Wir alle wissen, dass künstliche Intelligenz (KI) zu einem Schlagwort geworden ist, das heute die Gespräche und Schlagzeilen beherrscht, und dass es sich um eine transformative Technologie handelt, die von vielen entweder positiv oder negativ wahrgenommen wird. Aus geschäftlicher Sicht müssen sich Unternehmen heute mit einer immer häufiger vorkommenden Methode der KI-Nutzung am Arbeitsplatz auseinandersetzen, die als „Schatten-KI“ bezeichnet wird. Dabei handelt es sich um eine Variante der „Schatten-IT“, die von den Mitarbeitern trotz der damit verbundenen Risiken übernommen wird.
Schatten-KI vs. Schatten-IT: Was ist der Unterschied?
Schatten-KI ist ein Begriff, der sich auf die nicht autorisierte Nutzung und Einbindung von KI-Tools in Unternehmen ohne Wissen und Genehmigung der zentralen IT- oder Sicherheitsfunktionen des Unternehmens bezieht. In Arbeitsumgebungen kann dies bedeuten, dass Mitarbeiter auf Plattformen für generative KI (GenAI) oder große Sprachmodelle (LLMs) wie ChatGPT zugreifen, um alltägliche Aufgaben wie das Schreiben von Code, das Verfassen von Texten oder das Erstellen von Grafiken/Bildern zu erledigen. Auf breiter Ebene mag dies im Moment harmlos erscheinen, aber da die IT-Abteilungen nicht über die interne KI-Nutzung informiert sind, sind sie oft nicht in der Lage, diese zu überwachen, so dass Unternehmen einem erhöhten Risiko der Ausnutzung oder der Verwicklung in rechtliche Probleme ausgesetzt sind.
Ähnlich verhält es sich mit Schatten-IT, wenn Mitarbeiter des Unternehmens Geräte, Cloud-Dienste oder Softwareanwendungen für arbeitsbezogene Aktivitäten entwickeln, bereitstellen oder nutzen, ohne dass die IT-Abteilung dies ausdrücklich überwacht. Mit der zunehmenden Bedeutung verschiedener SaaS-Anwendungen wird es für die Benutzer immer einfacher, diese Tools schnell zu installieren und darauf zuzugreifen, ohne die IT-Abteilung einzuschalten. Zusätzlich zu diesen Entwicklungen hat sich der Trend Bring Your Own Device (BYOD) als Hauptursache für Schatten-IT erwiesen, denn selbst wenn es ein formelles BYOD-Programm gibt, haben Sicherheitsteams möglicherweise keinen Einblick in die verwendeten Dienste oder Apps, und die Implementierung von Sicherheitsprotokollen auf den persönlichen Geräten der Mitarbeiter kann zu Herausforderungen führen.
Schatten-IT und Schatten-KI unterscheiden sich durch die Art der verwendeten Technologien. Schatten-IT umfasst in erster Linie die nicht genehmigte Nutzung von IT-Infrastruktur und Software, während Schatten-KI sich auf die Nutzung von KI ohne formale Regulierung durch die Sicherheitsfunktion des Unternehmens bezieht.
Die Gefahren der Schatten-KI
Schatten-KI kann Bedrohungen und Herausforderungen mit sich bringen, die Unternehmen berücksichtigen müssen, um sich vor möglichen Folgen zu schützen. Diese Risiken umfassen:
Compliance- und regulatorische Fragen. Da Unternehmen staatlichen Vorschriften im Zusammenhang mit KI unterliegen (z. B. der Datenschutzgrundverordnung der Europäischen Union (DSGVO)), könnten unbekannte Schatten-KI-Implementierungen möglicherweise gegen staatliche Richtlinien verstoßen, selbst wenn dies unbeabsichtigt geschieht. Dies könnte zu unvorhergesehenen Geldstrafen, rechtlichen Konsequenzen und möglichem Reputationsschaden führen. Compliance-Probleme kommen auch ins Spiel, wenn es um die Datenschutzrichtlinien von KI-Tools geht. Sich darauf zu verlassen, dass die Mitarbeiter bei der Nutzung von KI-Plattformen die sich entwickelnden Datenschutzrichtlinien lesen und sie einhalten, erschwert die Situation, wenn ein Unternehmen in einen Verstoß gegen die Vorschriften verwickelt wird.
Unbeabsichtigte Offenlegung vertraulicher Informationen. Bei der Verwendung von KI-Chatbots könnten Mitarbeiter unwissentlich sensible IP oder Daten an unsichere Modelle weitergeben. Damit steht die Tür offen, dass die Informationen in die falschen Hände gelangen, was das Risiko von Cyberangriffen oder Datenlecks erhöht. Zum Beispiel ist das ChatGPT-Leck von OpenAI Anfang 2024 ein gutes Beispiel für die potenziellen Bedrohungen und Folgen unbekannter KI-Nutzung.
Unfähigkeit der IT-Teams, die Gefahren richtig einzuschätzen. Wie wir bereits besprochen haben, sind sich die IT- und Sicherheitsabteilungen in der Regel nicht über den unerlaubten Einsatz von KI in Unternehmen im Klaren, so dass sie die Gefahren nicht angemessen einschätzen und nicht einmal die notwendigen Schritte unternehmen können, um die Risiken zu mindern. Eines dieser Risiken kann darin bestehen, dass Mitarbeiter unbeabsichtigt ungenaue oder falsche Informationen, die von der KI erzeugt wurden, in ihre Arbeit oder ihre täglichen Aufgaben einfließen lassen.
Das erhöhte Risiko eines Cyberangriffs. Nehmen wir an, ein Mitarbeiter oder Softwareentwickler erstellt versehentlich einen bösartigen Code, wenn er KI-Technologie zur Codierung verwendet. Ein einziger Fehler in einem KI-generierten Code kann ein Einfallstor für Cyberkriminelle sein, die unbemerkte Schwachstellen ausnutzen und einen Cyberangriff durchführen wollen.
Bekämpfung des Einsatzes von Schatten-KI in Unternehmen
Legen Sie KI-Richtlinien und -Regeln fest. Um die Schatten-KI einzuschränken, können Unternehmen damit beginnen, ein zentrales Governance-Rahmenwerk zu schaffen, das klare Richtlinien für den KI-Einsatz im gesamten Unternehmen vorgibt. Die Festlegung von Compliance-Anforderungen und Richtlinien zur Datennutzung kann dazu beitragen, die Einhaltung interner und externer Vorschriften zu gewährleisten. Der Aufbau einer angemessenen Governance-Struktur kann auch bedeuten, dass die IT-Abteilung Projekte, die KI beinhalten, überprüfen oder genehmigen muss, damit die regulatorischen Standards eingehalten werden können.
Fördern Sie das Bewusstsein. Schulungsprogramme, die Mitarbeiter über die mit Schatten-KI verbundenen Risiken/Folgen und die Bedeutung der Einhaltung von Unternehmensrichtlinien beim Einsatz von KI-Technologien aufklären, können dazu beitragen, das Verständnis für das Thema zu verbessern. Geschulte Teams werden die Bedeutung der Compliance bei der Arbeit mit KI besser verstehen.
Implementieren Sie Zugriffskontrollen. Überwachungs-Tools und Zugriffskontrollen können IT-Teams dabei helfen, Schatten-KI zu erkennen und bestimmte Einschränkungen für KI-Plattformen und die unbefugte Nutzung am Arbeitsplatz vorzunehmen.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
