KI im Unternehmen: Wie Sie Schatten-KI vermeiden und Kontrolle behalten

Der KI-Hype ist voll im Gange

Nahezu täglich poppen neue KI-Webinare auf, die nicht nur Prompts, sondern auch die Generierung von Tools zeigen. Eine Entwicklung, die einerseits begeistert – ganz Deutschland lernt KI – andererseits aber auch Ängste schürt: Wie sicher sind unsere Daten und Geschäftsgeheimnisse? Die Gefahr der Entstehung von Schatten-KI innerhalb eines Unternehmens wächst, und damit auch das Sicherheits- und Compliance-Risiko:

• Tools sind frei verfügbar
• Mitarbeiter möchten experimentieren
• Daten wandern unkontrolliert nach außen

Bringen Sie die Entwicklung innerhalb Ihres Unternehmens unter Kontrolle, lassen Sie aber Raum für KI-Nutzungen, damit Sie sich dem Innovationspotenzial nicht verschließen.

 

Führen Sie daher schnellstmöglich eine KI-Governance und eine KI-Richtlinie ein

Die KI-Governance gibt den organisatorischen Rahmen vor: KI-Strategie, Richtlinien, Prozesse und technische Kontrollen.

Die KI-Richtlinie ist Teil der KI-Governance und legt konkret fest, wie künstliche Intelligenz im Unternehmen eingesetzt, entwickelt oder beschafft werden darf.

Mit diesen Schritten können Sie sofort starten:

 

KI-Governance implementieren

Mit einer KI-Governance legen Sie den Rahmen z.B. für Prozesse, und Standards fest, wie KI-Systeme und -Tools entwickelt, getestet und eingesetzt werden.

 

Bereits vorhandene Schatten-KI identifizieren

Decken Sie die Nutzung nicht genehmigter Tools auf:

• Freiwillige Meldungen
• Auswertung von Netzwerkprotokollen
• Auswertung von Browsererweiterungen

Gehen Sie auf Ihre Mitarbeiter zu und klären Sie sie über die Gefahren auf. Kommunizieren Sie das weitere Vorgehen, z.B. Sperrungen unbekannter oder nicht gewünschter Quellen

 

Organisieren Sie ein zentrales Beschaffungsmanagement für KI-Tools

Die Nutzung von KI-Tools muss über diesen Prozess angemeldet und genehmigt werden. So haben Sie die Kontrolle und können die Sicherheitsrisiken besser einschätzen.

 

Setzen Sie die Pflichten der EU-KI-Verordnung um

Bei der Implementierung von KI-Systemen sind die Pflichten der EU-KI-Verordnung einzuhalten. Hierzu gehören:

• Risikoklassifizierung
• Dokumentationspflichten
• Schulungen (z.B. gemäß AI-Act, bezüglich Ihrer KI-Governance und KI-Richtlinien, Anwendungen)
• Transparenzanforderungen

 

Entwickeln Sie eine KI-Richtlinie

Formulieren Sie klare Regeln in Bezug auf die KI-Nutzung:

• Welche KI-Systeme (z.B. ChatGPT, Claude) sind erlaubt?
• In welchem Umfang dürfen die Systeme genutzt werden?
• Welche Daten dürfen in öffentliche KI-Systeme eingegeben werden, welche nicht (z.B. Kundendaten, Geschäftsgeheimnisse)?
• Wie werden Externe in die Regelungen eingebunden?

Je nach Sensibilität Ihrer Geschäftsbereiche, können sie auch für einzelne Bereiche Spezialisierte Regeln ausgeben. Wenn die Bereiche z.B. wichtige Forschungsprojekte begleiten, wäre es durchaus gerechtfertigt öffentliche KI-Systeme gar nicht nutzen zu dürfen.

 

Stellen Sie Alternativen (eigene standardisierte KI-Lösungen) bereit

Das Interesse an KI-Tools zeigt mitunter Defizite in der digitalen Unterstützung. Decken Sie diese Bedarfe auf und konsolidieren Sie sie:

• Können die Bedürfnisse auch mit Nachschulungen an vorhandenen Systemen gedeckt werden?
• Können die Bedürfnisse durch Erweiterungen bestehender Systeme gedeckt werden?
• Führen Sie interne datenschutzkonforme KI-Systeme ein und definieren Sie sie zum Standard.
• Stellen Sie in der Architektur sicher, dass Sie entsprechend ihren Betriebsstrukturen (Backups, Weiterverwendung von Daten, Support) unterstützt werden können.

 

Fördern Sie die KI-Kompetenz

KI-Systeme verändern das Denken über System-Architekturen, Prozesse und Datenverantwortung. Ein Wissen, das in nahezu allen Unternehmen nicht vorhanden ist. Es muss kontinuierlich aufgebaut werden:

• KI-Schulungen und Sensibilisierungen der Mitarbeiter
• KI-Workgroups für den Erfahrungsaustausch (auch unternehmensübergreifend)
• KI-Workgroups zur Weiterentwicklung der KI-Governance und KI-Richtlinie

 

Stellen Sie sicher, dass Synergien genutzt werden

Geben Sie Raum, in dem Mitarbeiter ihre selbst entwickelten Tools vorstellen können. Erfassen Sie sie in einer Datenbank, die von den Mitarbeitern selbst befüllt werden können. Das hat zwei Vorteile:

• Überblick über die Bedürfnisse der Mitarbeiter
• Interessante Lösungen können weiterentwickelt und einer größeren Nutzerbreite angeboten werden.

 

Schützen Sie Ihre Daten und Systeme

In einer Zeit zunehmender Cyberangriffe können Nachlässigkeiten die Sicherheit Ihres Unternehmens gefährden.

Mit diesen drei Aktivitäten sollten Sie sofort das Risiko senken:

• Zugriffskontrollen und Verschlüsselung: Rollenbasierte Zugriffskontrollen und Verschlüsselung schützen sensible Daten, auch wenn KI-Tools eingesetzt werden.
• Schutz der Eingabedaten: Sicherstellen, dass keine geschäftskritischen Daten in öffentliche Modelle fließen, die zum Training der KI weitergenutzt werden könnten (z.B. Enterprise-Lösungen, spezifischen Architektur-Entscheidungen / RAG)
• Regelmäßige Audits: Durchführung von Audits (z. B. auf Bias/Voreingenommenheit, Sicherheitslücken).

 

Fazit

Eine KI-Governance ist unumgänglich und kann nicht von Anfang an perfekt sein. Aber starten sie sofort damit und entwickeln Sie sie regelmäßig weiter. Interne Audits und der Austausch mit anderen Unternehmen können dabei weiterhelfen.

Sehr gerne organisiere ich für Sie die notwendigen Workshops.

 

Meine Empfehlungen zum Weiterlesen:

• Chatbots – Wissenstransfer im Unternehmen übernimmt die KI
• KI-Modell vs. KI-System – EXKURS
• Vakanzüberbrückung bis Spezialauftrag – Wann Interim-Manager einer Festanstellung vorzuziehen sind