Generative KI erleichtert den Arbeitsalltag, doch ihr Einsatz ist mit Risiken verbunden. Forcepoint gibt Tipps, wie sich das Potenzial von ChatGPT, Copilot, Gemini und Co. ausschöpfen lässt, ohne Datenschutz und Datensicherheit zu gefährden.
Generative KI nimmt Mitarbeitern viele zeitraubende Tätigkeiten ab und macht sie effizienter. Kein Wunder, dass sie die praktischen Helfer im Arbeitsalltag nutzen wollen und oft loslegen, ohne auf offiziell vom Unternehmen eingeführte Tools zu warten. Dadurch entstehen allerdings erhebliche Risiken: Es drohen nicht nur Datenschutzverletzungen und der Abfluss sensibler Firmendaten, sondern auch unfaire oder falsche Entscheidungen, wenn Mitarbeiter den KI-Ergebnissen zu sehr vertrauen und Bias oder Fehler übersehen. Hinzu kommen Haftungsfragen, sollte es zu Diskriminierung, Fehlentscheidungen oder Urheberrechtsverletzungen durch den KI-Einsatz kommen. Unternehmen benötigen daher dringend einen Plan, wie sie mit GenAI umgehen und neue Tools sicher einführen können.
Nach Erfahrung des Sicherheitsspezialisten Forcepoint hat sich das folgende Vorgehen bewährt:
1. Standardprozess aufsetzen
Unternehmen benötigen einen immer gleich ablaufenden Prozess für die Beantragung, Bewertung und Genehmigung neuer KI-Tools sowie deren anschließende Einführung und Absicherung. Der standardisierte Prozess sorgt dafür, dass die Tools alle internen Anforderungen – etwa hinsichtlich Nutzen, Kosten und Datenschutz – erfüllen und stets nach den gleichen Maßstäben ausgewählt werden. Zudem verhindert er, dass Tools auf Umwegen ins Unternehmen gelangen und ohne Schulung der Mitarbeiter oder ausreichende Sicherheitsmaßnahmen eingesetzt werden.
2. KI-Council einrichten
Da KI viele Unternehmensbereiche betrifft, nicht nur die jeweilige Fachabteilung, die ein neues Tool einführen möchte, ist die Gründung eines KI-Councils sinnvoll. Dabei handelt es sich um ein Gremium, das Experten unter anderem aus der IT, dem Security-Team und der Rechtsabteilung vereint und eng mit den Fachabteilungen zusammenarbeitet. Es bewertet nicht nur alle Anwendungsfälle und KI-Tools individuell, sondern stellt auch sicher, dass keine überflüssigen Tools eingeführt werden. Zudem steht es den Fachabteilungen beratend zur Seite und kommuniziert die Vorteile und Erfolge von GenAI-Projekten im Unternehmen, um deren Akzeptanz zu steigern.
3. Prioritäten setzen
Die Einführung neuer Technologien und Anwendungen geht immer mit Herausforderungen und Veränderungen einher. Daher sollten Unternehmen, gerade in der Anfangsphase ihrer GenAI-Reise, nicht zu viele KI-Tools parallel einführen, um sich nicht in mehreren Projekten zu verlieren. Besser ist es, Prioritäten zu setzen und sich zunächst auf ein, zwei Anwendungsfälle und Tools zu konzentrieren, die einen sehr großen Nutzen bringen oder für mehrere Abteilungen attraktiv sind. Die bei der Einführung gesammelten Erfahrungen helfen dann, weitere Tools schneller und reibungsloser im Unternehmen zu etablieren.
4. Mitarbeiter schulen
Nach der Auswahl und Einführung neuer KI-Tools sollten Unternehmen ihre Mitarbeiter nicht mit ihnen allein lassen. Die künftigen Anwender benötigen Richtlinien zum Umgang mit den Tools – sie müssen wissen, was erlaubt ist und was nicht und welche Risiken bestehen. Notwendig sind Schulungen, in denen über die Richtlinien aufgeklärt wird und in denen Mitarbeiter die Arbeit mit den Tools ausprobieren können. Und in denen sie lernen, der KI nicht blind zu vertrauen, sondern Ergebnisse zu hinterfragen und zu überprüfen.
5. Nicht alles der KI überlassen
Automatisieren Unternehmen ihre Abläufe mithilfe von KI, sollten sie genau prüfen, welche Entscheidungen sie den Algorithmen überlassen und wo menschliche Kontrollen oder Entscheidungen notwendig sind. Hier geht es einerseits darum, diskriminierende und falsche Entscheidungen zu verhindern, andererseits darum, dem EU AI Act gerecht zu werden. Dieser sieht für KI-Systeme mit hohem Risiko, zu denen etwa solche in kritischen Infrastrukturen, im Personalbereich oder für Kreditprüfungen zählen, eine menschliche Aufsicht vor.
6. Zugang zu KI-Tools reglementieren
Damit Mitarbeiter tatsächlich nur geprüfte und genehmigte KI-Tools einsetzen, sollten Unternehmen den Zugang mit Sicherheitslösungen schützen, die Tools wie Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Web Gateway (SWG) vereinen. Gute Lösungen erlauben es, den Zugriff auf Basis von Benutzern, Gruppen und anderen Kriterien zu reglementieren und die Richtlinien auch auf nicht verwalteten Geräten durchzusetzen. Beim Aufruf unautorisierter KI-Tools ist es möglich, Mitarbeiter zu einer bereits eingeführten Alternative weiterzuleiten.
7. Datenabflüsse verhindern
Richtlinien und Schulungen allein reichen nicht aus, um Datenschutzverletzungen oder Datenabflüsse wirksam zu verhindern. Schließlich kann es immer vorkommen, dass Mitarbeiter absichtlich oder versehentlich personenbezogene oder vertrauliche Daten bei KI-Tools eingeben oder hochladen. Lösungen für Datensicherheit verhindern das. Idealerweise erkennen und klassifizieren sie sensible Daten über alle Speicherorte des Unternehmens hinweg und unterbinden die Übertragung. Bei weniger kritischen Daten reicht oft schon ein Warnhinweis an den Mitarbeiter, bei hochkritischen Daten sollte der Transfer direkt blockiert werden.
„GenAI ist ein Produktivitätsbooster, auf den Unternehmen nicht verzichten sollten. Allerdings brauchen sie geeignete Prozesse und Lösungen, um die am besten geeigneten Tools auszuwählen, einzuführen und unautorisierte Nutzung sowie Datenabflüsse zu verhindern“, betont Fabian Glöser, Team Leader Sales Engineering bei Forcepoint in München. „Dabei sollten sie auch darauf achten, nicht zu viele Einzellösungen einzuführen. Besser sind Plattformen, in denen alle Lösungen optimal zusammenspielen und die einen zentralen Richtliniensatz nutzen, um Sicherheitsrichtlinien konsistent nicht nur auf GenAI, sondern auch E-Mail, Cloud-Services, das Web und alle anderen Kanäle anzuwenden, über die Daten abfließen können.“
(pd/Forcepoint)