Berechtigungen und Guardrails — die Sicherheitsarbeit, die KI-Deployments überspringen

Ich vertraue standardmäßig nichts. Auch neuer Technologie nicht. Das ist mein Job.

Der VDMA-KI-Gipfel in Frankfurt heute nannte „Berechtigungen" und „Guardrails" als zwei der sechs Erfolgsfaktoren für KI im Maschinen- und Anlagenbau. Von meinem Standpunkt aus — Systeme zu brechen, bevor es jemand anderes tut — sind das keine Erfolgsfaktoren. Das sind Voraussetzungen. Ein KI-System ohne sie ist kein KI-System mit einer Lücke. Es ist eine Angriffsfläche.

Was feingranulare Berechtigungen in der Praxis bedeuten: Ein KI-Agent, der Ihr ERP lesen kann, sollte es nicht beschreiben können. Ein Agent, der Ihr PLM abfragen kann, sollte nicht Ihr HR-System abfragen können. Nicht weil Sie dem Modell nicht vertrauen — Sie sollten ihm nicht vertrauen, und das ist keine Kritik am Modell, sondern schlicht korrekte Sicherheitshygiene —, sondern weil der Schaden eines Fehlers klein sein sollte, von Anfang an. Erst Lesezugriff. Schleichende Berechtigungserweiterungen sind der Ausgangspunkt von Vorfällen.

Guardrails sind der Schema-Check auf dem Ausgang. Bevor die Ausgabe eines Modells ein nachgelagertes System erreicht, sollte etwas prüfen, ob sie der erwarteten Form entspricht. Nicht „ist das eine gute Antwort" — das ist ein anderes Problem. „Ist diese Ausgabe strukturell gültig, bevor sie Produktionsdaten berührt." Ein JSON, der einen Schema-Check nicht besteht, bleibt am Eingang. Eine unvalidierte Ausgabe, die einen Schreibvorgang auf eine Produktionstabelle auslöst, nicht.

Das ist nichts Aufregendes zu bauen. Es ist interessant zu finden, wenn es fehlt — wenn man im Red Team sitzt.

Bauen Sie die langweilige Sicherheitsschicht zuerst. Ich würde sie lieber nicht finden müssen.