Schatten-KI braucht Absicherung, keine Verbote.
Mitarbeitende nutzen im großen Stil öffentliche KI-Tools – und stürzen Unternehmen damit in ein Dilemma: Einerseits profitieren sie von der steigenden Produktivität der Belegschaft, andererseits werden ihre Daten mit Schatten-KI großen Risiken ausgesetzt.
Zusammenfassung (TL; DR):
- Durch Schatten-KI entstehen große Risiken
- Neben technischen Vorkehrungen ist es wichtig, dass Unternehmen ihre Mitarbeiter in Schulungen über die Risiken von KI-Tools aufklären
E-Mails formulieren, Meetings zusammenfassen, Präsentationen erstellen: Mitarbeitende nutzen inzwischen ganz selbstverständlich KI-Tools wie ChatGPT, Copilot oder Gemini, um kreative Prozesse zu beschleunigen und Routineaufgaben abzugeben. Das geschieht aber häufig ohne Aufsicht der zentralen IT. Durch diese Schatten-KI entstehen große Risiken: Sensible Informationen können in fremde Systeme abfließen, Geschäftsgeheimnisse offengelegt und Datenschutzvorgaben verletzt werden.
Solche Tools zu verbieten und ihre Nutzung zu unterbinden ist freilich keine Option, denn damit würden Unternehmen auf große Produktivitätssteigerungen und viel Innovationskraft verzichten. Deshalb ist es besser, dafür zu sorgen, dass KI kontrolliert, transparent und sicher eingesetzt wird:
- Daten vorbereiten. Damit Unternehmen einen sicheren Einsatz ihrer Daten mit KI gewährleisten können, müssen sie wissen, welche sensiblen Informationen sie überhaupt haben, wo sie sich überall befinden und wie schützenswert sie sind. Moderne Tools für Data Security Posture Management (DSPM) können die gespeicherten Daten in verteilten IT-Umgebungen aus firmeneigenen Servern, Clouds und Endgeräten regelmäßig scannen und mit Hilfe von künstlicher Intelligenz klassifizieren.
- Gezielte Nutzung erlauben. Unternehmen sollten ermitteln, welche KI-Tools ihren Mitarbeitenden tatsächlich einen handfesten Nutzen bringen und Richtlinien aufstellen, welche Tools von welchen Nutzergruppen eingesetzt werden dürfen. Mit einem Secure Web Gateway (SWG) und einem Cloud Access Security Broker (CASB) lassen sich die Zugriffe feingranular steuern. So wird nur autorisierten Mitarbeitern Zugang zu den KI-Tools gewährt.
- Riskante Aktivitäten unterbinden. Mit Monitoring-Systemen, die DLP-Technologie (Data Loss Prevention) nutzen, können Unternehmen die Interaktionen der Nutzer mit KI-Tools anonymisiert überwachen, riskante Verhaltensmuster identifizieren und problematische Aktionen stoppen. Wenn ein Mitarbeitender beispielsweise versucht, ein KI-Tool zu nutzen, das für ihn nicht zugelassen ist, oder einen sensiblen Textabschnitt in einen Chat kopieren möchte, blendet das System einen Warnhinweis ein oder blockiert die Aktion.
- Content schützen. DLP-Technologie ermöglicht es Unternehmen zudem, Inhalte zu schützen. Wenn Mitarbeitende Dokumente, PDFs, Bilder oder Quellcode in ein KI-Tool hochladen möchten, prüft die Technologie, ob sie sensible Informationen enthalten und verhindert gegebenenfalls den Upload. Das funktioniert auch dann zuverlässig, wenn sensible Inhalte in eine neue Datei eingebettet werden oder in einem Screenshot enthalten sind.
- Maßnahmen dynamisch anpassen. Gute Monitoring-Systeme passen ihre Maßnahmen gegen riskante Aktionen mit KI-Tools automatisch an den Kontext an. Ob sie einem Mitarbeitenden nur einen Hinweis anzeigen, eine Aktion blockieren oder ihm vielleicht sogar Zugriffsrechte entziehen, hängt von seinen vorangegangenen Aktivitäten ab und dem Gesamtbild, das sich daraus ergibt. So gewährleisten die Systeme hohe Sicherheit, ohne die Produktivität der Mitarbeitenden unnötig einzuschränken.
Neben technischen Vorkehrungen ist es wichtig, dass Unternehmen ihre Mitarbeiter in Schulungen über die Risiken von KI-Tools aufklären und für die Einhaltung der Richtlinien sensibilisieren. Wenn sie dann trotzdem im hektischen Arbeitsalltag versuchen, sensible Daten einzugeben oder Dateien mit vertraulichen Informationen hochzuladen, sorgt die Technologie dafür, dass sie die Richtlinien einhalten.
