17. Dezember 2024

Schatten-KI und ihre Herausforderungen

ADLON Logo

Ravensburg, im Dezember 2024 – Bisher gab es die Schatten-IT, die beschrieb, dass Mitarbeiter mit nicht genehmigten Tools und Geräten arbeiten und damit eine von der IT-Abteilung nicht beherrschbare IT-Infrastruktur nutzen. Quasi unsichtbar für IT-Verantwortliche und im Schatten der IT-Security und Governance. Nun kommt eine neue Qualität hinzu: die Schatten-KI. Sie beschreibt den Trend, dass Mitarbeiter generative KI-Tools (GenAI) ohne Freigabe dieser und ohne Sicherheitsdenken nutzen.

Der Einsatz von GenAI verbreitet sich virusartig. Nicht zuletzt, da große Tech-Konzerne ihre Devices und Services mit GenAI als Wettbewerbsvorteil anreichern und somit die Anwender trainieren. Im Zuge der Consumerization nimmt der Mensch privat Gelerntes ganz natürlich mit in die Arbeitswelt. Mitarbeiter verwenden GenAI aus unterschiedlichen Gründen, wie die Anreicherung und Erstellung von Texten, Bildern, Videos oder anderen Datenformen sowie die Unterstützung im Alltag wie z. B. die Ausführung von Anweisungen. Laut einer Umfrage von Microsoft und LinkedIn im März dieses Jahres, nutzen sieben von zehn Beschäftigte (71 %) GenAI, ohne dass diese Tools vom Arbeitgeber bereitgestellt werden.

In Unternehmen führt der Einsatz von nicht genehmigten Tools, zu denen nun auch GenAI Tools zählen, zur Entstehung einer Schatten-KI. Diese birgt erhebliche Risiken für die Werte des Unternehmens, insbesondere in zwei zentralen Bereichen: Datenschutz und IT-Sicherheit.

Datenschutz

Ein wesentliches Problem bei der Nutzung von KI-Tools, die nicht durch die IT-Security-Verantwortlichen eines Unternehmens geprüft und freigegeben wurden, ist der Datenschutz. GenAI sammelt und verarbeitet eine große Menge an Daten, darunter auch personenbezogene Daten. Ohne eine klare Übersicht und Kontrolle über die genutzten Tools und deren Datenschutzpraktiken kann ein Unternehmen leicht gegen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Risiken im Detail:

  • Unkontrollierte Datenerfassung: GenAI speichert und lernt aus sensiblen Unternehmensdaten und personenbezogenen Daten. Ohne angemessene Sicherheitsvorkehrungen des Anbieters gelangen diese unkontrolliert ins Netz.
  • Datenübertragung in unsichere Drittländer: Viele KI-Tools sind cloudbasiert und können Daten auf Servern speichern, die sich in Ländern außerhalb der EU befinden. Hierbei muss bedacht werden, dass es Länder gibt, die kein vergleichbares Datenschutzniveau wie die EU bieten und Daten beliebig verarbeiten oder veräußern.
  • Fehlende Einwilligungen: Die Nutzung bestimmter KI-Tools kann die Einwilligung der betroffenen Personen erfordern. Werden diese Tools jedoch ohne Wissen dieser Person und des Datenschutzbeauftragten des Unternehmens verwendet, verstößt die Person gegen die DSGVO. Bußgelder und Klagen folgen, die einen erheblichen finanziellen Schaden und Imageverlust mit sich bringen können.

IT-Sicherheit

Neben den datenschutzrechtlichen Bedenken stellt die Nutzung von GenAI auch erhebliche Risiken für die IT-Sicherheit dar. Die Weitergabe von sensiblen Informationen an eine GenAI könnte das geistige Eigentum und Geschäftsstrategien des Unternehmens gefährden. Hand in Hand geht bei einem Vorfall der Vertrauensverlust seitens Mitarbeiter und Kunden.

Risiken im Detail:

  • Einschleusung von Malware: Nicht autorisierte KI-Tools können, wie alle IT-Tools, Sicherheitslücken aufweisen, die von Cyberkriminellen ausgenutzt werden.
  • Unkontrollierte Datenflüsse: Durch die Nutzung von KI-Tools außerhalb der unternehmenseigenen Infrastruktur verliert das Unternehmen die Kontrolle über die Datenflüsse. So gelangen sensible Informationen ungewollt nach außen. Auch KI-Tools in der Cloud sollten individuell betrachtet und eine Risikoabschätzung erstellt werden.
  • Finanzielle Risiken bestehen in unkontrollierten doppelten Ausgaben für KI-Tools, wenn diese statt der offiziellen und sanktionierten Technologien genutzt werden.
  • Unzureichende Sicherheitsprotokolle: Viele KI-Tools, die von Mitarbeitern eigenständig genutzt werden, haben möglicherweise nicht die notwendigen Sicherheitsprotokolle oder Verschlüsselungstechniken, die in einem Unternehmensumfeld erforderlich sind.
  • Fehlende Implementierung von Überwachung und Kontrollmechanismen. Fehlt eine kontinuierliche sowie lernende Netzwerküberwachung, fehlen regelmäßige Audits und fehlen Zugriffskontrollen, erhöht sich das Risiko von Sicherheitsvorfällen.
  • Ein funktionelles Risiko besteht in einem Modelldrift. Eine Drift tritt dann auf, wenn eine Abweichung in der ordnungsmäßigen Bearbeitung des KI-Modells vorliegt. Beispielsweise durch falsche oder veraltete Trainingsdaten oder technische Veränderungen. Dies führt auch zu schlechten Ergebnissen, falschen Informationen oder fraglichen Ratschlägen.
  • Nicht zuletzt stellt Gewohnheit und somit die zeitliche Nutzung nicht genehmigter Tools ein Risiko dar. Je länger Anwender ein Tool nutzen und sich daran gewöhnen, desto höher ist die Gefahr der Ablehnung bei der Einführung offizieller KI-Tools oder auch der Umschulungsaufwand.

Wichtige Aspekte, warum man dem Spiel mit den Schatten nicht leichtfertig unterbinden sollte

KI kann für Unternehmen eine Vielzahl von Vorteilen bieten, wie z. B. eine höhere Produktivität, Barrierefreiheit und Innovationskraft der Mitarbeiter. „Mitarbeiter werden immer Mittel und Wege finden, praktische Tools wie die GenAI zu nutzen“ so Sven Hillebrecht, General Manager und ISMB der Adlon Intelligent Solutions GmbH. „Verantwortliche können nicht davon ausgehen, dass die Schatten-KI in absehbarer Zeit verschwinden wird, im Gegenteil! Daher gilt es jetzt das eigene Unternehmen vorzubereiten und einmal mehr die ITvolution verantwortungsvoll gemeinsam zu gestalten.“

Dazu zählt die Einführung einer KI-Governance und KI-Richtlinie innerhalb der IT-Strategie des Unternehmens. Sie helfen, die Nutzung von KI-Tools innerhalb des Unternehmens zu überwachen, zu regulieren und sicherzustellen, so dass diese den rechtlichen Anforderungen sowie den internen Richtlinien des Unternehmens entsprechen. Pragmatisch umgesetzt beinhalten sie, welche KI-Tools genutzt werden dürfen, welche Sicherheitsanforderungen diese erfüllen müssen und welche Schritte zur Einhaltung der Datenschutzbestimmungen erforderlich sind.

Wie so oft, geht es hier nicht ohne die gesamte Belegschaft. Mitarbeiter müssen nicht nur über die Risiken und Richtlinien informiert werden, sondern auch in die Entwicklung und Implementierung pragmatischer Richtlinien einbezogen werden. Dann wird GenAI zum Produktivitätsbooster und Innovationstreiber statt zur Schatten-KI.

Weiterführende Links:

adlon.de/services/ki-beratung/

ZIP | 354 KB | inklusive Bildmaterial

Ihre Ansprechpartnerin

ADLON Speaker Sabrina Dür

Sabrina Dür

+49 751 7607‐715

sabrina.duer@adlon.de