Unkontrollierte Datenzugriffe durch private KI

In der heutigen digitalen Welt ist der Aufbau von KI-Knowhow für Unternehmen absolut sinnvoll und notwendig. Künstliche Intelligenz (KI) bietet enorme Potenziale, um Prozesse zu optimieren und die Produktivität zu steigern. Das nutzen auch wir als IOK, auf professionelle Art und sehr bewusst.
Allerdings gibt es eine recht neue Entwicklung,  deren Tragweite den meisten Unternehmen nicht bewusst ist: Zunehmend gewähren Mitarbeiter einer privat-gebuchten KI Zugang zu Unternehmensdaten. Das geschieht mehr oder weniger bewusst und oft unkontrolliert.

Es ist so herrlich einfach: Man sitzt abends im heimischen Wohnzimmer, bucht sich „irgendeine“ KI mit der man Daten analysiert, die bei der Programmierung hilft, die Informationen aus dem Internet und aus hochgeladenen Dateien liefert und sogar noch in der Lage ist, Prozesse zu automatisieren. So weit, so gut, sofern das im privaten Rahmen geschieht.

Laut einer aktuellen Umfrage der bitkom kommen in jedem dritten Unternehmen private KI-Zugänge zum Einsatz. Dabei hat nur jedes siebte Unternehmen Regeln für den Einsatz privater KI-Tools. Das Phänomen „private KI im Unternehmen“ hat bereits einen Namen: „Bring your own AI (BYOAI)“. Und es birgt erhebliche Risiken für die IT-Sicherheit und Datenschutz.

Die Risiken durch Bring your own AI sind vielfältig:

• Akzeptierte, aber kaum geprüfte Nutzungsbedingungen, je nach Anbieter
• Anlage von Nutzerprofilen, Aufzeichnungen von Nutzungsverhalten, Tastatureingaben, etc.
• Gefahr der Datenübertragung in unsichere Drittländer
• Datenverarbeitung ohne Rechtsgrundlage
• Schatten-IT durch Nutzung nicht autorisierter Anwendungen
• Qualitätsrisiken durch Verwendung falscher Ergebnisse
• Ein potenzielles Einfallstor für Cyberangriffe und Datenlecks
• Etc.

Nicht umsonst treten mit der europäischen KI-Verordnung (AI-Act) ab dem 02. Februar 2025 neue Regeln in Kraft. Die Verordnung stellt Anforderungen an Mitarbeiter KI-einsetzender Unternehmen und deren Lieferanten und Entwickler:  Unternehmen müssen beispielsweise sicherstellen, dass die Mitarbeiter für den Einsatz von KI geschult sind und die neuen Vorschriften eingehalten werden, um rechtliche und sicherheitstechnische Risiken zu minimieren.

Und das ist auch unser Appell an Sie: Nutzen Sie gern die neuen Möglichkeiten und Potenziale, die der Einsatz von KI mit sich bringt. Aber gehen Sie professionell mit diesem Werkzeug um:

• Erstellen Sie eine KI-Richtlinie für Ihr Unternehmen, die auch den Umgang mit privater KI regelt.
• Klassifizieren Sie Ihre Daten in Schutzklassen und erstellen Sie auch hier ein Regelwerk (Zugriffsberechtigungen, Speicherorte, Verschlüsselung, etc.)
• Wählen Sie den Anbieter von KI bewusst aus und prüfen Sie die Nutzungsbedingungen.
• Sensibilisieren und schulen Sie Ihre Mitarbeiter.

Die IOK hat generell eine positive Grundhaltung zum Thema „künstliche Intelligenz“. Diese Technologie wird unser aller Arbeitsweise in den kommenden Jahren revolutionieren. Aber lassen Sie uns dieses Werkzeug auf eine professionelle Art vorbereitet und bewusst konfiguriert einsetzen. Dabei unterstützen wir Sie gern!

BTW: Dieser Artikel entstammt tatsächlich (noch ) unserer Feder.

Weiterführende Infos:

https://www.bitkom.org/Presse/Presseinformation/Wenn-Unternehmen-keine-KI-verwendet-bringen-Beschaeftigte-sie-mit

https://www.bitkom.org/Presse/Presseinformation/Kuenstliche-Intelligenz-Was-ab-Sonntag-fuer-Unternehmen-gilt

https://artificialintelligenceact.eu/de/responsibilities-of-member-states/