Schatten-KI mit Risiken für Datenschutz und Sicherheit

Datenschutz

Ein wesentliches Problem bei der Nutzung von KI-Tools, die nicht durch die IT-Security-Verantwortlichen eines Unternehmens geprüft und freigegeben wurden, ist der Datenschutz. GenAI sammelt und verarbeitet eine große Menge an Daten, darunter auch personenbezogene Daten. Ohne eine klare Übersicht und Kontrolle über die genutzten Tools und deren Datenschutzpraktiken kann ein Unternehmen leicht gegen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Die Risiken im Detail:

• Unkontrollierte Datenerfassung: GenKI speichert und lernt aus sensiblen Unternehmensdaten und personenbezogenen Daten. Ohne angemessene Sicherheitsvorkehrungen des Anbieters gelangen diese unkontrolliert ins Netz.
• Datenübertragung in unsichere Drittländer: Viele KI-Tools sind Cloud-basiert und können Daten auf Servern speichern, die sich in Ländern außerhalb der EU befinden. Hierbei muss bedacht werden, dass es Länder gibt, die kein vergleichbares Datenschutzniveau wie die EU bieten und Daten beliebig verarbeiten oder veräußern.
• Fehlende Einwilligungen: Die Nutzung bestimmter KI-Tools kann die Einwilligung der betroffenen Personen erfordern. Werden diese Tools jedoch ohne Wissen dieser Person und des Datenschutzbeauftragten des Unternehmens verwendet, verstößt die Person gegen die DSGVO. Bußgelder und Klagen folgen, die einen erheblichen finanziellen Schaden und Imageverlust mit sich bringen können.

IT-Sicherheit

Neben den datenschutzrechtlichen Bedenken stellt die Nutzung von GenAI auch erhebliche Risiken für die IT-Sicherheit dar. Die Weitergabe von sensiblen Informationen an eine GenKI könnte das geistige Eigentum und Geschäftsstrategien des Unternehmens gefährden. Hand in Hand geht bei einem Vorfall der Vertrauensverlust seitens Mitarbeiter und Kunden.

Die Risiken im Detail:

• Einschleusung von Malware: Nicht autorisierte KI-Tools können, wie alle IT-Tools, Sicherheitslücken aufweisen, die von Cyberkriminellen ausgenutzt werden.
• Unkontrollierte Datenflüsse: Durch die Nutzung von KI-Tools außerhalb der unternehmenseigenen Infrastruktur, verliert das Unternehmen die Kontrolle über die Datenflüsse. So gelangen sensible Informationen ungewollt nach außen. Auch KI-Tools in der Cloud sollten individuell betrachtet und eine Risikoabschätzung erstellt werden.
• Finanzielle Risiken bestehen in unkontrollierten doppelten Ausgaben für KI-Tools, wenn diese statt der offiziellen und sanktionierten Technologien genutzt werden.
• Unzureichende Sicherheitsprotokolle: Viele KI-Tools, die von Mitarbeitern eigenständig genutzt werden, haben möglicherweise nicht die notwendigen Sicherheitsprotokolle oder Verschlüsselungstechniken, die in einem Unternehmensumfeld erforderlich sind.
• Fehlende Implementierung von Überwachung und Kontrollmechanismen. Fehlt eine kontinuierliche sowie lernende Netzwerküberwachung, fehlen regelmäßige Audits und fehlen Zugriffskontrollen erhöht sich das Risiko von Sicherheits-Vorfällen.
• Ein funktionelles Risiko besteht in einem Modelldrift. Eine Drift tritt dann auf, wenn eine Abweichung in der ordnungsmäßigen Bearbeitung des KI-Modells vorliegt. Beispielsweise durch falsche oder veraltete Trainingsdaten oder technische Veränderungen. Dies führt auch zu schlechten Ergebnissen, falschen Informationen oder fraglichen Ratschlägen.
• Nicht zuletzt stellt Gewohnheit und somit die zeitliche Nutzung nicht genehmigter Tools ein Risiko darf. Je länger Anwender ein Tool nutzen und sich daran gewöhnen, desto höher ist die Gefahr der Ablehnung bei der Einführung offizieller KI-Tools oder auch der Umschulungsaufwand.

Dem Risiko Schatten-KI begegnen

KI kann für Unternehmen eine Vielzahl von Vorteilen bieten, wie zum Beispiel. eine höhere Produktivität, Barrierefreiheit und Innovationskraft der Mitarbeiter. Daher werden Anwender immer Mittel und Wege finden, Werkzeuge wie generative KI zu nutzten. Verantwortliche können nicht davon ausgehen, dass die Schatten-KI in absehbarer Zeit verschwinden wird, im Gegenteil. Daher gilt es jetzt das eigene Unternehmen vorzubereiten und einmal mehr die Zukunft verantwortungsvoll gemeinsam zu gestalten.“

„In Unternehmen führt der Einsatz von nicht genehmigten Tools, zu denen nun auch GenAI Tools zählen, zur Entstehung einer Schatten-KI. Diese birgt erhebliche Risiken für die Werte des Unternehmens, insbesondere in zwei zentralen Bereichen: Datenschutz und IT-Sicherheit.“

Sebastian Eberle, Adlon

Dazu zählt die Einführung einer KI-Governance und KI-Richtlinie innerhalb der IT-Strategie des Unternehmens. Sie helfen, die Nutzung von KI-Tools innerhalb des Unternehmens zu überwachen, zu regulieren und sicherzustellen, so dass diese den rechtlichen Anforderungen sowie den internen Richtlinien des Unternehmens entsprechen. Pragmatisch umgesetzt beinhalten sie, welche KI-Tools genutzt werden dürfen, welche Sicherheitsanforderungen diese erfüllen müssen und welche Schritte zur Einhaltung der Datenschutzbestimmungen erforderlich sind.

Wie so oft, geht es hier nicht ohne die gesamte Belegschaft. Mitarbeiter müssen nicht nur über die Risiken und Richtlinien informiert werden, sondern auch in die Entwicklung und Implementierung pragmatischer Richtlinien einbezogen werden. Dann wird GenAI zum Produktivitätsbooster und Innovationstreiber statt zur Schatten-KI.

Über den Autor:
Sebastian Eberle ist General Manager des IT-Beratungsunternehmens Adlon.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.