RAGs für die Informationssicherheit: Effizienteres ISMS durch KI (1)
Informationssicherheits-Managementsysteme (ISMS) sind zentral für den Schutz sensibler Daten und gewinnen durch EU-Vorschriften wie den AI Act und NIS-2 an Bedeutung.
Moderne Sprachmodelle, ergänzt durch lokale Wissensdatenbanken beziehungsweise durch Retrieval-Augmented Generations (RAGs), können die Anwendung von ISMS erleichtern und die Akzeptanz bei den Mitarbeitern erhöhen, indem sie die Verständlichkeit von Richtlinien und Vorschriften verbessern und an die Bedürfnisse der Anwender anpassen. Sie sind zudem quellen- und branchenunabhängig einsetzbar und werden in Zukunft noch leistungsfähiger und vielseitiger sein.
Informationssicherheits-Managementsysteme spielen in der heutigen digitalen Welt eine zentrale Rolle. Sie sind entscheidend für den Schutz sensibler Daten in Unternehmen und die Gewährleistung der IT-Sicherheit. Darüber hinaus gewinnen ISMS aufgrund neuer EU-Vorschriften wie dem AI Act und NIS-2 zunehmend an Bedeutung. Diese Regelungen stellen zusätzliche Anforderungen an die IT-Sicherheit und machen ein robustes ISMS unabdingbar.
Doch trotz ihrer Bedeutung sind viele Systeme nicht intuitiv nutzbar. Es bedarf gezielter Maßnahmen, um die Mitarbeiter zur aktiven Nutzung zu motivieren und die Anwendung eines ISMS zu fördern. Ein wesentlicher Aspekt ist dabei, die Komplexität von IT-Sicherheitsrichtlinien zu reduzieren. Diese müssen so formuliert sein, dass sie für jeden Mitarbeiter verständlich sind, unabhängig von seiner Rolle oder seinem technischen Hintergrund. Darüber hinaus müssen die Richtlinien verfügbar sein, da die Suche nach ihnen die Arbeitsprozesse stark verlangsamt. Nur so kann sichergestellt werden, dass jeder in der Lage ist, die Richtlinien effektiv umzusetzen.
In diesem Zusammenhang bieten moderne Technologien wie Sprachmodelle und Retrieval-Augmented Generation erhebliche Vorteile. Sie können dazu beitragen, die Bedienung und Umsetzung von ISMS zu vereinfachen und deren Akzeptanz zu erhöhen. Beispielsweise werden Richtlinien in der Sprache des Sprachmodell-Nutzers ausgegeben, was die Verständlichkeit verbessert. Mitarbeiter haben zudem nur Zugriff auf die für sie freigegebenen Informationen, was die Sicherheit erhöht. RAGs sind nicht nur flexibel einsetzbar, wenn ein effizienter Wissenszugriff erforderlich ist, sondern zudem auch universell und branchenunabhängig. Abbildung 1 zeigt einen Prototypen eines RAG-Chatbots, der automatisiert Unternehmensrichtlinien überprüft. Ein Video dazu ist in voller Länge unter www.advisori.de/news-projekte/advisori-chatbot verfügbar.
Rag-Chatbots: Fusion von generativen und Retriaval-basierten Modellen
RAGs nutzen große Sprachmodelle wie ChatGPT, um mithilfe von Wissensdatenbanken nach relevanten Informationen zu suchen und präzise Antworten zu liefern. Sie bestehen im Wesentlichen aus den folgenden zwei Komponenten:
Retrieval-Modell: Diese Komponente sorgt dafür, dass relevante Informationen aus einer Wissensdatenbank abgerufen werden.
Generatives Sprachmodell: Diese Komponente nutzt die vom Retrieval-Modell abgerufenen Informationen, um mithilfe eines Sprachmodells (zum Beispiel ChatGPT, Gemini oder Llama et cetera) eine benutzerspezifische Antwort zu generieren. Das generative Sprachmodell nutzt zusätzlich die ursprünglich im Training erworbenen Fähigkeiten und kombiniert diese mit externem domänenspezifischem Wissen aus der Wissensdatenbank.
Daten für so eine Wissensdatenbank können vielfältig sein, darunter unternehmensspezifische Quellen wie Wikis, Intranet-Seiten, Datenbanken, das SharePoint sowie Informationen aus Kundensupport-Tickets und deren Lösungen. Für den Benutzer bedeutet dies, dass er seine Suche direkt in das Suchfeld eingeben kann und anschließend interaktiv, ähnlich wie bei ChatGPT, mit den Dokumenten kommuniziert, anstatt relevante Informationen mühsam über Stichwortsuchen oder Keywords herauszufiltern.
RAGs können aber auch effektiv zur kontinuierlichen Überprüfung von Informationen eingesetzt werden, indem sie automatisch prüfen, ob beispielsweise Unternehmensrichtlinien den aktuellen Standards entsprechen oder ob Anpassungen erforderlich sind. Die Funktionsweise des RAG-Chatbots im Rahmen des ISMS wird im Folgenden Schritt für Schritt anhand eines Beispiels demonstriert (siehe dazu auch Abbildung 2).
Schritt 1: Anfrage eines Benutzers
Ein User (1) stellt eine Anfrage an das System, die wie folgt lauten kann: „Wie sieht die Richtlinie zum Patchmanagement aus?“
Schritt 2: Umwandlung der Benutzeranfrage in Vektoren
Bevor das Retrieval-Modell nach relevanten Informationen suchen kann, wird die Anfrage des Benutzers tokenisiert (2) und in einen Vektor umgewandelt (3). Beim Tokenisieren werden Textinhalte in ihre Grundbestandteile, sogenannte Tokens, zerlegt. Diese Tokens bestehen aus einzelnen Wörtern, Satzzeichen oder anderen bedeutungstragenden Einheiten. Diese Tokens werden durch ein Embedding-Modell in Vektoren umgewandelt. Dabei erhält jedes Wort eine numerische Repräsentation in einem multidimensionalen Raum. Das Modell ordnet ähnlichen Wörtern ähnliche Vektoren zu, wodurch semantische Beziehungen zwischen den Wörtern abgebildet werden. Diese Vektorrepräsentationen ermöglichen folglich, die Bedeutung von Wörtern basierend auf ihrer Verwendung im Kontext zu erfassen.
Schritt 3 (Retrieval-Modell): Aufbau einer Wissensdatenbank
Für die Wissensdatenbank werden Unternehmensrichtlinien, branchenspezifische Vorschriften und Regularien aus unterschiedlichen Quellen (zum Beispiel Sharepoint, Google Drive et cetera) ebenfalls zunächst tokenisiert (4) und in Vektoren (5) umgewandelt. Die durch das Embedding-Modell generierten Vektoren werden in einer Vektordatenbank (6) gespeichert, wodurch der Inhalt der Dokumente semantisch repräsentiert wird.
Diese Speicherung ermöglicht eine effiziente Suche und Analyse, da die Vektoren die Bedeutung der Dokumente erfassen und deren inhaltliche Beziehungen abbilden. So können ähnliche Dokumente und Informationen schnell identifiziert und abgerufen werden, was die Nutzung der Wissensdatenbank optimiert. Es ist wichtig, dass für alle Text-zu-Vektor-Umwandlungsschritte ein einheitliches Embedding-Modell verwendet wird, da sonst die Kontextrepräsentationen der unterschiedlichen Modelle variieren würden. Dies könnte zu Inkonsistenzen bei der semantischen Analyse und bei den Suchergebnissen führen.
Schritt 4 (Retrieval-Modell): Suche nach ähnlichen Dokumenten in der Wissensdatenbank
Die vektorisierte Suchanfrage des Benutzers (3) wird verwendet, um in der Wissens(vektor)datenbank nach semantisch ähnlichen Vektoren (7) zu suchen. Dabei kommen Techniken zum effizienten Indexieren und Durchsuchen großer Datensätze zum Einsatz, die eine schnelle und präzise Identifikation relevanter Informationen ermöglichen. Die gefundenen Vektoren, in unserem Fall zum Patchmanagement, werden anschließend in ihre ursprüngliche Textform (8) zurückgewandelt und zur weiteren Verarbeitung an ein Sprachmodell (9) übergeben.
Schritt 5: Generierung der Antwort
Das Sprachmodell sieht somit nicht nur die Frage des Nutzers, sondern auch das Hintergrundwissen, das erforderlich ist, um korrekt zu antworten (10). Das eigens erlernte Wissen wird vom Sprachmodell genutzt, um die Anfrage in der vom Benutzer gewünschten Form zu beantworten. Auf diese Weise kann ein Chatbot sämtliche Fragen zu einem Thema beantworten, vorausgesetzt, die Antwort ist Bestandteil der Wissensdatenbank. In unserem Fall wären es Richtlinien zur sicheren Softwareentwicklung und Software-Patches, einschließlich Verlinkungen zu den Originaldokumenten. Diese Informationen ermöglichen es dem Nutzer, auf fundierte Quellen zuzugreifen und aktuelle Sicherheitsstandards direkt einzusehen.
RAGs vs. Fine-Tuning: Ein Vergleich
Sowohl RAGs als auch Fine-Tuning sind leistungsstarke Werkzeuge zur Anpassung und Optimierung von Sprachmodellen. Zwar umfassen fertig trainierte Sprachmodelle allgemeines Wissen, das auf eine Vielzahl von Aufgaben angewendet werden kann. Um allerdings den spezifischen Anforderungen der verschiedenen Anwendungen gerecht zu werden, wird das Fine-Tuning eingesetzt, um das Modell zu spezialisieren und seine Leistungsfähigkeit zu steigern. Bei dieser Technik werden bestimmte Parameter und Gewichte eines Sprachmodells während einer Anpassung weiter optimiert, um das Modell gezielt auf spezifische Daten, wie etwa Unternehmensrichtlinien, abzustimmen. Das gelernte Vorwissen geht dabei nicht verloren, sondern wird durch spezifische Anpassungen optimiert, um Nutzeranfragen präziser beantworten zu können.
Dieser Ansatz hat jedoch einige Nachteile. Das Fine-Tuning erfordert spezielle Kenntnisse im Bereich des maschinellen Lernens, einen hohen Rechenaufwand einschließlich leistungsfähiger GPUs oder TPUs und kann sehr zeitaufwendig sein. Darüber hinaus muss der Prozess für jede neue Anwendung oder Änderung der Daten wiederholt werden. Wenn die Themen nicht Teil der Trainingsdaten sind, wie es bei aktualisierten Richtlinien und Standards der Fall ist, können Sprachmodelle ungenaue und irreführende Informationen erzeugen, die man als „Halluzinationen“ bezeichnet. Besonders in Domänen, in denen sich die Wissensbasis ständig ändert oder nicht öffentlich verfügbar ist, stellt das Fine-Tuning eine Herausforderung dar.
RAGs: Höherer Grad der Automatisierung und verbesserte Kosteneffizienz
Zwar bietet das Fine-Tuning eine gezielte und spezialisierte Verbesserung von Modellen an, wenn es allerdings um Anwendungen geht, die auf aktuelle und sich ständig ändernde Informationen angewiesen sind, haben RAGs eine Reihe weiterer entscheidender Vorteile:
Ressourcenschonend: Es muss kein Sprachmodell zeit- und ressourcenaufwendig nachtrainiert oder „fine-tuned“ werden.
Relevanz und Flexibilität: RAG-Systeme können leicht angepasst werden, um neue Datenquellen und Informationen zu integrieren. Jede Wissensquelle lässt sich in den Prozess einbinden. Dadurch liefern sie stets aktuelle und präzise Antworten.
Transparenz: Da RAG-Systeme in der Lage sind, die Herkunft der abgerufenen Informationen zu dokumentieren und die verwendeten Quellen zu zitieren, ermöglichen sie eine Überprüfung der generierten Antwort. Die Neigung der Sprachmodelle zur Halluzination wird dadurch verringert.
Zugriffssteuerung: Eine rollenbasierte Zugriffskontrolle kann auf Dokumentenebene implementiert werden, um den Zugriff auf Daten zu steuern und den Zugriff nur autorisierten Personen zu erlauben.
Zeitersparnis durch Automatisierung: Es ist nicht notwendig, Informationen manuell oder durch Stichwort- oder Schlagwortsuche zu suchen. Das System kann die Suche und Integration der relevanten Daten übernehmen, um effizient und schnell relevante Informationen abzurufen.
Verbesserte Benutzererfahrung: RAG-Systeme sind in der Lage, Antworten zu generieren, die auf den spezifischen Kontext und die Bedürfnisse des Benutzers abgestimmt sind, was die Benutzerzufriedenheit erhöht. Dies bedeutet, dass neben dem „Was“ auch das „Wie“ der bereitgestellten Informationen bestimmt werden kann – auch mehrsprachig.
Die Rolle des Promptengineerings
Damit Sprachmodelle präzise und kontextbezogene Antworten generieren, spielt das Prompt-Engineering eine entscheidende Rolle. Dabei wird der Eingabeprompt so gestaltet und klar definiert, dass das Sprachmodell genau auf die Anfrage eines Benutzers antworten kann. Da das Prompting einen wesentlichen Einfluss auf die Qualität der abgerufenen Informationen und der generierten Antworten hat, spielt dieser Prozess insbesondere bei automatisierten RAGs eine entscheidende Rolle. Ein gut durchdachter und präziser Prompt kann den Unterschied zwischen einer allgemeinen und einer sehr spezifischen Antwort ausmachen.
Oftmals ist es notwendig, den Prompt iterativ zu verfeinern, basierend auf den ersten Ergebnissen. Dies bedeutet, dass der Benutzer den Prompt anpassen und umformulieren muss, um bessere und genauere Ergebnisse zu erhalten. Das ist besonders wichtig bei komplexen Abfragen, bei denen verschiedene Aspekte und Details berücksichtigt werden müssen. Beispielsweise kann ein Benutzer statt „Wie sieht die Richtlinie zum Patchmanagement aus?“ den Prompt wie folgt anpassen, um vom Sprachmodell eine präzisere Antwort zu erhalten: „Bitte erläutere die aktuellen Richtlinien und Best Practices zum Patchmanagement, insbesondere in Bezug auf die neuesten Updates und Änderungen. Welche Schritte sind in der Implementierung und Überwachung besonders wichtig?“
Wie werden RAGs die Zukunft prägen?
Im Bereich des Wissensmanagements eröffnen Retrieval-Augmented-Generative-Systeme beeindruckende Möglichkeiten. Im ISMS stellen sie eine dynamische Lösung dar, um Sicherheitsrichtlinien und -standards effektiv zu verwalten. RAGs zeichnen sich durch ihre Fähigkeit aus, aktuelle Informationen effizient abzurufen und zu verarbeiten, wodurch sie die Limitationen rein generativer Chatbots überwinden. Im Vergleich zum Fine-Tuning von Modellen sind sie ressourcenschonender und flexibler, während sie gleichzeitig eine höhere Transparenz bieten.
Dies geschieht durch die Dokumentation der Herkunft von Informationen sowie der Angabe der genutzten Quellen. Durch ihre vielseitige Anwendbarkeit werden RAGs nicht nur die Zukunft der IT-Sicherheit maßgeblich beeinflussen, sondern werden auch universell und branchenunabhängig eingesetzt werden, um einen effizienten Zugriff auf Wissen zu ermöglichen und Mitarbeitern gezielt relevante Informationen bereitzustellen.
In unserem nächsten Artikel in Ausgabe 5 der IT-SICHERHEIT werden wir genauer darauf eingehen, wie sich RAGs effektiv im IT-Ticketsystem einsetzen lassen. Beispielsweise können diese automatisiert Ähnlichkeiten und Muster zwischen Tickets identifizieren, wodurch häufige Probleme erkannt und deren Lösungen standardisiert werden können. Das verbessert nicht nur die Effizienz der Problemlösung, sondern ermöglicht auch eine proaktive Wartung, indem wiederkehrende Probleme schneller erkannt und behoben werden. Die kontinuierliche Weiterentwicklung und Optimierung der RAG-Technik wird dazu führen, dass sie ihre Fähigkeiten zur Wissensverarbeitung
und -integration weiter ausbauen werden, beispielsweise durch die Berücksichtigung von nutzerspezifischem Wissen.
Hinzukommen werden Weiterentwicklungen wie autonome KI-Agenten und multimodale Chatbots, die neue Möglichkeiten eröffnen und die Fähigkeiten von Chatbots erweitern werden.
Asan Stefanski ist Director des Bereiches Digital Transformation bei der ADVISORI FTC GmbH. Er verfügt außerdem über langjährige Erfahrung als Teamleiter im Bereich Software Engineering.
Inna Vogel ist Senior Consultant im Bereich Digital Transformation bei der ADVISORI FTC GmbH. Vorher hat sie mehrere Jahre an einem renommierten Institut im Bereich maschinelles Lernen und Sprachtechnologie geforscht.