Best Practices gegen GenAI-Wildwuchs

Generative künstliche Intelligenz (GenAI) entlastet die Mitarbeiter von vielen zeitraubenden Tätigkeiten und macht sie effizienter. Kein Wunder, dass sie die praktischen Helfer im Arbeitsalltag nutzen wollen und oft loslegen, ohne auf offiziell vom Unternehmen eingeführte Tools zu warten. Doch das birgt erhebliche Risiken: Nicht nur Datenschutzverletzungen und der Abfluss sensibler Unternehmensdaten drohen, sondern auch unfaire oder falsche Entscheidungen, wenn Mitarbeiter den Ergebnissen der künstlichen Intelligenz (KI) zu sehr vertrauen und Bias oder Fehler übersehen. Hinzu kommen Haftungsfragen, wenn es durch den Einsatz von KI zu Diskriminierung, Fehlentscheidungen oder Urheberrechtsverletzungen kommt. Unternehmen benötigen daher dringend einen Plan, wie sie mit GenAI umgehen und neue Werkzeuge sicher einführen können.

In der Praxis hat sich nach Erfahrungen des Autors folgendes Vorgehen bewährt:

• Standardprozess aufsetzen: Unternehmen benötigen einen immer gleich ablaufenden Prozess für die Beantragung, Bewertung und Genehmigung neuer KI-Tools sowie deren anschließende Einführung und Absicherung. Der standardisierte Prozess sorgt dafür, dass die Tools alle internen Anforderungen – etwa hinsichtlich Nutzen, Kosten und Datenschutz – erfüllen und stets nach den gleichen Maßstäben ausgewählt werden. Zudem verhindert er, dass Tools auf Umwegen ins Unternehmen gelangen und ohne Schulung der Mitarbeiter oder ausreichende Sicherheitsmaßnahmen eingesetzt werden.
• KI-Council einrichten: Da KI viele Unternehmensbereiche betrifft, nicht nur die jeweilige Fachabteilung, die ein neues Tool einführen möchte, ist die Gründung eines KI-Councils sinnvoll. Dabei handelt es sich um ein Gremium, das Experten unter anderem aus der IT, dem Security-Team und der Rechtsabteilung vereint und eng mit den Fachabteilungen zusammenarbeitet. Es bewertet nicht nur alle Anwendungsfälle und KI-Tools individuell, sondern stellt auch sicher, dass keine überflüssigen Tools eingeführt werden. Zudem steht es den Fachabteilungen beratend zur Seite und kommuniziert die Vorteile und Erfolge von GenAI-Projekten im Unternehmen, um deren Akzeptanz zu steigern.
• Prioritäten setzen: Die Einführung neuer Technologien und Anwendungen geht immer mit Herausforderungen und Veränderungen einher. Daher sollten Unternehmen, gerade in der Anfangsphase ihrer GenAI-Reise, nicht zu viele KI-Tools parallel einführen, um sich nicht in mehreren Projekten zu verlieren. Besser ist es, Prioritäten zu setzen und sich zunächst auf ein, zwei Anwendungsfälle und Tools zu konzentrieren, die einen sehr großen Nutzen bringen oder für mehrere Abteilungen attraktiv sind. Die bei der Einführung gesammelten Erfahrungen helfen dann, weitere Tools schneller und reibungsloser im Unternehmen zu etablieren.
• Mitarbeiter schulen: Nach der Auswahl und Einführung neuer KI-Tools sollten Unternehmen ihre Mitarbeiter nicht mit ihnen allein lassen. Die künftigen Anwender benötigen Richtlinien zum Umgang mit den Tools – sie müssen wissen, was erlaubt ist und was nicht und welche Risiken bestehen. Notwendig sind Schulungen, in denen über die Richtlinien aufgeklärt wird und in denen Mitarbeiter die Arbeit mit den Tools ausprobieren können. Und in denen sie lernen, der KI nicht blind zu vertrauen, sondern Ergebnisse zu hinterfragen und zu überprüfen.
• Nicht alles der KI überlassen: Automatisieren Unternehmen ihre Abläufe mithilfe von KI, sollten sie genau prüfen, welche Entscheidungen sie den Algorithmen überlassen und wo menschliche Kontrollen oder Entscheidungen notwendig sind. Hier geht es einerseits darum, diskriminierende und falsche Entscheidungen zu verhindern, andererseits darum, dem EU AI Act gerecht zu werden. Dieser sieht für KI-Systeme mit hohem Risiko, zu denen etwa solche in kritischen Infrastrukturen, im Personalbereich oder für Kreditprüfungen zählen, eine menschliche Aufsicht vor.
• Zugang zu KI-Tools reglementieren: Damit Mitarbeiter tatsächlich nur geprüfte und genehmigte KI-Tools einsetzen, sollten Unternehmen den Zugang mit Sicherheitslösungen schützen, die Tools wie Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Web Gateway (SWG) vereinen. Gute Lösungen erlauben es, den Zugriff auf Basis von Benutzern, Gruppen und anderen Kriterien zu reglementieren und die Richtlinien auch auf nicht verwalteten Geräten durchzusetzen. Beim Aufruf unautorisierter KI-Tools ist es möglich, Mitarbeiter zu einer bereits eingeführten Alternative weiterzuleiten
• Datenabflüsse verhindern: Richtlinien und Schulungen allein reichen nicht aus, um Datenschutzverletzungen oder Datenabflüsse wirksam zu verhindern. Schließlich kann es immer vorkommen, dass Mitarbeiter absichtlich oder versehentlich personenbezogene oder vertrauliche Daten bei KI-Tools eingeben oder hochladen. Lösungen für Datensicherheit verhindern das. Idealerweise erkennen und klassifizieren sie sensible Daten über alle Speicherorte des Unternehmens hinweg und unterbinden die Übertragung. Bei weniger kritischen Daten reicht oft schon ein Warnhinweis an den Mitarbeiter, bei hochkritischen Daten sollte der Transfer direkt blockiert werden.

Autor

Fabian Glöser ist Team Leader Sales Engineering bei Forcepoint in München.