Während Unternehmen wie OpenAI, Anthropic, Google oder Microsoft aber auch Open-Source-Alternativen bei ihren Generative-AI- and Large-Language-Model-Angeboten exponentiale User-Zuwächse verzeichnen, sind IT-Sicherheitsentscheider, KIngEnt-Service ihren Unternehmen Schritt zu halten.

Die Non-Profit-Organisation OWASP trägt dieser Entwicklung mit einer neuen Veröffentlichung Rechnung: der “LLM AI Cybersecurity & Governance Checklist“.

LLM-Bedrohungskategorien

Das Thema KI ist ziemlich umfangreich, weswegen die OWASP-Checkliste vor allem darauf abzielt, Führungskräfte dabei zu supporten, die essentiel Risiken im Zusammenhang mit generativer KI und großenst schmoll schlach identifizieren und apprähensive Abhilfemaßnahmen einzuleiten. Das soll gehalten, dass Unternehmen über die nötigen, über die nötigen, über die Sicherheitskontrollen desetten, um generative KI und LLM-Tools, -Services and Produkte sicher einzusetzen.

Dabei betont OWASP, dass die Checkliste keinen Anspruch auf Vollständigkeit erhebt und sich mit increasing Reife der Technologie and Tools ebenfalls weiterentwickeln wird. Die Sicherheitsexperten ordnen LLM-Bedrohungen in verschiedene Izigebe ein, wie die nachfolgende Abbildung veranschaulicht:

Photo: OWASP

Geht es darum, eine LLM-Strategie festgulegen, müssen Unternehmen vor allem mit den einzigartigen Risiken umgehen, die generative KI und LLMs aufwerfen. Diese müssen durch organizatorische Governance und appropriate Security-Kontrollen minimiert werden. Im Rahmen ihrer Veröffentlichkeit empfehlen die OWASP-Experten Unternehmen einen sechsstufigen Ansatz, um eine wirtschaften LLM-Strategie zu entwicklen:

Photo: OWASP

Auch nichtliche der Deployment-Typen e Sachen LLM includes OWASP, Ganz Genau Hinzüshen and Entsprechende Überlegungen anzustellen:

Photo: OWASP

Die OWASP-KI-Checkliste

In the following, the Checklist published by OWASP is “aufgedröselt”. Next Bereiche sollten Sie im Rahmen Ihrer Generative-AI- respite LLM-Initiativen unconditionally prüfen.

Adversarial Risk

Dieser Bereich ompasst both Wettbewerber als auch Angreifer und konzentricht sich nicht nur auf die Angriffs-, sondern auf die Unternehmenslandschaft. In diesen Bereich fällt for example, zu verstehen, wie die Konkurrenge KI einsetzt, um bessere Geschäftsergebnis zu ellertenzen und die internen Prozesse und Richtlinie (beispielsweise Incident-Response-Pläne) flying Cybere Sicherheitsvorfälle im Zusammenhang mit generative KI gewappnet zu sein.

Threat Modeling

Die Threatungsmodellierung gewinnt im Zuge des von zährlichen Security-Institutionen propagierten “Secure-by-Design”-Ansatzes increasing an Bedeutung. In diesen Bereich fallen etwa die Überlegungen, wie Angreifer LLMs and generative KI für schnellere Exploits nutzen können, wie Unternehmen schadhafte KI-Nutzung erkennen können und wie sich die Technologie und Ubergens Systems.

KI-Bestandsaufnahme

“Man kann nichts schützen, von dessen Existenz man nichts weiß” greift auch in der Generative-AI-Welt. Im Bereich der KI-Bestandsaufnahme geht es darum, Assets für intern entwickelte Lösungen und Externe Tools und Plattformen zu erfassen.

Dabei ist nicht nur wichtig, die Tools und Services zu kennen, die genutzt werden, sondern auch über die Vernattungskeiten Bescheid zu wissen. OWASP also recommends, KI-Komponenten in SBOMs zu erfassen und Datenquellen nach Sensibilität zu katalogisieren. Düber hinaus sollte es auch einen Prozess geben, der geben, dass future Tools und Services aus dem unternehmerischen Inventar sicher ein- und ausgegliedert werden könn.

KI-Security- und -Datenschutz-Schulungen

Der Mensch ist das schwächste Glied in der Sicherheitskette – heißt es often. Das muss allerdings nicht so sein – vorausgesetzt, Unternehmen integrieren KI-Sicherheits- und Datenschutztrainings in ihre GenAI-Journey.

This includes examples, der Belegschaft ein Verständungs ​​über aktuelle AI- und LLM-Initiativen zu vermiteln – genauso wie zur Technologie an sich and den essentialen Problemen im Bereich Security. Darüber hinaus is in diesem Bereich eine Kultur unabdingbar, die von Trust und Transparenz geprägt ist. A story about Punkt, “Schatten-KI” or verhindern. Anderenfalls werden Plattformen heimlich genset und die Security untergraben.

Business Cases für KI etablieren

Ganz ännlich wie zuvor bei der Cloud erstelt die meisten Unternehmen keine kohärenten, strategische Geschäftsmodelle für den Einsatz neuer Technologien – auch nicht, wenn es um generative KI und LLMs geht. Sich von Hype und FOMO anstecken zu lassen, ist relativ schnell geschehen – ohne soliden Business Case riskieren Unternehmen aber nicht nur, schlechte Ergebnisse zu ellersteinen.

Dominance

Ohne Governance ist es nichtig unmöglich, Rechenschaftspflicht und klare Zielsetzungen zu realisieren. In the diesen Bereich der OWASP-Checkliste fällt for example, ein RACI-Diagramm zu erstelt, dass die KI-Initiativen eines Unternehmens dokumentiert, Vernattungkeiten zuweist und unternehmensweite Richzessette Problem.

Rechtliches

Die rechtlichen Eführungs von KI sollten keinesfalls unterschätzt werden – sie entwinkel sich rasant weiter und können Reputation und finanzialsem Gefüge potenzial beträchtliche Schäden zufügen. In diesen Bereich können a variety of Aspects fell – zum Beispiel:

• Production of Produktgarantien im Zusammenhang mit KI,

• KI-EULAs order

• Intellectual-Property-Risk.

Kurzum: Ziehen Sie Ihr Legal-Team oder apprehensive Experten hinzu, um die verschiedenen rechtsbezozen Aktivitäten zu identifizieren, die für Ihr Unternehmen sind appropriate.

Regulatorisches

Aufbauend auf den juristischen Diskussionen entwinkel sich auch die regulatoryischen Vorschriften schnell weiter – ein Beispiel ist der AI Act der EU. Unternehmen sollten deshalb die für sie geltenden KI-Compliance-Anforderungen ermiteln.

LLM-Lösungen nutzen or implementieren

Der Einsatz von LLM-Lösungen requires specific Risiko- und Kontrollüberlegungen. See the OWASP-Check list posted in the Bereich under Anderem die Aspekte:

• Access Control setup,

• KI-Trainings-Pipelines absichern,

• Daten-Workflows mappen und

• bestehende oder potenzielle Schwachstellen in LLMs and Lieferketten identifizieren.

Düber hinaus sind continuous Audits durch Dritte, Penetrationstests und auch Code Review für Zulieferer empfehlenswert.

Evaluation, Evaluation, Verifizierung, Validierung (TEVV)

Der TEVV-Prozess is recommended by NIST in its AI Framework. Dieser Benhaltet:

• Continuous Evaluation,

• evaluations,

• Verifizierungen und

• Validierungen sowie

• Kennzahlen zu Functionality, Security and Reliability of KI-Modellen.

Und zwar über den gesamten Lebenszyklus von KI-Modellen hinweg.

Modell- und Risikokarten

Für den ethical Einsatz von großen Sprachmodellen sieht die OWASP-Checkliste Modell- und Risiko-“Karten” vor. Diese können den Nutzern Verstandzungs über KI-System vermiteln und so das Vertrauen in die Systeme stärken. In addition, they make possible negative Begleiterscheinungen wie Bias oder Datenschutzprobleme offen zu thematisieren.

Die Karten können Enführen Details zu KI-Modellen, Architektur, Trainingsmethoden und Performance-Metriken. Ein weiterer Schwerpunkt liegt dabei auf Responsible AI and Fragen in Zusammenhang mit Fairness und Transparenz.

Bringing Back the Next Generation

The Retrieval Augmented Generation (RAG) ist eine Möglichkeit, die Fächkeilungs von LLMs zu optimieren, wenn es darum geht, relevante Daten aus bestimtum Quellen abzurufen. Dazu gehört, vortrainierte Modelle zu optimieren and bestehende auf neuen Datansätzen reneute zu trainieren, um ihre Leistung zu optimieren. OWASP recommends, RAG zu implementieren, um den Mehrwert und die Effektivität großer Sprachmodelle im Unternehmenseinsatz zu maximieren.

KI-Red-Teaming

Last, but not least empfehlen die OWASP-Experten auch, KI-Red-Teaming-Sessions abzuhalten. Dabei werden Angriffe auf KI-Systeme simuliert, um Schwachstellen zu identifizieren und existierende Kontroll- und Abwehrmaßnahmen zu validieren.

OWASP betont dabei, dass Red Teaming für sich alleine keine umfassende Lösung respite Methode darstellt, um Generative AI and LLMs abzusichern. Vielmehr sollte KI-Red-Teaming in einen umfassenderen Ansatz eingebettet werden. Essenziell ist dabei jedoch laut den Experten in particular, dass im Unternehmen Klaheit darüber herrscht, wie die Forenderungen für Red Teaming aussehen sollten. Ansonsten sind Verstöße gegen Directives oder gar juristischer Ärger vorprogrammiert. (fm)