ausgabe bestimmen. Wenn jemand App-Berechtigungen oder verwaltete Daten manipuliert oder sabotiert, werden sie beschädigt, was dazu führt, dass das KI-Tool ungenaue, unzuverlässige oder verzerrte Ergebnisse erzeugt. Zero Trust schützt die Datenintegrität, indem der nicht autorisierte Zugriff während des gesamten Identitätslebenszyklus blockiert wird.

Zugriffssteuerungen sind entscheidend, um eine nicht autorisierte und unangemessene Verwendung von KI und den Daten zu verhindern, die sie informieren. Eine Zero Trust-Strategie verstärkt diese Kontrollen, indem das Prinzip der geringstmöglichen Zugriffsberechtigungen durchgesetzt wird, das verhindert, dass Arbeitskräfte auf vertrauliche Daten, Apps, Endpunkte oder Identitäten zugreifen können, um KI potenziell für böswillige Zwecke zu verwenden.

Wie bei jeder modernen Technologie ist KI anfällig für Sicherheitsverletzungen und Cyberangriffe – insbesondere bei Remotegeräten. Sicherheitsbedrohungen können die Vertraulichkeit und Verfügbarkeit verwalteter Daten, Endpunkte und des Netzwerks gefährden, was sich erheblich auf den Datenschutz und die Sicherheit von Arbeitskräften und Kunden auswirken kann. Zero Trust erhöht die Sicherheit durch die Multi-Faktor-Authentifizierung und Synchronisierungsidentifikation auf jedem Gerät, das ihre Arbeitskräfte verwenden.

Zero Trust-Sicherheit ist kein bestimmtes Produkt oder Lösung. Es handelt sich um eine Reihe von Prinzipien, Methoden und Technologien, die zusammenarbeiten, um ein hohes Maß an Sicherheit zu erreichen, um jede App, jede Datenquelle, jeden Endpunkt, jede Infrastruktur und jede Art von Umgebung zu schützen, unabhängig davon, ob Ihre Organisation cloudbasiert, lokal oder hybrid ist.

Um eine starke Grundlage für Zero Trust zu schaffen und aufrechtzuerhalten, sollten Unternehmen diese wichtigen Sicherheitsfeatures und -funktionen berücksichtigen:

Das erste Prinzip der Zero Trust-Sicherheit erfordert eine explizite Überprüfung aller Identitäten und Geräte, bevor der Zugriff gewährt wird. Die Vertrauensstellung wird nie angenommen oder dauerhaft gewährt, wodurch sie dynamisch und kontextbezogen wird, was bedeutet, dass sie sich je nach Situation, Standort, Uhrzeit oder Gerät ändern kann.

Mit dem Prinzip der geringstmöglichen Zugriffsberechtigungen wird nur die mindeste Zugriffsebene gewährt, die für eine bestimmte Aufgabe oder Rolle erforderlich ist. Dieses Prinzip trägt dazu bei, die Angriffsfläche und potenziellen Schaden einer Sicherheitsverletzung zu reduzieren, indem die Offenlegung von Daten, Infrastruktur, Netzwerkressourcen, Apps oder Endpunkten auf die Personen beschränkt wird, die sie benötigen. Außerdem wird die Trennung von Aufgaben und Informationen nach Bedarf erzwungen, wodurch bestimmte Arbeitskräfte am Zugriff auf streng vertrauliche Informationen gehindert werden.

Zero Trust-Sicherheit unterteilt Netzwerke und die Infrastruktur basierend auf der Vertraulichkeit von Daten, Apps, Rollen und Geschäftsfunktionen in kleinere Zonen oder Segmente. Diese Maßnahme isoliert und schützt alles vor nicht autorisiertem oder böswilligem Zugriff und schränkt die Verbreitung einer Sicherheitsverletzung ein, indem die Bewegung und Kommunikation zwischen Segmenten eingeschränkt wird. Die Mikrosegmentierung trägt auch zur Verbesserung der Netzwerkleistung und -sichtbarkeit bei, da sie Überlastungen reduziert und eine umfassendere Überwachung und Kontrolle ermöglicht.

Mit dieser Funktion können Sicherheitsteams das Netzwerk und die Infrastruktur auf Anomalien oder verdächtige Verhaltensweisen überwachen und umgehende Maßnahmen ergreifen, um Risiken zu isolieren oder zu mindern. Die Bedrohungserkennung und -reaktion in Echtzeit reduziert die Auswirkungen einer Sicherheitsverletzung, während gleichzeitig die Grundursache identifiziert und behoben wird. Außerdem trägt sie durch handlungsrelevantes Feedback zur Verbesserung des Sicherheitsstatus der Organisation bei, das eine kontinuierliche Anpassung und Resilienz fördert.

Das Erstellen einer sicheren Grundlage in Zero Trust ist kein einmaliges Projekt, sondern ein kontinuierliches Unterfangen, das eine strategische Vision, einen ganzheitlichen Ansatz und einen kulturellen Wandel erfordert.

Diese Schritte bieten Organisationen einen umfassenden Fahrplan, um zu bewerten, wo sie sich derzeit befinden, was sie erreichen möchten und wie sie ihre Sicherheitsziele erreichen können:

Der erste Schritt besteht darin, Ihre vorhandenen Sicherheitsmaßnahmen auszuwerten, Stärken und Schwächen zu identifizieren und Lücken und potenzielle Risiken zu ermitteln. Eine Überprüfung hilft Ihnen, Ihren aktuellen Sicherheitsstatus zu verstehen und Ihre Aktionen zu priorisieren, um Ressourcen entsprechend zuzuordnen.

Identifizieren Sie jegliche Endpunkte, Apps, Infrastruktur, Netzwerke, Daten und Ressourcen für Ihre Geschäftsvorgänge, die bei Verlust oder Kompromittierung erhebliche Schäden verursachen können. Klassifizieren Sie jede Ressource basierend auf Wert, Vertraulichkeit und Auswirkung. Wenn Sie kritische Ressourcen identifizieren, können Sie sich auf den Schutz der wichtigsten Aspekte konzentrieren.

Erstellen und dokumentieren Sie spezifische Regeln und Richtlinien, um Ihre Verteidigungsbereiche zu steuern. Diese Richtlinien sollten auf den drei wichtigsten Prinzipien von Zero Trust basieren: explizite Überprüfung, Prinzip der geringstmöglichen Zugriffsberechtigungen und Annahme einer Sicherheitsverletzung. Diese Regeln sind nicht in Stein gemeißelt, bilden aber die Grundlage für die Zukunft.

Stellen Sie Technologien bereit, die Ihre Zero Trust-Richtlinien in Kraft setzen und unterstützen, z. B. Identity & Access Management, Datenverschlüsselung und Hashing, Netzwerksegmentierung und -isolation, Bedrohungserkennung und -reaktion sowie Sicherheitsanalysen und Security Intelligence. Diese Lösungen sollten integriert und an Ihren Geschäftsprozessen, Systemen, Vorgängen und Zielen ausgerichtet sein.

Sobald Ihre Technologien vorhanden sind, informieren Sie Ihre Arbeitskräfte über die Bedeutung und die Vorteile von Zero Trust-Sicherheit sowie über ihre Rollen und Verantwortlichkeiten bei der Implementierung und Aufrechterhaltung. Die Schulung und Sensibilisierung von Arbeitskräften kann dazu beitragen, eine Kultur der erhöhten Sicherheit und des Vertrauens zu fördern und ihr Engagement und ihre Compliance zu steigern. Dieses Training kann auch dazu beitragen, menschliche Fehler zu verhindern oder zu reduzieren, die eine häufige Ursache für Sicherheitsverletzungen sind.

Nachdem alles in eingerichtet und in Betrieb ist, planen Sie Zeit ein, um Ihre Sicherheitsleistung zu bewerten, Probleme zu identifizieren und Verbesserungsmöglichkeiten zu finden. Die kontinuierliche Überwachung hilft Ihnen dabei, Ihren Sicherheitsstatus aufrechtzuerhalten und zu verbessern sowie resilienter zu werden, wenn sich die Bedrohungslandschaft im Laufe der Zeit weiterentwickelt.

Die Einführung einer Zero Trust-Grundlage kann auch wichtige Vorteile für KI und Ihr Unternehmen bieten:

Zero Trust-Sicherheit stellt sicher, dass alles – Netzwerk, Identitäten, Endpunkte, Apps, Daten, KI-Tools – jederzeit geschützt, überprüft und überwacht wird. Eine sichere KI vermittelt Ihren Kunden und Partnern Vertrauen und Zuverlässigkeit, da sie die Technologie verantwortungsvoll nutzen.

Ein Zero Trust-Framework hilft Ihnen dabei, die gesetzlichen Anforderungen und Standards für Datensicherheit und Datenschutz zu erfüllen und zu übertreffen, z. B. die Datenschutz-Grundverordnung (DSGVO), den California Consumer Privacy Act (CCPA) oder den Health Insurance Portability and Accountability Act (HIPAA). Außerdem hilft es Ihnen, sich auf neue und sich entwickelnde Vorschriften für KI-Ethik und -Governance vorzubereiten und darauf zu reagieren, z. B. die Verordnung über künstliche Intelligenz der Europäischen Kommission oder die Grundsätze zu künstlicher Intelligenz der OECD.

Indem Sie das Prinzip "Nie vertrauen, immer überprüfen" für ihre Daten anwenden, können Sie den Datenschutz für die KI-Nutzung verbessern, indem Sie sie nur autorisierten Arbeitskräften für legitime Zwecke zugänglich machen. Außerdem hilft es Ihnen, die Rechte und Präferenzen Ihrer betroffenen Personen wie Kunden, Arbeitskräfte oder Partner zu achten und zu schützen, da es Transparenz, Kontrolle und Zustimmung zu ihren Daten bietet.

Mit dieser Funktion können Sicherheitsteams das Netzwerk und die Infrastruktur auf Anomalien oder verdächtige Verhaltensweisen überwachen und umgehende Maßnahmen ergreifen, um Risiken zu isolieren oder zu mindern. Die Bedrohungserkennung und -reaktion in Echtzeit reduziert die Auswirkungen einer Sicherheitsverletzung, während gleichzeitig die Grundursache identifiziert und behoben wird. Außerdem trägt sie durch handlungsrelevantes Feedback zur Verbesserung des Sicherheitsstatus der Organisation bei, das eine kontinuierliche Anpassung und Resilienz fördert.

Erkunden Sie praktische Anwendungsfälle dazu, wie eine starke Zero Trust-Grundlage die KI-Integration und -Sicherheit unterstützt.

Zero Trust kann dazu beitragen, geschützte KI-Algorithmen, trainierte KI-Modelle und geistiges Eigentum von KI zu schützen. Sie kann auch nicht autorisierten oder böswilligen Zugriff, Manipulierung oder Diebstahl verhindern, wodurch ihre Integrität und Authentizität erhalten bleibt. 

• Szenario: Schützen Sie Ihre KI-Algorithmen in Forschung und Entwicklung, indem Sie Ihren KI-Code hashen, einzelne KI-Umgebungen isolieren und sicherstellen, dass Ihre Fachkräfte für KI-Entwicklung nur über den notwendigen Zugriff verfügen.

KI-Datenpipelines umfassen die Prozesse und Systeme, die den Datenfluss von der Sammlung zur Analyse ermöglichen. Zero Trust schützt, überprüft und überwacht die Daten während des gesamten Lebenszyklus und stellt sicher, dass ihre Qualität und Genauigkeit aufrechterhalten wird. 

• Szenario: Schützen Sie Ihren Datenfluss von Ihren IoT-Geräten zu Ihrer Cloudplattform, indem Sie jedes IoT-Gerät nachverfolgen und überprüfen, Daten während der Übertragung und im Ruhezustand verschlüsseln und Netzwerkzonen segmentieren, um die bidirektionale Kommunikation einzuschränken.

Die KI-Governance legt das Framework und den Prozess fest, um sicherzustellen, dass Ihre KI-Nutzung ethisch, verantwortungsvoll und rechenschaftspflichtig ist. Zero Trust-Sicherheit kann Ihnen helfen, den KI-Zugriff und die KI-Aktivitäten zu überwachen und zu überprüfen, um die Einhaltung der Richtlinien und Vorschriften Ihres Unternehmens aufrechtzuerhalten.

• Szenario: Überwachen Sie die Leistung und das Verhalten von KI, indem Sie kontinuierlich alle Personen überprüfen, die KI und ihre Geräte verwenden, Ihre KI-Ausgaben und -Protokolle verschlüsseln und hashen sowie die Bedrohungserkennung und -reaktion in Echtzeit implementieren.

Der Aufbau einer Zero Trust-Grundlage unter Berücksichtigung von KI erschafft ein Modell, das sich effektiv an die Komplexität der modernen Umgebung anpasst, Hybrid- und Fernarbeit umfasst und Arbeitskräfte, ihre Geräte, Apps und Daten besser schützt – ganz gleich, wo sie sich gerade befinden. Sie ermöglicht es Unternehmen, KI-Technologien mit Konfidenz zu nutzen, einen neuen Wert zu schaffen und befähigt sie, Innovationen zu entwickeln und ihre Zukunft zu sichern.

Zero Trust und KI ergänzen sich gegenseitig. Da Organisationen KI weiterhin einführen und einsetzen, benötigen sie Zero Trust-Prinzipien, um ihre Investitionen zu sichern und zu schützen. Ebenso verringert die Implementierung von KI zum Automatisieren bestimmter Funktionen die Belastung für IT-Teams, da ihr Sicherheitsstatus komplexer und dynamischer wird, sodass sie sich auf wichtigere Aufgaben konzentrieren können.

Der Aufbau einer sicheren Zero Trust-Grundlage für KI ist entscheidend für eine effiziente und sichere KI-Erfahrung. Sie hilft Unternehmen dabei, ihre Netzwerke, Endpunkte, Apps, Identitäten, Daten und Infrastrukturen zu schützen, ihre KI-Leistung zu verbessern und KI-Risiken zu minimieren. Zero Trust hilft Unternehmen außerdem dabei, Vertrauen und Konfidenz in ihre KI-Systeme aufzubauen, die Einhaltung gesetzlicher Bestimmungen zu verbessern und den Datenschutz zu verbessern.

Besuchen Sie das Microsoft Zero Trust Guidance Center, um mehr darüber zu erfahren, wie Sie eine sichere Zero Trust-Grundlage für KI aufbauen.