Aus dem Kurs: Microsoft Azure KI Grundwissen: Workloads und Machine Learning auf Azure

Datenschutz und Sicherheit bei KI – Tutorial zu Azure AI

Aus dem Kurs: Microsoft Azure KI Grundwissen: Workloads und Machine Learning auf Azure

Datenschutz und Sicherheit bei KI

Sicherheit und Datenschutz bei KI-Systemen sind von entscheidender Bedeutung. Ein verantwortungsvoller Umgang mit Nutzerdaten sowie deren ethische Nutzung schaffen Vertrauen und verhindern unbefugten Zugriff oder Missbrauch. Machine Learning-Modelle basieren häufig auf umfangreichen Datensätzen, die sensible personenbezogene Informationen enthalten können und müssen daher besonders geschützt werden. Auch nach der Einführung eines KI-Systems in den Produktivbetrieb müssen Sicherheit und Datenschutz kontinuierlich gewährleistet bleiben. Da fortlaufend neue Daten zur Erstellung von Vorhersagen verwendet werden, ist es entscheidend, sowohl diese Daten als auch die darauf basierenden Ergebnisse angemessen zu schützen. Dabei empfiehlt es sich, bestimmte zentrale Sicherheitsmaßnahmen zu berücksichtigen. So sollte bspw. Multi-Faktor-Authentifizierung eingesetzt werden, um zusätzliche Sicherheitsebenen zu schaffen. Microsoft Entra ID verlangt hierfür von Nutzern neben ihrem Passwort bspw. noch einen sechsstelligen Zahlencode aus einer Authenticator App. Dadurch bleibt der Zugang zu Konten auch dann geschützt, wenn ein Passwort also geknackt wurde. Darüber hinaus sollten sensible Daten sowohl während der Übertragung als auch bei der Speicherung verschlüsselt werden, um unbefugten Zugriff effektiv zu verhindern. So verschlüsselt Azure bspw. Daten automatisch, wodurch verhindert wird, dass Unbefugte auf die Daten zugreifen können. Weiterhin sollte der Datenzugriff durch klare Regeln eingeschränkt werden. Dieses Verfahren wird als rollenbasierte Zugriffskontrolle, im Englischen Role-Based Access Control, bezeichnet. Bspw. benötigen Vertriebsmitarbeiter keinen Zugang zu sensiblen Personaldaten wie Gehaltsinformationen, während Personalmitarbeiter wiederum keine vertraulichen Vertriebsstrategien einsehen sollten. Nutzer sollten grundsätzlich nur Zugriff auf jene Daten und Ressourcen erhalten, die sie tatsächlich für ihre jeweiligen Aufgaben benötigen. Dieses Vorgehen bezeichnet man als Prinzip der minimalen Rechtevergabe, "Principle of least privilege". So brauchen etwa Junior-Vertriebsmitarbeiter nicht sämtliche Vertriebspläne, sondern lediglich die Information, welche für Ihre konkrete Tätigkeit relevant sind. Ebenso wichtig ist es, Software regelmäßig zu aktualisieren, um etwaige Sicherheitslücken zeitnah zu schließen. Diese Updates sollten wann immer möglich automatisiert durchgeführt werden, um kontinuierlich gegen neue Sicherheitsbedrohungen gewappnet zu sein. Zudem empfiehlt es sich, regelmäßig, mindestens vierteljährlich, Sicherheitsüberprüfungen durchzuführen, um Schwachstellen frühzeitig zu erkennen und die Einhaltung aktueller Sicherheitsstandards sicherzustellen. Um darüber hinaus das Prinzip des Datenschutzes konsequent umzusetzen, sollten Unternehmen folgende Praktiken berücksichtigen. Ein zentraler Aspekt hierfür ist das Prinzip der Datenminimierung. Dies bedeutet, dass nur solche Informationen erhoben werden, welche für den jeweiligen Zweck zwingend notwendig sind. Wird bspw. für ein System lediglich das Geschlecht einer Person benötigt, sollten keine zusätzlichen Daten wie etwa das Alter abgefragt werden. Außerdem empfiehlt es sich Datenmaskierung und Datenanonymisierung anzuwenden. Was wird unter Datenmaskierung verstanden? Unter Maskierung versteht man, dass sensible Informationen nicht vollständig sichtbar gemacht werden. Bspw. kennen Sie das Ganze, und zwar indem bei Kreditkartennummern nur die letzten vier Ziffern angezeigt werden. Bei der Anonymisierung ist es so, dass personenbezogene Merkmale entfernt werden, sodass einzelne Personen nicht mehr identifizierbar sind. Bspw. können exakte Altersangaben durch breitere Altersgruppen ersetzt werden. Zudem sollten Nutzer stets transparent darüber informiert werden, welche Daten zu welchem Zweck erhoben und verwendet werden. Weiterhin sollte sichergestellt werden, dass alle KI-Systeme, welche gesetzliche Anforderungen erfüllen, insbesondere die Vorgaben der Datenschutzgrundverordnung, DSGVO, sowie des California Consumer Privacy Act, CCPA, also erfüllen. Außerdem ist es ratsam, die Prozesse und Richtlinien zum Umgang mit Daten regelmäßig zu überprüfen und anzupassen, um die Sicherheit weiter zu verbessern und das Vertrauen nachhaltig zu stärken. Diese Audits sollten mindestens einmal jährlich durchgeführt werden, denn dabei geht es nicht nur um den Schutz von Daten, sondern vielmehr darum, Vertrauen und Integrität aufzubauen und langfristig auch zu sichern. Mit der Umsetzung dieser bewährten Verfahren stellen Sie also sicher, dass Ihre KI-Systeme nicht nur sicher, sondern auch ethisch verantwortungsvoll und zuverlässig sind.

Inhalt