Wo fange ich mit dem Einsatz von Künstlicher Intelligenz an? Ist sie sicher? Wie spreche ich mit meinen Stakeholdern über ihre Risiken? Diese Fragen höre ich derzeit häufig. KI hilft Entwickler:innen, schneller zu programmieren und ihre Produktivität zu steigern. Gleichzeitig sind einige Führungskräfte besorgt, dass sie zusätzliche Sicherheits- und Risikomanagementprobleme mit sich bringen könnte. Doch innovative Technologien sind nichts Neues in der Branche der Cybersicherheit – und wir müssen weiterhin jedes verfügbare Mittel nutzen, um das Software-Ökosystem zu sichern.
Das „Shift Left“-Versprechen, und wie KI es einhält
Effektiv eingesetzt kann KI dabei helfen, Schwachstellen von Anfang an zu verhindern – und verändert dabei fundamental, wie Sicherheit umgesetzt wird. KI bietet von Beginn an einen Kontext für potenzielle Schwachstellen und sichere Code-Vorschläge (die natürlich weiterhin ausführlich getestet werden müssen). Diese Fähigkeiten erlauben es Entwickler:innen, in Echtzeit sicheren Code zu schreiben und das Versprechen von „Shift Left“ in die Tat umzusetzen.
Das ist geradezu revolutionär. Traditionell bedeutete „Shift Left“, Sicherheitsfeedback zu erhalten, nachdem eine Idee bereits in Code umgesetzt wurde, aber bevor dieser Code in die Produktion geht. Aber mit KI ist die Sicherheit von Anfang an eingebaut, nicht nachträglich angehängt. Der „Shift Left“ findet dort statt, wo Entwickler:innen ihren Code schreiben, unterstützt von ihren KI-basierten Programmierpartnern. Es ist eine aufregende neue Ära, in der generative KI in der vordersten Front der digitalen Sicherheit steht.
Gleichzeitig müssen wir beachten, dass KI die Entwickler:innen nicht ersetzen wird und auch Sicherheitsteams nicht weniger notwendig macht. Wir sind noch nicht bei Level Fünf des autonomen Fahrens – wir müssen weiterhin das Steuer in der Hand halten und mit unseren bestehenden Sicherheitskontrollen arbeiten, anstatt sie aufzugeben.
Behandeln Sie KI-Tools wie alle anderen Tools
Viele Teams erzielen bereits große Produktivitätsvorteile durch KI, aber einige Führungskräfte machen sich Sorgen um ihre Sicherheitsrisiken und möchten wissen, wie man die richtigen Standards um KI-Tools herum schaffen kann. Wie also können sich Softwareentwickler:innen beim KI-Einsatz zur Code-Sicherung selbst absichern?
Obwohl KI eine neuartige Technologie ist, hat sie mehr Gemeinsamkeiten mit anderen Tools, als Unterschiede. Wenn Sie also die Sicherheits- und Risikorahmenbedingungen für ein KI-Tool bewerten, können Sie so vorgehen, wie mit sämtlichen anderen Tools, die Sie in Ihren Stack aufnehmen möchten, und mit der Zeit anpassen. Verlangen Sie Datenflussdiagramme, externe Testberichte und andere Informationen über die Sicherheit und Reife des Tools.
Bei Github haben wir Prozesse für neue Tools von externen Dienstleistern, mit denen wir ihre Risiken identifizieren und managen können. Sie werden sorgfältig von unseren Beschaffungs-, Rechts-, Privacy- und Sicherheitsteams geprüft – mit einem besonderen Augenmerk darauf, welche Daten wie verarbeitet werden, und wie der externe Anbieter den Datenschutz handhabt.
Verstehen Sie Datennutzung und -aufbewahrung
Das Wichtigste, worauf Sie achten sollten, ist, wie Ihre Daten oder die Daten Ihrer Kunden verwaltet werden. Schließlich können Sie sich die Sicherheitsbedenken vorstellen, die mit einem Drittanbieter einhergehen, der Ihre sensiblen Informationen speichert und verwendet. Sie müssen also wissen, wie das KI-Tool Ihre Daten verwaltet, wohin die Daten gehen, wie sie geteilt werden und ob sie gespeichert werden. Achten Sie darauf, ob der Anbieter Kundendaten zur Schulung seiner KI-Modelle verwendet, und verstehen Sie, was für Möglichkeiten bestehen, um je nach Bedarf in diese Datennutzung einwilligen oder sie abzulehnen.
Überprüfen Sie die Klauseln zu geistigem Eigentum
KI-Tools bringen eine ganze Reihe an Fragen zu geistigem Eigentum mit sich, und die rechtliche Landschaft entwickelt sich noch. Betrachten Sie die Intellectual-Property-Klauseln (IP-Klauseln) des neuen Tools und überprüfen Sie die Bedingungen der Lizenzvereinbarung, um zu verstehen, welche Schutzmaßnahmen möglicherweise angeboten werden. Microsoft und Google zum Beispiel bieten ihren Kunden IP-Freistellung an, wenn sie ihre generativen KI-Tools verwenden.
Ebenfalls ist zu beachten, dass Entwickler:innen jedes Mal ein IP-Risiko eingehen, wenn sie Code verwenden, den sie nicht selbst erstellt haben – zum Beispiel aus einer Online-Quelle oder aus einer Bibliothek. Daher empfehlen sich Code-Scanning-Richtlinien und andere Überprüfungspraktiken.
Beurteilen Sie die Erfolgsbilanz des Tools
Es ist wichtig, die Bilanz eines neuen Tools zu verstehen. So lässt sich sicherstellen, dass das KI-Produkt zuverlässig, effektiv und für das Unternehmen zielführend ist. Wie sieht die bisherige Leistung und Genauigkeit des Tools aus? Suchen Sie nach erfolgreichen Anwendungsfällen, die dessen Wirksamkeit demonstrieren. Welche Art von Datensatz wird für das Training verwendet? Stellen Sie sicher, dass er auch für Ihre Projekte relevant ist. Weitere Aspekte, die es zu beachten gilt, sind die Minderung von Biases, Nutzerbewertungen und Anpassungsfähigkeit.
Prüfen Sie die Audits des Tools
Wir alle wissen, dass Tests und Audits durch Dritte eine Schlüsselrolle für die Beurteilung der Wirksamkeit oder Sicherheit einer Technologie spielen. Das gilt auch hier. Stellen Sie fest, ob das KI-Werkzeug Dritttests durchlaufen hat. Möglicherweise ist das KI-Werkzeug aufgrund seiner Neuheit noch nicht konform, aber wie sieht es mit den anderen Produkten des Herstellerunternehmens aus? Gibt es einen Plan, um Konformität für das KI-Produkt zu erreichen? Ein gründlich getestetes und geprüftes Werkzeug wird die Sicherheitslage Ihrer Organisation stärken.
Wenn es um KI geht, müssen Sie nicht die „Verneinungsabteilung“ sein. Mit den oben genannten Best Practices können Sie Leitplanken und Richtlinien festlegen, die zu sicheren Ergebnissen führen. KI wird beim Erreichen solcher sicheren Ergebnissen helfen – und ich wage zu sagen, sie wird das nächste Jahrzehnt der Cybersicherheit radikal verändern.
Mike Hanley ist Chief Security Officer und Senior Vice President of Engineering bei Github. Vor Github war er Vizepräsident für Sicherheit bei Duo Security, wo er die Sicherheitsforschungs-, Entwicklungs- und Betriebsfunktionen aufbaute und leitete.