Connect with us

Interviews

Nick Kathmann, CISO/CIO bei LogicGate – Interviewreihe

mm
Published
Updated

Nicholas Kathmann ist der Chief Information Security Officer (CISO) bei LogicGate, wo er das Informationsicherheitsprogramm des Unternehmens leitet, die Sicherheitsinnovationen der Plattform überwacht und mit Kunden über die Verwaltung von Cyber-Risiken zusammenarbeitet. Mit über zwei Jahrzehnten Erfahrung in der IT und 18+ Jahren in der Cybersicherheit hat Kathmann Sicherheitsoperationen in kleinen Unternehmen und Fortune-100-Unternehmen aufgebaut und geleitet.

LogicGate ist eine Plattform für Risiko- und Compliance-Management, die Organisationen hilft, ihre Governance-, Risiko- und Compliance-Programme (GRC) zu automatisieren und zu skalieren. Durch sein Flaggschiff-Produkt, Risk Cloud®, ermöglicht LogicGate es Teams, Risiken über das gesamte Unternehmen hinweg mit anpassbaren Workflows, Echtzeit-Einblicken und Integrationen zu identifizieren, zu bewerten und zu verwalten. Die Plattform unterstützt eine breite Palette von Anwendungsfällen, einschließlich Drittanbieter-Risiken, Cybersicherheits-Compliance und internem Audit-Management, und hilft Unternehmen, agilere und widerstandsfähigere Risikostrategien aufzubauen.

Sie sind sowohl CISO als auch CIO bei LogicGate — wie sehen Sie die Transformation der Verantwortlichkeiten dieser Rollen durch KI in den nächsten 2-3 Jahren?

KI transformiert bereits beide Rollen, aber in den nächsten 2-3 Jahren denke ich, dass wir einen großen Anstieg von Agentic KI sehen werden, die die Macht hat, unsere Art und Weise, wie wir mit Geschäftsprozessen auf täglicher Basis umgehen, neu zu definieren. Alles, was normalerweise zum IT-Helpdesk geht — wie das Zurücksetzen von Passwörtern, das Installieren von Anwendungen und mehr — kann von einem KI-Agenten gehandhabt werden. Ein weiterer kritischer Anwendungsfall wird die Nutzung von KI-Agents sein, um langweilige Audit-Bewertungen zu handhaben, sodass CISOs und CIOs strategischere Anfragen priorisieren können.

Wie sollten Unternehmen bei der KI-Implementierung vorgehen, um gleichzeitig eine starke Sicherheitslage zu wahren, angesichts der federalen Cyber-Entlassungen und der Deregulierungstrends?

Während wir in den USA einen Deregulierungstrend sehen, werden die Vorschriften in der EU tatsächlich verschärft. Wenn Sie also ein multinationales Unternehmen sind, sollten Sie damit rechnen, globalen regulatorischen Anforderungen an die verantwortungsvolle Nutzung von KI gerecht werden zu müssen. Für Unternehmen, die nur in den USA tätig sind, sehe ich eine Lernphase in Bezug auf die KI-Adoption. Ich denke, es ist wichtig für diese Unternehmen, starke KI-Governance-Richtlinien zu bilden und menschliche Aufsicht während des Implementierungsprozesses zu wahren, um sicherzustellen, dass nichts außer Kontrolle gerät.

Welche sind die größten Blindspots, die Sie heute bei der Integration von KI in bestehende Sicherheitsrahmen sehen?

Während es einige Bereiche gibt, an die ich denken kann, wäre der größte Blindspot, den ich sehe, der Ort, an dem Ihre Daten gespeichert sind und durch den sie verlaufen. Die Einführung von KI wird die Überwachung in diesem Bereich nur noch herausfordernder machen. Anbieter ermöglichen KI-Funktionen in ihren Produkten, aber diese Daten gehen nicht immer direkt zum KI-Modell/Anbieter. Das macht traditionelle Sicherheitswerkzeuge wie DLP und Web-Überwachung effektiv blind.

Sie haben gesagt, dass die meisten KI-Governance-Strategien “Papertiger” sind. Was sind die Kernbestandteile eines Governance-Rahmens, der tatsächlich funktioniert?

Wenn ich “Papertiger” sage, beziehe ich mich speziell auf Governance-Strategien, bei denen nur ein kleines Team die Prozesse und Standards kennt und diese nicht durchgesetzt oder sogar im gesamten Unternehmen verstanden werden. KI ist sehr umfassend, was bedeutet, dass sie jeden Bereich und jedes Team beeinflusst. “Einheitsgrößen passen allen”-Strategien werden nicht funktionieren. Die Kernbestandteile eines starken Governance-Rahmens variieren, aber IAPP, OWASP, NIST und andere Beratungsgremien haben ziemlich gute Rahmenbedingungen für die Bewertung dessen, was zu bewerten ist. Der schwierigste Teil ist, herauszufinden, wann die Anforderungen für jeden Anwendungsfall gelten.

Wie können Unternehmen KI-Modell-Drift und -Degradation vermeiden und verantwortungsvolle Nutzung über die Zeit hinweg sicherstellen, ohne ihre Richtlinien zu überingenieuren?

Drift und Degradation sind einfach Teil der Nutzung von Technologie, aber KI kann diesen Prozess erheblich beschleunigen. Wenn jedoch der Drift zu groß wird, sind korrigierende Maßnahmen erforderlich. Eine umfassende Teststrategie, die nach Genauigkeit, Voreingenommenheit und anderen Warnsignalen sucht und misst, ist über die Zeit hinweg notwendig. Wenn Unternehmen Voreingenommenheit und Drift vermeiden wollen, müssen sie damit beginnen, sicherzustellen, dass sie die Werkzeuge haben, um diese zu identifizieren und zu messen.

Welche Rolle sollten Changelogs, begrenzte Richtlinien-Updates und Echtzeit-Feedback-Schleifen bei der Aufrechterhaltung einer agilen KI-Governance spielen?

Während sie derzeit eine Rolle spielen, um Risiken und Haftung für den Anbieter zu reduzieren, behindern Echtzeit-Feedback-Schleifen die Fähigkeit von Kunden und Benutzern, KI-Governance durchzuführen, insbesondere wenn Änderungen in den Kommunikationsmechanismen zu häufig auftreten.

Welche Bedenken haben Sie hinsichtlich KI-Voreingenommenheit und Diskriminierung bei der Kreditvergabe oder Bonitätsbewertung, insbesondere bei “Kaufen Sie jetzt, zahlen Sie später” (BNPL)-Diensten?

Letztes Jahr sprach ich mit einem KI/ML-Forscher bei einer großen, multinationalen Bank, der mit KI/LLMs in ihren Risikomodellen experimentiert hatte. Die Modelle, selbst wenn sie auf großen und genauen Datensätzen trainiert wurden, würden sehr überraschende, unbegründete Entscheidungen treffen, um Kredite zu genehmigen oder abzulehnen. Zum Beispiel würden die Modelle, wenn die Wörter “großartige Kreditwürdigkeit” in einem Chat-Transkript oder in der Kommunikation mit Kunden erwähnt wurden, den Kredit standardmäßig ablehnen — unabhängig davon, ob der Kunde oder der Bankangestellte es sagte. Wenn KI verlässlich sein soll, benötigen Banken bessere Aufsicht und Rechenschaftspflicht, und diese “Überraschungen” müssen minimiert werden.

Wie sollten wir Algorithmen bewerten oder prüfen, die Entscheidungen mit hohen Einsätzen treffen — und wer sollte dafür verantwortlich sein?

Das führt zurück zu dem umfassenden Testmodell, bei dem es notwendig ist, den Algorithmus/Modelle in Echtzeit kontinuierlich zu testen und zu benchmarken. Dies kann schwierig sein, da das Modellergebnis wünschenswerte Ergebnisse haben kann, die von Menschen identifiziert werden müssen. Als Beispiel aus der Bankenwelt: Ein Modell, das alle Kredite ablehnt, hat eine großartige Risikobewertung, da keine der Kredite, die es genehmigt, jemals ausfällt. In diesem Fall sollte die Organisation, die das Modell/Algorithmus implementiert, für das Ergebnis des Modells verantwortlich sein, genau wie sie es wären, wenn Menschen die Entscheidung träfen.

Da immer mehr Unternehmen Cyberversicherungen benötigen, wie verändern KI-Tools die Risikolandschaft und die Versicherungsunterzeichnung selbst?

KI-Tools sind großartig darin, große Mengen an Daten zu verbreiten und Muster oder Trends zu finden. Auf der Kundenseite werden diese Tools instrumental sein, um die tatsächlichen Risiken des Unternehmens zu verstehen und diese Risiken zu verwalten. Auf der Seite des Versicherungsanbieters werden diese Tools hilfreich sein, um Inkonsistenzen und Unternehmen zu finden, die im Laufe der Zeit unreif werden.

Wie können Unternehmen KI nutzen, um proaktiv das Cyberrisiko zu reduzieren und bessere Konditionen auf dem heutigen Versicherungsmarkt zu verhandeln?

Heute ist der beste Weg, KI zur Risikoreduzierung und zur Verhandlung besserer Versicherungsbedingungen zu nutzen, die Filterung von Rauschen und Ablenkungen, um sich auf die wichtigsten Risiken zu konzentrieren. Wenn Sie diese Risiken umfassend reduzieren, sollten Ihre Cyberversicherungsraten sinken. Es ist zu einfach, sich von der schieren Menge an Risiken überwältigen zu lassen. Versuchen Sie nicht, jedes einzelne Problem anzugehen, wenn das Konzentrieren auf die kritischsten Probleme einen viel größeren Einfluss haben kann.

Welche taktischen Schritte empfehlen Sie Unternehmen, die KI verantwortungsvoll implementieren möchten — aber nicht wissen, wo sie anfangen sollen?

Zuerst müssen Sie verstehen, welche Anwendungsfälle Sie haben und die gewünschten Ergebnisse dokumentieren. Jeder möchte KI implementieren, aber es ist wichtig, an Ihre Ziele zu denken und rückwärts von dort zu arbeiten — etwas, das ich denke, viele Organisationen heute mit Schwierigkeiten kämpfen. Sobald Sie ein gutes Verständnis für Ihre Anwendungsfälle haben, können Sie die verschiedenen KI-Rahmenbedingungen recherchieren und verstehen, welche der anwendbaren Kontrollen für Ihre Anwendungsfälle und Implementierung wichtig sind. Eine starke KI-Governance ist auch geschäftskritisch, für Risikominderung und Effizienz, da Automation nur so nützlich ist wie die Daten, die ihr zur Verfügung stehen. Unternehmen, die KI nutzen, müssen dies verantwortungsvoll tun, da Partner und Interessenten schwierige Fragen zur KI-Verbreitung und -Nutzung stellen. Die Unfähigkeit, die Antwort zu kennen, kann dazu führen, dass Geschäftsabschlüsse verpasst werden, was direkt den Unternehmenserfolg beeinträchtigt.

Wenn Sie das größte KI-bezogene Sicherheitsrisiko in fünf Jahren vorhersagen müssten — was wäre es — und wie können wir uns heute darauf vorbereiten?

Meine Vorhersage ist, dass Agentic KI, die in immer mehr Geschäftsprozesse und Anwendungen integriert wird, Angreifern die Möglichkeit gibt, diese Agenten zu manipulieren, um schädliche Ergebnisse zu erzielen. Wir haben bereits gesehen, wie dies bei der Manipulation von Kundenservice-Agenten der Fall war, was zu nicht autorisierten Deals und Rückerstattungen führte. Bedrohungsakteure nutzten Sprachtricks, um Richtlinien zu umgehen und in die Entscheidungsfindung des Agents einzugreifen.

Vielen Dank für das großartige Interview. Leser, die mehr erfahren möchten, sollten LogicGate besuchen.

Related Topics:
mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.