Als Henry Ford vor 110 Jahren den Automobilbau auf Fliessbandproduktion umstellte, muss das so ähnlich revolutionär für Gesellschaft, Wirtschaft und Arbeitnehmer gewesen sein wie der Einsatz von Künstlicher Intelligenz. Durch die Fertigung am «laufenden Band» wurden die einzelnen Prozesse auf Effizienz getrimmt, Kosten reduziert und Zeit gespart. Die Maschinen gaben zu Fords Zeiten den Takt an, erleichterten aber auch den Arbeitnehmern bestimmte Aufgaben und schafften eine kontinuierliche Nachfrage an Fachkräften. Heute sind es Daten und Algorithmen, die die Automatisierung und Standardisierung mit Künstlicher Intelligenz jenseits der Grenzen der mechanischen Präzision vorantreiben.
Auch die Wirtschaft sollte sich bei der Frage nach der Nutzung von KI weniger mit dem «Ob» auseinandersetzen, sondern eher mit dem «Wie». Da sind sich die Sicherheitsexperten weltweit einig, obwohl es noch einiges zu tun gibt. Bisher ist die Indienstnahme dieser Technologie immer noch überschaubar und genug Zeit, die Risiken bei Sicherheit und Datenschutz weiter einzudämmen. KI kann eine entscheidende Rolle für das nächste Level bei der Modernisierung und Neuordnung der Wirtschaft sein. Der Output ist heute schon nützlich: So prognostizieren Risikomanagementsysteme, welche Investitionen sich überhaupt lohnen und welche Kunden eher Gefahr als Umsatzsteigerer sind.
ChatGPT, Copilot & Co.: Datenschutz und Sicherheit haben Löcher
Auch wenn dank bestehender Anwendungsbereiche und verschiedener (Pilot-)Projekte sich absehen lässt, wo die Reise hingehen kann, warnen die Security-Experten von ESET, dass die Sicherheit eine nicht zu unterschätzende Rolle spielt. Die Technologie bringt Risiken mit sich, die nicht stiefmütterlich behandelt werden sollten. Notwendige technische (Infra-)Strukturen sind in Unternehmen häufiger Mangelware, was die Nutzung von KI erschwert.
Sicherheits- und Datenschutzexperten zufolge sind es vor allem datenschutzrechtliche Vorbehalte und verschiedene Schwachstellen wie Datenmissbrauch und -manipulation, die den Einsatz hinausschieben. Auch Unternehmen nutzen zuweilen vertrauliche, personenbezogene Daten und müssen Vorsicht walten lassen. Diese können beispielsweise nicht «einfach so» für das Training der KI-Modelle genutzt werden. Es wäre fatal, wenn vertrauliche Daten später in Chatbots geteilt werden. Und die Gefahr ist sehr real: Immer mehr Firmen bauen bereits auf generative KI in Form von Chatbots, die einen Mehrwert für ihre Kunden bieten – aber keinesfalls als Datenschleudern agieren dürfen. Generell steckt die Nutzung von Sprachmodellen wie ChatGPT von OpenAI oder Copilot von Microsoft in der Wirtschaft und im öffentlichen Sektor eher noch in den Kinderschuhen. Zwar unterliegen diese Arten von KI zum Beispiel den Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) oder des revDSG. Doch es ist bislang fraglich, wie die Autonomie der betroffenen Personen sowie Grundsätze der Fairness und Gerechtigkeit sichergestellt werden können.
Ebenso steht die Vertraulichkeit der Daten infrage, wenn viele Unternehmen mit demselben KI-System cloudbasiert arbeiten. Und auch wenn man meinen könnte, es gebe nicht Neutraleres als Nullen und Einsen, wenn es um Entscheidungen geht, liegt man bei Systemen wie ChatGPT und Copilot nicht ganz richtig. Denn das Sprachmodell holt sich sein Wissen aus riesigen, ungefilterten Datenbergen, in der Studien zufolge Diversität kaum eine Rolle spielt und untergeht. Hinzu kommt, dass aktuelle Ereignisse und Daten nicht abrufbar sind, da die KI erst gefüttert beziehungsweise trainiert werden muss und das braucht seine Zeit.
10 Tipps für höhere Compliance und mehr Datenschutz
Auch wenn die Probleme bislang seitens des Gesetzgebers nicht gelöst sind, sollten Unternehmen Eigeninitiative zeigen und eigene Regelwerke zum Einsatz von KI entwerfen. Es gilt, puren Aktionismus zu vermeiden und auf kontrollierte Nutzung zu setzen:
• Verwenden Sie berufliche Chatbots-Accounts statt Privatkonten: Legen Sie zudem eine spezielle E-Mail-Adresse für die Nutzung an.
• Personenbezogene Daten weder eingeben noch ausgeben: So vermeiden Sie Rückschlüsse auf Personen wie Geschäftspartner, Kunden o. ä.
• Chatverlauf und KI-Training abschalten: Lehnen Sie die Verwendung Ihrer Daten zu Trainingszwecken ab. So vermeiden Sie die Verknüpfungen von Eingaben zu nur einer Person.
• Ergebnisse gegenprüfen auf Richtigkeit: Es ist möglich, dass die gewünschten Resultate nicht aktuell oder inkorrekt sind. Es wurde bereits mehrfach bewiesen, dass sich ChatGPT auch Antworten ausdenkt.
• Compliance-Regeln festlegen: Unternehmen sollten festlegen, ob das Tool und welche anderen Tools gegebenenfalls verwendet werden dürfen, sonst droht unkontrollierte Nutzung.
• Datenschutzbestimmungen und Sicherheitsanforderungen: ChatGPT, Copilot & Co. sollten so implementiert und eingesetzt werden, dass die den Vorgaben und Richtlinien Rechnung tragen.
• Transparente Verarbeitungsrichtlinien: Setzen Firmen ChatGPT oder ein anderes Sprachmodell ein, sollten sie offen kommunizieren, wie die erhobenen und gesammelten Daten vom KI-System verarbeitet und gespeichert werden.
• Schulen Sie Ihre Mitarbeitenden zu KI-Systemen: Erklären Sie ihnen, wie und in welchem Umfang sie KI-Tools nutzen dürfen und bspw. auch in Bereichen wie Prompt Engineering.
• KI-Wissen verbreiten: Gerade in größeren Organisationen sind mehr Mitarbeitende und Teams gefragt, die über datenanalytische Expertise verfügen. Sorgen Sie dafür, dass nicht nur einzelne Mitarbeitende verstehen, wie KI-Systeme funktionieren. Bei Umbesetzungen, Kündigungen o. ä. geht so Fachkompetenz nicht verloren.
• Sensibilisieren Sie Ihre Mitarbeitende für Datenschutzrisiken
KI-Governance heisst auch Sicherheitsrisiken eindämmen
Aber auch die mangelnde Akzeptanz seitens der Arbeitnehmer durch fehlende Vorgaben und Richtlinien zum Thema KI-Governance sowie unkontrollierte Nutzung von KI und daraus resultierende erhöhte Compliance-Kosten sind laut der ESET Sicherheitsprofis nicht zu vernachlässigende Faktoren. Auch gibt es bereits einige Projekte, die sich weiterführende Gedanken zur IT-Sicherheit machen, wie zum Beispiel bei Angriffsfällen vorgegangen wird. Wie liesse sich in dem Fall eine Notabschaltung der KI technisch realisieren?
Um Sicherheitsrisiken einzudämmen, sollten Unternehmen auf folgende Schutzmechanismen und Vorgaben setzen:
1. Sichere Authentifizierung: Chatbot-Accounts bergen ein gewisses Missbrauchsrisiko. Zugriffskontrollrichtlinien (wer darf was wann wo machen?), starke Passwörter und Authentifizierungsprozesse sind Pflicht.
2. Verschlüsselung: Alle an und von der KI übermittelten Daten sollten verschlüsselt sein, um Fremdzugriffe zu unterbinden.
3. Gerätepolitik: Mit einer einheitlichen, internen Richtlinie zu Geräten, die im Unternehmen genutzt werden dürfen, wird IT-Wildwuchs vermieden und klar die Trennung zwischen privat und beruflich vollzogen.
4. Notfallplan: Für den Extremfall sollte ein Notfallplan verfügbar sein, der nach einem Hackerangriff bei einem Systemausfall greift und der Administrator umgehend Schritte einleiten kann.
5. Sicherheitslösung: Alle Systeme sollten mit einer modernen Security-Lösung ausgestattet sein, die fortschrittliche Technologien wie Künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen, um verdächtige Aktivitäten in Echtzeit zu identifizieren und Massnahmen einzuleiten.
6. Tests und Updates: Regelmässige Tests und Updates der Software und Anwendungen sind Pflicht, um die Systeme aktuell zu halten.
Fazit & Ausblick:
Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 den „AI Act“ verabschiedet und einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union gesetzt. Damit werden KI-Tools bestimmten Risikogruppen zugeordnet. Je höher das Risiko, umso höher werden wohl Pflichten und Anforderungen. Doch Firmen gewinnen jetzt schon, wenn sie ihre internen Richtlinien und das Risikomanagement auf die Einbindung von KI abstimmen. So sind sie in der Lage, Gesetzesvorgaben schneller umzusetzen, Kosten zu senken und Innovationen voranzutreiben. Gelingt Unternehmen die erfolgreiche Implementierung, erledigt am Ende die KI die Fliessbandarbeit.
Der Autor
Ildikó Bruhns ist seit 2011 für ESET als Sicherheitsexpertin tätig. Ihre Spezialgebiete sind technische und ethische Fragen rund um die Digitalisierung sowie die Online-Sicherheit von Kindern. Eines ihrer Herzensprojekte ist die Initiative "Safer Kids Online", die sie als Projektmanagerin betreut.
