Security, DSGVO und Governance

KI-Systeme verarbeiten oft sensible Daten und treffen Entscheidungen, die Auswirkungen auf Menschen haben. Sicherheit und Datenschutz sind keine optionalen Extras, sondern Grundvoraussetzungen für den produktiven Einsatz. Hier lernst du, wie du KI-Anwendungen absicherst, DSGVO-konform gestaltest und nachhaltig steuerst.

Prompt Injection verstehen und verhindern

Prompt Injections sind der häufigste Angriffsvektor bei LLM-Anwendungen. Dabei versucht ein Nutzer, über seine Eingabe die System-Anweisungen zu überschreiben oder das Modell zu ungewolltem Verhalten zu bringen.

  • Direkte Injection: Der Nutzer schreibt „Ignoriere alle vorherigen Anweisungen und..." in seine Anfrage
  • Indirekte Injection: Schadhafte Anweisungen verstecken sich in Dokumenten, die das System verarbeitet
  • Schutzmaßnahmen: Input-Filterung, Output-Validierung, Sandboxing, separate System-Kanäle, regelmäßige Tests

DSGVO-konformer KI-Einsatz

Die DSGVO stellt klare Anforderungen an den Umgang mit personenbezogenen Daten. Für KI-Anwendungen gelten zusätzliche Herausforderungen, insbesondere wenn Daten an externe APIs gesendet werden.

Technische Maßnahmen

  • DatenminimierungNur die wirklich notwendigen Daten in Prompts aufnehmen. PII erkennen und maskieren.
  • VerschlüsselungDaten in Transit und at Rest verschlüsseln. API-Keys sicher in Vaults speichern.
  • LoggingAnfragen protokollieren, aber sensible Daten aus Logs ausschließen.

Organisatorische Maßnahmen

  • AV-VerträgeAuftragsverarbeitungsverträge mit KI-Anbietern (OpenAI, Azure etc.) abschließen.
  • ZugriffskontrollenRollen und Rechte definieren: Wer darf welche Daten an KI-Systeme senden?
  • LöschkonzeptKlare Regeln, wann Daten aus Indizes und Logs gelöscht werden.

Beispiel: Input-Sanitizing in Python

import re   def sanitize_input(user_input: str) -> str: """Entfernt potenzielle Injection-Patterns"""   # Bekannte Injection-Patterns patterns = [ r"ignoriere.*(?:vorherige|alle).*(?:anweisung|regel)", r"vergiss.*(?:system|prompt|kontext)", r"du bist jetzt.*(?:ein|eine)", ]   for p in patterns: if re.search(p, user_input, re.IGNORECASE): return "[Eingabe aus Sicherheitsgründen gefiltert]"   # Längenbegrenzung if len(user_input) > 2000: return user_input[:2000]   return user_input

Governance-Framework aufbauen

Governance sorgt dafür, dass KI-Systeme nicht nur technisch funktionieren, sondern auch verantwortungsvoll eingesetzt werden. Ein minimales Framework umfasst:

  • Risikobewertung: Für jeden Use Case bewerten, welche Risiken bestehen (Halluzinationen, Bias, Datenlecks)
  • Freigabeprozess: Neue KI-Anwendungen durchlaufen eine Prüfung vor dem Go-Live
  • Monitoring: Laufende Überwachung von Qualität, Kosten und Compliance
  • Eskalation: Klare Wege, wenn Probleme auftreten – technisch und organisatorisch
  • Dokumentation: Was macht das System, mit welchen Daten, für wen, und wer ist verantwortlich?

Passende Weiterbildung

IT-Sicherheit

Fundierte Kenntnisse in IT-Sicherheit sind Voraussetzung für den sicheren Betrieb von KI-Systemen – von Netzwerksicherheit bis API-Schutz.

Kurs ansehen *

Fachinformatiker/in – Digitalisierung

Die Verbindung von IT-Wissen und Geschäftsprozessen hilft, KI-Governance strategisch im Unternehmen zu verankern.

Kurs ansehen *

Fachinformatiker/in – Systemintegration

Sicherheitskonzepte greifen nur, wenn die Infrastruktur stimmt. Systemintegration schafft das technische Fundament.

Kurs ansehen *

Weitere Themen

🧪
Evaluation und QualitätSicherheits-Tests automatisieren
🗂️
RAG und WissenssystemeDatenzugriffe absichern
⚙️
Automation und WorkflowsSichere Workflow-Konfiguration