Startseite > Security > Generative KI-Lösungen als unbekannte Gefahr

Schatten-KI

Generative KI-Lösungen als unbekannte Gefahr

28. März 2024, 16:00 Uhr | Autor: James Blake/Redaktion: Sabine Narloch

Neues Mitglied in der Schatten-IT: Immer mehr Mitarbeitende nutzen generative KI-Lösungen wie ChatGPT & Co. – allerdings oft ohne Kontrolle durch die IT-Abteilung. Mögliche Folgen sind Compliance-Verstöße, Datenverlust, falsche Ergebnisse oder Malware-Infektionen.

Laut der Umfrage „The Promises and Pitfalls of AI at Work“ von Salesforce nutzen in Deutschland 23 Prozent der Befragten generative KI am Arbeitsplatz. Allerdings hat davon schon mehr als die Hälfte auch nicht genehmigte KI-Tools bei der Arbeit eingesetzt.

Welche Risiken das unter anderem birgt, zeigen gleich drei Beispiele aus dem April 2023 bei Samsung Semiconductor. Kurz nachdem das Unternehmen die Nutzung von ChatGPT erlaubt hatte, gab ein Entwickler den Code eines proprietären Programms ein, um Fehler zu beheben. Dabei war das Programm streng geheim und sollte nicht an die Öffentlichkeit gelangen.

Ein anderer Mitarbeiter tippte Testmuster zur Optimierung ein. Diese Testsequenzen für Mikrochips sind jedoch auch für die Konkurrenz sehr wertvoll. Im dritten Fall sollte ChatGPT aus Meeting-Informationen eine Präsentation erstellen. Aber auch hier waren sensible Daten enthalten.

Mögliche Gefahren durch KI

Diese Beispiele können in jedem Unternehmen passieren und zeigen: KI ist zwar ein praktischer Assistent für Mitarbeitende, kann aber auch neue Risiken schaffen wie:

Verletzungen des Datenschutzes: Die Eingabe von sensiblen Informationen wie personenbezogene Daten, geistiges Eigentum oder Angaben über Unternehmenskunden verstoßen gegen die Compliance. Denn bei generativer KI fehlen Transparenz und Kontrolle darüber, welche Daten von welchen Algorithmen wie verwendet werden. Zudem können bei öffentlich verfügbaren KI-Tools Cyberkriminelle die Daten abfangen. Dies führt möglicherweise zu rechtlichen Konsequenzen, Geschäftsverlust, Rufschädigung oder Erpressung.
Fehlerhafte Entscheidungsfindung: Generative KI ist dafür bekannt, dass sie zum Teil falsche oder sogar frei erfundene Ergebnisse liefert. Wer auf dieser Basis eine wichtige Entscheidung fällt, kann dem Unternehmen viel Geld kosten. Wenn solche Falschinformationen veröffentlicht werden, könnten im schlimmsten Fall Strafzahlungen drohen.

Wer generative KI einsetzt, sollte das nur unter kontrollierten Bedingungen tun. Das gilt auch für die Entwicklung solcher Werkzeuge. Und Firmen sollten untersuchen, welche Ergebnisse die KI ausspuckt, um falsche Annahmen zu enttarnen. Dafür scheint derzeit die Gefahr durch Malware zwar etwas geringer zu sein. Da jedoch Cyberkriminelle verstärkt KI-Tools nutzen und testen, könnten demnächst auch Schadprogramme darüber verbreitet werden.

Transparenz und Kontrolle erhalten

Das bedeutet: CISOs und Unternehmen müssen Transparenz schaffen und die Kontrolle über den Einsatz von generativer KI behalten. Nur so können sie Datenschutz- und Compliance-Verstöße sowie mögliche Malware-Infektionen verhindern. Dies gelingt mit einer Kombination aus technischen und organisatorischen Maßnahmen:

Richtlinien definieren und durchsetzen: Klare Vorgaben zur Nutzung von KI schärfen das Bewusstsein für mögliche Risiken. Dabei müssen die Regeln bestimmen, welche KI-Tools genutzt werden dürfen und welche nicht. Zudem ist festzulegen, für welche Zwecke und mit welchen Daten der Einsatz von KI erlaubt ist.
Mitarbeitende schulen: Falsche Ergebnisse sind auch bei erlaubten KI-Tools möglich. Daher müssen die Mitarbeitenden im richtigen Umgang mit KI geschult werden. Dies betrifft neben der Eingabe ausreichend vieler, korrekter und diverser Daten auch geeignete Prompts sowie die Prüfung und Bewertung der Ergebnisse.
Top-Management einbinden: KI ist heute kein Thema mehr für neugierige Mitarbeitende, sondern für die Geschäftsführung. Ein klares Commitment der Unternehmensleitung ist entscheidend, damit die Richtlinien durchgesetzt werden sowie die notwendigen Ressourcen für Schulungen und Kontrollen verfügbar sind.
Die Belegschaft mitnehmen: Mitarbeitende müssen nicht nur im Umgang mit KI geschult, sondern auch mit umfassendem Change Management von Anfang an auf die KI-Reise mitgenommen werden. Ein offener Dialog und frühzeitige Einbindung trägt dazu bei, dass sie die Gründe für den KI-Einsatz oder Verbote verstehen und akzeptieren.
Den Zugriff beschränken: Unternehmen müssen exakt festlegen, wer Zugriff auf welche Informationen, Funktionen und Programme erhält. Diese Berechtigungen sollten regelmäßig überprüft werden, um ein Höchstmaß an Zugänglichkeit und Sicherheit zu gewährleisten.
Technische Kontrollen einführen: Um die Gefahr von Malware zu reduzieren, sind bewährte Sicherheitslösungen wie Anomalieerkennung, Intrusion Detection oder Endpoint Protection auch in Bezug zu KI-Tools anzuwenden.