Schatten-KI: Eine größere Bedrohung als Schatten-IT?

Christian Galler > Blog > Digitalisierung > Schatten-KI: Eine größere Bedrohung als Schatten-IT?
Digitalisierung

Schatten-KI: Eine größere Bedrohung als Schatten-IT?

Christian Galler > Blog > Digitalisierung > Schatten-KI: Eine größere Bedrohung als Schatten-IT?
Schatten-KI
Published

1. Juli 2024

Einleitung: Von Schatten-IT zu Schatten-KI

Vor ein paar Jahren, als ich das erste Mal von Schatten-IT hörte, dachte ich, es sei nur ein weiterer Trend, der schnell wieder verschwinden würde. Weit gefehlt. Schatten-IT breitete sich rasant aus, als Fachabteilungen begannen, IT-Dienste ohne Genehmigung der IT-Abteilung zu nutzen. Mit der Public Cloud im Rücken war es ein Leichtes, schnell und unabhängig zu handeln. Doch wie sich herausstellte, war dies auch der Beginn zahlreicher Sicherheitsprobleme. Heute stehen wir vor einer neuen Herausforderung: Schatten-KI. Und die Risiken sind weitaus größer und komplexer.

Schatten-IT und Schatten-KI: Ein Vergleich

Damals bei der Schatten-IT nutzten Abteilungen einfach ihre Kreditkarten, um schnell Lösungen zu kaufen und zu implementieren – Browser öffnen, kaufen, fertig. Dieser „Self-Service“ lag und liegt oftmals daran, dass aus der IT-Abteilung nicht mit der gewünschten Geschwindigkeit bestimmte Services zur Verfügung gestellt werden. Sei es, weil die Ressourcen ausgelastet sind oder eben, weil es einfach „zu lange dauert“. Das Enduser-Verhalten ist nachvollziehbar und wird davon bestimmt, bestimmte interne Prozesse durch externe SaaS-Angebote zu ermöglichen, schneller zu werden und komfortabel das gewünschte Ergebnis liefern zu können. Dieses ad-hoc Vorgehen führte zu einer Welle von internen Innovationen, aber auch zu erheblichen Sicherheitsproblemen und Datenverlusten. Die Anbieter der Software sind oftmals nicht in der EU und die Services sind entsprechend nicht über die DSGVO abgedeckt. Selbst wenn der Anbieter seine Server in Europa hostet, bleibt immer noch die Gefahr des Datenverlustes: Das Startup bekommt keine neue Finanzierungsrunde und muss den Service einstellen – alle Daten sind weg bzw. nicht weiter nutzbar. Und Schatten-KI folgt jetzt einem ähnlichen Muster. Mitarbeiter nutzen generative KI-Tools, um ihre Arbeit effizienter zu gestalten, oft ohne Wissen oder Zustimmung der IT-Abteilung.

Eine Studie von Dell zeigt, dass 91 Prozent der Befragten bereits in irgendeiner Form mit generativer KI gearbeitet haben. 71 Prozent gaben an, diese Technologie am Arbeitsplatz zu nutzen. Das ist besorgniserregend, da viele Unternehmen noch keine klaren Richtlinien für den Umgang mit generativer KI haben.

Warum Schatten-KI ein größeres Risiko darstellt

Bei der Schatten-IT waren es vor allem die Entwickler, die Fehler machten. Bei der Schatten-KI kann jeder Benutzer Fehler begehen. Unternehmen müssen darauf vertrauen, dass jeder – von den Administratoren bis zu den Führungskräften – die richtige Entscheidung trifft, wenn er generative KI einsetzt. Dies erfordert ein hohes Maß an Vertrauen und zwingt die Benutzer zur Selbstverwaltung.

Ein weiteres Risiko ergibt sich aus der Funktionsweise generativer KI selbst. Im Gegensatz zu IaaS, bei dem Unternehmen die Sicherheitsschlüssel halten, lernt AI as a Service (AIaaS) standardmäßig von Ihren Daten. Auch wenn Anbieter privat gehostete Versionen anbieten, bleibt das Problem des Zugriffs bestehen. Anbieter behalten sich oft das Recht vor, die Eingaben, den Code und die Ergebnisse zu überprüfen, was bedeutet, dass Daten an einem Ort gespeichert sind, auf den eine Regierung möglicherweise zugreifen kann.

Beispiele aus der Praxis: Datenverluste und Sicherheitslücken

Ein bekanntes Beispiel für Datenverluste ist das versehentliche Offenlassen von S3-Buckets bei AWS. Solche öffentlich gemachten Versäumnisse führten zu einem Vertrauensverlust in die Marke, behördlicher Kontrolle und Strafen, Verletzungen der Privatsphäre und einer Vielzahl anderer finanzieller und gesellschaftlicher Auswirkungen.

Ein prominentes Beispiel, das mir einfällt, ist das Geschäftsgeheimnis von Coca-Cola. Vor etwa 15 Jahren wurden Pepsi vertrauliche Daten über die Rezeptur von Coca-Cola angeboten. Pepsi tat das Richtige und meldete dies dem FBI. Was aber, wenn solche Daten durch ein öffentliches GenAI-Programm laufen oder in einer privaten Instanz platziert würden, wo autorisiertes Personal den vertrauenswürdigen Zugang missbraucht? Geschäftsgeheimnisse könnten kompromittiert werden, und das Vertrauen in die Sicherheit der Daten wäre zerstört.

Drei Strategien zur Minimierung der Risiken der Schatten-KI

Um den Risiken der Schatten-KI zu begegnen, gibt es drei Hauptansätze, die Unternehmen verfolgen sollten:

  1. Zentrale Strategie und Governance: Generative KI muss als eine unternehmensweite Initiative betrachtet werden. Die Geschäftsleitung muss aktiv an der Definition der Anwendungsfälle mitwirken und mit der IT-Abteilung zusammenarbeiten, um einen sicheren Zugang zu schaffen und den Schutz der Daten zu gewährleisten. Eine zentralisierte Governance erleichtert die Durchsetzung und Skalierung der KI im gesamten Unternehmen.
  2. Klassifizierung von Daten und Anwendungsfällen: Ein effektives Datenmanagement ist entscheidend. Unternehmen müssen genau wissen, welche Daten geschützt werden müssen, und diese Informationen klar kommunizieren. Geschäftsgeheimnisse, sensible Prozesse und Informationen, die unter NDA fallen, sollten niemals in ein öffentliches oder gehostetes privates Cloud-KI-Angebot aufgenommen werden. Für diese Art von Daten sollten On-Premises-Implementierungen oder KI-Lösungen verwendet werden, bei denen keine Gesprächsprotokolle geführt werden und der Host keinen Zugriff auf die Abfragen hat.
  3. KI zu den Daten bringen: Der sicherste Weg, um die Risiken zu minimieren, besteht darin, die KI zu den Daten zu bringen und den Service zu kontrollieren. Dies bietet zahlreiche Vorteile gegenüber gehosteten KI-Varianten, einschließlich besserer Governance, erhöhter Produktivität der Mitarbeiter und sicherem Datenzugriff. Benutzer können sich freier und kreativer bewegen, ohne sich Sorgen über Compliance-Vorgaben machen zu müssen, und IT-Manager müssen sich keine Gedanken über Angriffsflächen und Risiken machen, die sie nicht sehen können.

Fazit: Die Zukunft der generativen KI sicher gestalten

Generative KI ist ein mächtiges Werkzeug, das das Potenzial hat, die Art und Weise, wie wir arbeiten und Innovationen vorantreiben, grundlegend zu verändern. Doch mit großer Macht kommt auch große Verantwortung. Unternehmen müssen proaktiv handeln, um die Risiken der Schatten-KI zu minimieren und sicherzustellen, dass ihre Daten geschützt sind.

Durch eine zentralisierte Strategie, eine klare Klassifizierung der Daten und die Kontrolle über den KI-Service können Unternehmen die Vorteile der generativen KI nutzen, ohne die Sicherheit und den Datenschutz zu gefährden. Es ist an der Zeit, dass wir aus den Fehlern der Vergangenheit lernen und die notwendigen Schritte unternehmen, um die Zukunft der KI sicher und erfolgreich zu gestalten.

Bildquellen

  • Schatten-KI: DALL-E

Neueste Beiträge

Archiv

author

Christian Galler

Managing Consultant
HBSN-Gruppe

Kategorien

Zuletzt veröffentlicht

Schatten-KI

Schatten-KI: Eine größere Bedrohung als

Juli 01, 2024
scrum vs spotify scum

Scrum vs Spotify Scrum: Ein

Juni 20, 2024

Freihändige Vergaben: Effiziente und Flexible

Juni 13, 2024

Tags

agile Methode Agilität AI Bewertung Chancen Change ChatGPT Datenschutz Deutschland Digitalisierung Eintrittswahrscheinlichkeit elektronische Patientenakte emotionen epA Führung how to Innovation Interview ITSM KI Kick-Off Leadership Makler Maßnahmen neue methoden OpenAI Partner Portale Projektmanagement Projektstart Riscmanagement Risikimanagement Risiko Scrum siri Start Vertrieb Vertriebspartner Vertriebspartnerportale Workshop Zusammenarbeit