Sicherstellen, dass KI aus dem Schatten tritt
Unternehmen tun zwar recht daran, ihre Teams zu ermutigen, innovative Einsatzmöglichkeiten für generative künstliche Intelligenz (GenAI) zu finden, um Arbeitsabläufe zu optimieren, doch viele Mitarbeiter nutzen die Technologie auf eine Art und Weise, die von ihren Arbeitgebern nicht gebilligt wird. Dieses Phänomen wird als Schatten-KI bezeichnet und bereitet zunehmend Sorgen.
Dieses Problem wird sich so schnell nicht lösen. Eine aktuelle Studie von Deloitte ergab, dass nur knapp ein Viertel (23 Prozent) derjenigen, die GenAI bei der Arbeit eingesetzt haben, glauben, dass ihr Vorgesetzter die Art und Weise, wie sie es einsetzen, gutheißen würde. Jetzt ist nicht der richtige Zeitpunkt für sie, Risiken einzugehen. Schließlich könnte der nicht genehmigte Einsatz von KI für ein Unternehmen ernsthafte rechtliche, finanzielle oder rufschädigende Risiken mit sich bringen.
Die Risiken, die damit verbunden sind, dass Mitarbeiter vertrauliche Daten in GenAI-Tools eingeben, sind real. Fast ein Drittel der Mitarbeiter gaben in einer Ende letzten Jahres durchgeführten Umfrage zu, vertrauliche Daten in öffentliche GenAI-Tools einzugeben. Wenig überraschend nannten 39 Prozent der Befragten in derselben Studie das potenzielle Leck vertraulicher Daten als größtes Risiko für die Verwendung öffentlicher GenAI-Tools in ihrem Unternehmen.
Ein entscheidender Schritt in der Akzeptanz
Der entscheidende Wendepunkt bei der Einführung von KI war die Einführung von ChatGPT. Von da an war es nicht mehr nur ein Tool für Techniker, sondern ein Tool für alle. Es war ein kollektiver Aha-Moment. Heute ist die Technologie in unserem Alltag fast so allgegenwärtig wie das Zähneputzen am Morgen.
Die Nutzung von GenAI wächst unglaublich schnell. In den letzten 12 Monaten haben wir in nahezu jeder Branche Unternehmen gesehen, die daraus geschäftlichen Nutzen ziehen. Tatsächlich gaben in einer kürzlich durchgeführten globalen Umfrage von McKinsey zwei Drittel (65 Prozent) der Befragten an, dass ihre Unternehmen die Technologie jetzt regelmäßig nutzen – fast doppelt so viele wie noch zehn Monate zuvor. Die Erwartungen der Befragten hinsichtlich der Auswirkungen von GenAI waren äußerst positiv. Drei Viertel sagten voraus, dass die Technologie in den kommenden Jahren zu erheblichen oder disruptiven Veränderungen in ihren Branchen führen würde.
Die Notwendigkeit der Anwendung von Zero-Trust-Prinzipien
Die meisten der GenAI-Lösungen für Unternehmen sind darauf ausgelegt, bereits vorhandene Daten zu nutzen. Schließlich sind sie die am leichtesten zu erreichenden Ziele. Diese Lösungen konzentrieren sich in der Regel auf den Kundenservice, da dort die Daten vorhanden sind.
Da es sich bei vielen dieser Daten jedoch um sensible Daten handelt, ist es wichtig, dass Unternehmen kein Risiko eingehen. Es ist Zeit für ein Umdenken. Es ist an der Zeit, GenAI-Lösungen als Maschinen zu betrachten, die Daten bewegen. Die oberste Priorität sollte daher sein, wie die Daten kontrolliert werden, sowohl wenn sie in das System gelangen als auch wenn sie auf der anderen Seite wieder herauskommen.
Unternehmen müssen später Zero-Trust-Prinzipien auf diese Daten anwenden. Ein Zero-Trust-Modell basiert auf dem Prinzip der Aufrechterhaltung einer strengen Überprüfung, wobei Vertrauen niemals vorausgesetzt, sondern jeder Zugriffsversuch und jede Transaktion bestätigt wird. Diese Abkehr vom impliziten Vertrauen ist von entscheidender Bedeutung. Die Einbettung von Zero-Trust-Prinzipien in generative Architekturen würde einen proaktiven Weg bieten, um Verantwortlichkeit, Sicherheit und Kontrolle zu ermöglichen.
Die Demokratisierung der Datennutzung
Ein Teil des Problems, das wir bei GenAI sehen, besteht darin, dass die Technologie bisher die Notwendigkeit ihrer Sicherung überholt hat. Obwohl sich einige Organisationen der Risiken bewusst sind, ist das Wissen noch nicht nach außen durchgesickert. In vielerlei Hinsicht hat KI die Datennutzung demokratisiert. Vor GenAI musste ein Unternehmen eine Technologie vor einer Datenbank haben, um an die darin enthaltenen Daten zu gelangen. Außerdem musste man wissen, wie man sie verwendet. Heute sind die einzigen Hindernisse bei der Datennutzung, ob man das Alphabet kennt und wie man kopiert und einfügt. Die Folge davon ist, dass die Wahrscheinlichkeit, dass diese Daten außerhalb des Unternehmens gelangen, deutlich steigt.
Es kommt auf die Menschen innerhalb der Organisation an. Ein Unternehmen kann Maßnahmen ergreifen, um die Technologie zu sichern, es kann Maßnahmen ergreifen, um die Daten zu sichern, aber es sind immer Menschen im Spiel. Schulung und Ausbildung helfen, aber wir als Spezies bleiben unglaublich fehlerhaft.
Solange GenAI ein Tool ist, mit dem Mitarbeiter ihre Ziele erreichen können, werden sie davon profitieren. Ob sie es wollen oder nicht. Aus diesem Grund werden die Menschen immer der offenste Vektor für Datenlecks bleiben.
Licht auf das Problem werfen
Der Einsatz von KI wird nicht verschwinden, egal ob im Verborgenen oder nicht. Und das sollte er auch nicht. KI eignet sich hervorragend für die Automatisierung von Aufgaben, die Verarbeitung großer Datenmengen, die Erleichterung der Entscheidungsfindung, die Reduzierung menschlicher Fehler und die Erweiterung unseres Verständnisses der Welt um uns herum. Allerdings bedarf es Aufklärung über bewährte Verfahren und den verantwortungsvollen Einsatz von KI.
Least Privilege Access, Always On Monitoring und Never Trust, Always Verify sind auf Technologieebene schon seit einiger Zeit etabliert. Jetzt ist es jedoch wichtig, diese Prinzipien auf die Daten selbst zu übertragen. Zum Glück gibt es Hilfe. Mit einem Private Content Network können Unternehmen ihre sensiblen Inhalte im Zeitalter der KI effektiver schützen. Die besten Beispiele für diese Technologie bieten inhaltsdefinierte Zero-Trust-Kontrollen mit Least Privilege Access, definiert auf der Inhaltsebene, und DRM-Funktionen der nächsten Generation, die Downloads vor KI-Aufnahmen blockieren. Sie selbst setzen KI auch ein, um anomale Aktivitäten zu erkennen – zum Beispiel plötzliche Spitzen bei Zugriffen, Bearbeitungen, Sendungen und Freigaben sensibler Inhalte. Dies wird dazu beitragen, Licht auf alle nicht genehmigten Aktivitäten zu werfen, die im Verborgenen stattfinden, sodass ein Unternehmen die Vorschriften einhalten kann.