Mit nur einer Eingabe kann ChatGPT E-Mail-Vorlagen schreiben, ganze PDF- oder Excel-Dateien analysieren und Texte für interne Präsentationen und Konzepte erstellen. Doch die Nutzung dieser Technologie erfolgt nicht immer im Einklang mit rechtlichen Rahmenbedingungen. Viele Unternehmen passen daher ihre IT-Richtlinien an, um den Einsatz von öffentlich verfügbarer Künstlicher Intelligenz zu regulieren. Dies ist nachvollziehbar, da die kostenloste Anwendung die eingegebenen Daten zum Trainieren und zur Weiterentwicklung der KI nutzt. Daher sollte man sorgfältig überlegen, welche Daten man eingibt.
Fehlen jedoch praktikable unternehmensinterne Alternativen, setzen Mitarbeiter oft heimlich KI-Tools wie ChatGPT, GitHub und ähnliche ein – unbemerkt und im Verborgenen. Die Nutzung von Firmendaten findet dann zu Hause und auf privaten Computern statt. Dies führt zu einer Art Schatten-IT, die parallel zur offiziellen IT-Infrastruktur des Unternehmens existiert.
Die Risiken der Schatten-IT
Die Breite der Schatten-IT ist seit dem KI Hype regelrecht explodiert. Bereits 2023 gaben laut Gartner über 40% der Befragten an, Schatten-IT aktiv zu nutzen. Laut weiteren Quellen verdoppelt sich das Ausmass der Nutzen alle 1-2 Jahre. Dass eine Schatten-IT sich überhaupt aufbauen kann ist aber auch ein Indikator, dass die hausinterne IT Innnovationsrückstände aufweist oder sehr lange Reaktionszeiten auf wichtige Trends hat. Die Existenz von Schatten-IT ist also eine Art "Wink mit dem Zaunpfahl" seitens der Mitarbeitenden.
Die Risiken der KI Nutzung im Verborgenen
Die Mitarbeitenden nutzen KI am Arbeitsplatz vor allem aus dem Grund die eigene Produktivität zu erhöhen, schneller mit einer Aufgabe fertig zu werden oder die Qualität eines Arbeitsergebnisses zu verbessern. An und für sich eine löbliche Absicht. Aber was oft vergessen wird, die Nutzung von Gratis-KI birgt Risiken. Die Belegschaft füttert die KI mitunter mit sensitiven Dateien und Informationen. Die KI wiederum nutzt die Input zum Lernen und spuckt deren Inhalt im Extremfall als Antwort auf eine Frage anderer Nutzenden wieder aus. Urheberrechte von eingefütterten Inhalten sind so nicht mehr erkennbar und Inhalte werden zuweilen in anderem Kontext wiederverwendet und so verfälscht.
Grundlagen und Transparenz schaffen
Aufklärung tut entsprechend not. Nur den wenigsten Anwendern und auch vielen IT-Verantwortlichen ist nicht genügend klar, was nach einem Prompt in einem generativer KI-Tool wirklich passiert und wohin die Daten fliessen. Eine interne Informations-Kampagne oder ein update der regelmässigen Security Briefings für die Belegschaft ist ein guter Anfang. Im Sinne einer verantwortungsvollen Verwendung von KI empfiehlt es sich für Unternehmen genau festzuhalten, für welche Anwendungen welche KI vom wem verwendet werden darf, und wie die Resultate dieser Anwendung allenfalls entsprechend gekennzeichnet werden sollten.
Zu definieren sind:
- Grundsätze des Einsatzes von KI: insbesondere die Definition von Verantwortlichkeit, das Transparenz-machen von KI generierten Erzeugnissen, das Sicherstellen von Informationssicherheit und der Umgang mit geistigem Eigentum.
- Nutzung von KI-Tools und Daten: Welche KI-Tools mit welchen Lizenzen sind vorgesehen zur Nutzung von welchen Daten und wo bedarf es einer manuellen (menschlichen) Kontrolle.
Wie so eine interne Regelung (Weisung) aussehen kann, zeigt das Beispiel von David Rosenthal sehr schön auf. https://www.vischer.com/know-how/blog/teil-3-ki-11-grundsaetze-und-eine-weisung-fuer-mitarbeitende/
Generative KI als Teil der Firmen-IT etablieren
Um die Nutzung von generativer KI Tools unternehmensintern auf eine sichere und Datenschutzkonforme Art und Weise möglich zu machen, gilt es die eigene IT Landschaft dafür fit zu machen. Die Definition von erlaubten KI Tools orientiert sich dabei an ähnlichen Prinzipien, wie die Nutzung von anderen SaaS Diensten. Es gilt einerseits abzuchecken, welche Dienste ein genügende vertragliche Garantie von DSG Anforderungen abdecken. Gratis-KI-Tools können dies nicht leisten. Es gibt aber von den wichtigsten Tools sogenannte "Enterprise-Versionen", zum Beispiel Chat GPT Enterprise (https://openai.com/chatgpt/enterprise) die mit den notwendigen Datenschutz Garantien kommen.
Noch einfacher wird es für Kunden von Plattformen wie Microsoft 365. Hier ist die Nutzung des hauseigenen CoPilot, der wiederum auf ChatGPT zugreifen kann, im Vertragswerk von Microsoft 365 geregelt. Microsoft garantiert damit, dass Unternehmens-Daten nie den eigenen Microsoft Tenant verlassen und nicht für Trainingszwecke benutzt werden. Ähnliche Vereinbarungen gibt es von anderen Plattformen, die KI benutzen, zum Bespiel zur Erstellung von Online Content in HubSpot.
Neben der vertraglichen Sicherstellung des Datenschutzes bei der Verwendung von generativen KI, bedarf es auch einer technischen und operativen Sicherung. Der CoPilot für Microsoft 365 nutzt zum Beispiel die für das ganze System gemachten Einstellungen für das Feststellen von Identitäten und das Erteilen von Zugriffs-Rechten. Sind diese nicht oder nur standardmässig eingepflegt, dann sind auch die Resultate der KI Abfragen eventuell nicht "compliant" mit den Datenschutzregelungen. Ein Ausrollen von CoPilot empfiehlt sich also nur einem bewusst aufgesetzten Identitäts- und Zugriffsmanagement. Nur so kann sichergestellt werden, dass gut verfasste Prompts mittels CoPilot keine Resultate zu Tage fördern, die die internen Regelungen für Datenzugriff umgeben.
Risiken kontrollieren - eigene IT-Landschaft richtig managen
Nutzen Mitarbeitende Schatten-IT und KI Tools ausserhalb der durch die internen Weisungen erlaubten Grenzen, so gehen sie mitunter wesentliche Haftungsrisiken ein. Interne Aufklärung und wiederkehrende Schulungen helfen, diese Risiken zu minimieren. Risiken ausschliessen oder erkennen lässt sich durch eine durch das Unternehmen gemanagte IT-Umgebung, das alle für betriebliche Zwecke benutzten Endgeräte einschliesst, etwa durch die Verwendung von Firmenlaptops und das Management von Endgeräten unter Zero-Trust Prinzipien. Sicherheit und Datenschutz sind umfassende Aufgaben.
Was zu einem gut gemanagten digitalen Arbeitsplatz gehört? Das folgende Webinar gibt Antwortgen https://www.netrics.ch/blog/webinar-sicher-trotz-m365
.png){kind=logo}
