25. Oktober 2024
Unter Schatten-KI versteht man die nicht genehmigte Nutzung von Tools oder Anwendungen künstlicher Intelligenz (KI) durch Mitarbeiter oder Endbenutzer, ohne formelle Genehmigung oder Aufsicht durch die IT-Abteilung.
Ein gängiges Beispiel für Schatten-KI ist die unbefugte Nutzung von Anwendungen der generativen KI (Gen AI) wie OpenAI's ChatGPT zur Automatisierung von Aufgaben wie Textbearbeitung und Datenanalyse. Mitarbeiter greifen häufig auf diese Tools zurück, um die Produktivität zu steigern und Prozesse zu beschleunigen. Da die IT-Teams jedoch nicht wissen, dass diese Apps verwendet werden, besteht die Gefahr, dass Mitarbeiter das Unternehmen unwissentlich erheblichen Risiken in Bezug auf Datensicherheit, Compliance und den Ruf des Unternehmens aussetzen.
Für CIOs und CISOs ist die Entwicklung einer robusten KI-Strategie, die KI-Governance und Sicherheitsinitiativen umfasst, der Schlüssel zu einem effektiven KI- Risikomanagement. Durch die Verpflichtung zu KI-Richtlinien, die die Bedeutung von Compliance und Cybersicherheit betonen, können Führungskräfte die Risiken von Schatten-KI managen und gleichzeitig die Vorteile von KI-Technologien nutzen.
Um die Auswirkungen von Schatten-KI zu verstehen, ist es hilfreich, eine Unterscheidung zur Schatten-IT zu treffen.
Schatten-IT
Schatten-IT bezieht sich auf die Bereitstellung von Software, Hardware oder Technologie in einem Unternehmensnetzwerk ohne die Zustimmung, das Wissen oder die Aufsicht einer IT-Abteilung oder eines CIO. Mitarbeiter könnten auf nicht genehmigte KI-Technologie zurückgreifen, wenn sie vorhandene Lösungen für unzureichend halten oder glauben, dass die genehmigten Optionen zu langsam sind. Häufige Beispiele sind die Nutzung persönlicher Cloud Storage Services oder nicht genehmigter Projektmanagement-Tools.
Schatten-KI
Während sich die Schatten-IT auf nicht autorisierte Anwendungen oder Dienste konzentriert, konzentriert sich die Schatten-KI auf KI-spezifische Tools, Plattformen und Anwendungsfälle. Ein Mitarbeiter könnte beispielsweise ein Large Language Model (LLM) verwenden, um schnell einen Bericht zu erstellen, ohne sich der Sicherheitsrisiken bewusst zu sein. Der Hauptunterschied liegt in der Art der verwendeten Tools: Bei der Schatten-KI geht es um die unbefugte Nutzung künstlicher Intelligenz, die einzigartige Bedenken in Bezug auf die Datenverwaltung, Modellausgaben und Entscheidungsfindung aufwirft.
Von 2023 bis 2024 stieg die Akzeptanz generativer KI-Anwendungen bei Unternehmensmitarbeitern von 74 % auf 96 %, da Unternehmen KI-Technologien einführten.1 Mit diesem Wachstum kam es auch zu einer Zunahme von Schatten-KI. Heute gibt mehr als ein Drittel (38 %) der Arbeitnehmer zu, dass sie sensible Arbeitsinformationen ohne Erlaubnis ihres Arbeitgebers mit KI-Tools geteilt haben.2
Schatten-KI kann Unternehmen mehreren Risiken aussetzen, darunter Datenlecks, Geldstrafen bei Nichteinhaltung von Vorschriften und schwere Reputationsschäden:
Datenschutzverletzungen und Sicherheitslücken
Eines der größten Risiken im Zusammenhang mit Schatten-KI ist das Potenzial für Datenschutzverletzungen. Wenn die Nutzung von KI nicht ausreichend überwacht wird, können Mitarbeiter versehentlich sensible Informationen preisgeben, was zu datenschutzrechtlichen Bedenken führt. Laut einer kürzlich durchgeführten Umfrage unter CISOs hatte 1 von 5 britischen Unternehmen Datenverluste zu verzeichnen, weil Mitarbeiter KI verwendeten.3 Das erhöhte Risiko von Datenlecks könnte erklären, warum drei Viertel der Befragten auch angaben, dass Insider ein größeres Risiko für das Unternehmen darstellen als externe Bedrohungen.4
Nichteinhaltung von Vorschriften
In vielen Branchen ist die Einhaltung gesetzlicher Vorschriften nicht verhandelbar. Der Einsatz von Schatten-KI kann zu Compliance-Problemen führen, insbesondere in Bezug auf Datenschutz und Privatsphäre. Unternehmen unterliegen möglicherweise Vorschriften wie der Datenschutz-Grundverordnung (DSGVO). Die Geldbußen bei Verstößen gegen die DSGVO können erheblich sein: Bei schwerwiegenden Verstößen (z. B. bei der Verarbeitung von Daten für rechtswidrige Zwecke) können Unternehmen mit mehr als 20.000.000 EUR oder 4 % des weltweiten Umsatzes des Unternehmens im Vorjahr bestraft werden – je nachdem, welcher Betrag höher ist.
Reputationsschäden
Sich auf nicht autorisierte KI-Modelle zu verlassen, kann die Qualität der Entscheidungsfindung beeinträchtigen. Ohne entsprechende Governance stimmen die von diesen Modellen generierten Ausgaben möglicherweise nicht mit den Zielen oder ethischen Standards der Unternehmen überein. Verzerrte Daten, Überanpassung und Modelldrift sind einige Beispiele für KI-Risiken, die zu schlechten strategischen Entscheidungen führen und den Ruf eines Unternehmens schädigen können.
Die nicht autorisierte Nutzung von KI könnte auch den Qualitätsstandards eines Unternehmens widersprechen und das Vertrauen der Verbraucher untergraben. Denken Sie an die Gegenreaktion, als Sports Illustrated wegen der Veröffentlichung von Artikeln, die von KI-generierten Autoren verfasst wurden, bloßgestellt wurde, oder als Uber Eats wegen der Verwendung von KI-generierten Bildern von Lebensmitteln kritisiert wurde.
Trotz der Risiken wird die Schatten-KI aus mehreren Gründen immer häufiger eingesetzt. Unternehmen setzen auf die digitale Transformation und damit auch auf die Integration von KI-Technologien, um Workflows und Entscheidungsfindungsprozesse neu zu gestalten.
Die Verbreitung benutzerfreundlicher KI-Tools bedeutet, dass Mitarbeiter leicht auf fortschrittliche KI-Lösungen zugreifen können, um ihre Funktionen zu erweitern. Viele KI-Anwendungen sind als Software as a Service (SaaS)-Produkte verfügbar, sodass Einzelpersonen diese Tools schnell einsetzen können, ohne unbedingt IT- oder Sicherheitsteams hinzuziehen zu müssen. Durch die Demokratisierung der KI finden Mitarbeiter neue Wege, wie Folgendes möglich wird:
- Gesteigerte Produktivität: Mitarbeiter verwenden häufig KI-Schatten-Tools, um ihre Produktivität zu steigern und betriebliche Ineffizienzen zu umgehen. Durch die Nutzung von KI-Apps können Einzelpersonen sich wiederholende Aufgaben automatisieren, Inhalte schnell erstellen und Prozesse optimieren, die sonst viel länger dauern würden.
- Beschleunigen von Innovationen: Schatten-KI kann eine Innovationskultur fördern, indem sie es Teams ermöglicht, mit neuen KI-Tools zu experimentieren, ohne auf eine offizielle Genehmigung warten zu müssen. Diese Agilität kann zu kreativen Lösungen und verbesserten Workflows führen und Unternehmen in sich schnell verändernden Märkten einen Wettbewerbsvorteil verschaffen.
- Optimierte Lösungen: Schatten-KI ermöglicht es Teams oft, Herausforderungen in Echtzeit zu bewältigen. Mitarbeiter können mithilfe verfügbarer KI-Tools schnell Ad-hoc-Lösungen finden, anstatt sich auf traditionelle, langsamere Methoden verlassen zu müssen. Diese Reaktionsfähigkeit kann den Kundenservice verbessern und die betriebliche Effizienz steigern.
Die neuesten Erkenntnisse und Insights zu KI
Von Experten kuratierte Erkenntnisse und Neuigkeiten zu KI, Cloud und mehr im wöchentlichen Think Newsletter.
Schatten-KI manifestiert sich in Unternehmen auf unterschiedliche Weise, oft getrieben durch das Bedürfnis nach Effizienz und Innovation. Zu den gängigen Beispielen für Schatten-KI gehören KI-gestützte Chatbots, ML-Modelle zur Datenanalyse, Marketing-Automatisierungstools und Datenvisualisierungstools.
KI-gestützte Chatbots
Im Kundenservice greifen Teams möglicherweise auf nicht autorisierte intelligente Chatbots zurück, um Antworten auf Anfragen zu generieren. Zum Beispiel könnte ein Kundenservice-Mitarbeiter versuchen, die Frage eines Kunden zu beantworten, indem er einen Chatbot um Antworten bittet, anstatt in den genehmigten Materialien seines Unternehmens nachzuschlagen. Dies kann zu inkonsistenten oder falschen Nachrichten, potenziellen Missverständnissen mit Kunden und Sicherheitsrisiken führen, wenn die Frage des Vertreters sensible Unternehmensdaten enthält.
ML-Modelle für die Datenanalyse
Mitarbeiter könnten externe maschinelles Lernen-Modelle verwenden, um Muster in Unternehmensdaten zu analysieren und zu finden. Diese Tools können zwar wertvolle Erkenntnisse liefern, doch die unbefugte Nutzung von KI-Services kann zu Sicherheitslücken führen. Ein Analyst könnte beispielsweise ein prädiktives Verhaltensmodell verwenden, um das Kundenverhalten anhand eines proprietären Datensatzes besser zu verstehen, und dabei unwissentlich sensible Informationen preisgeben.
Tools zur Marketing-Automatisierung
Marketingteams könnten versuchen, Kampagnen mithilfe von KI-Schattenwerkzeugen zu optimieren, die E-Mail-Marketingmaßnahmen automatisieren oder Daten zum Engagement in den sozialen Medien analysieren können. Die Nutzung dieser Tools kann zu besseren Marketingergebnissen führen. Allerdings kann das Fehlen einer Governance dazu führen, dass Datenschutzstandards nicht eingehalten werden, insbesondere wenn Kundendaten falsch gehandhabt werden.
Datenvisualisierungstools
Viele Organisationen verwenden KI-gestützte Datenvisualisierungstools, um schnell Heatmaps, Liniendiagramme, Balkendiagramme und mehr zu erstellen. Diese Tools können dazu beitragen, Business Intelligence zu stärken, indem sie komplexe Datenbeziehungen und Erkenntnisse auf leicht verständliche Weise darstellen. Die Eingabe von Unternehmensdaten ohne IT-Genehmigung kann jedoch zu Ungenauigkeiten in der Berichterstellung und zu potenziellen Datenschutzproblemen führen.
Um die Risiken von Schatten-KI zu bewältigen, sollten Unternehmen verschiedene Ansätze in Betracht ziehen, die eine verantwortungsvolle KI-Nutzung fördern und gleichzeitig die Notwendigkeit von Flexibilität und Innovation anerkennen:
Betonen Sie die Zusammenarbeit
Ein offener Dialog zwischen IT-Abteilungen, Sicherheitsteams und Geschäftsbereichen kann zu einem besseren Verständnis der Funktionen und Grenzen von KI führen. Eine Kultur der Zusammenarbeit kann Unternehmen dabei helfen, herauszufinden, welche KI-Tools von Vorteil sind, und gleichzeitig die Einhaltung von Datenschutzprotokollen sicherzustellen.
Entwickeln Sie ein flexibles Governance-Framework
Governance-Frameworks können der schnelllebigen Einführung von KI gerecht werden und gleichzeitig die Sicherheitsmaßnahmen aufrechterhalten. Diese Framework können klare Richtlinien darüber enthalten, welche Arten von KI-Systemen eingesetzt werden können, wie mit sensiblen Informationen umgegangen werden sollte und welche Schulungen Mitarbeiter in Bezug auf KI-Ethik und Compliance benötigen.
Implementieren Sie Verhaltensregeln
Verhaltensregeln für den Einsatz von KI können ein Sicherheitsnetz bieten und sicherstellen, dass Mitarbeiter nur zugelassene Tools innerhalb definierter Parameter verwenden. Die Verhaltensregeln umfassen Richtlinien zur externen KI-Nutzung, Sandbox-Umgebungen zum Testen von KI-Anwendungen oder Firewalls zum Blockieren nicht autorisierter externer Plattformen gehören.
KI-Nutzung überwachen
Es ist unter Umständen nicht möglich, alle Fälle von Schatten-KI zu beseitigen. Daher können Unternehmen Überwachungstools einsetzen, um die Anwendungsnutzung zu verfolgen und Zugriffskontrollen einzurichten, um nicht zugelassene Software einzuschränken. Regelmäßige Audits und eine aktive Überwachung der Kommunikationskanäle können ebenfalls dazu beitragen, zu erkennen, ob und wie nicht autorisierte Apps verwendet werden.
Erneut auf die Risiken hinweisen
Die Sparte der Schatten-KI entwickelt sich ständig weiter und stellt Unternehmen vor neue Herausforderungen. Unternehmen können regelmäßige Kommunikationkanäle nutzen, wie z. B. Newsletter oder vierteljährliche Updates, um Mitarbeiter über Schatten-KI und die damit verbundenen Risiken zu informieren.
Indem Sie das Bewusstsein für die Folgen des Einsatzes nicht autorisierter KI-Tools schärfen, können Unternehmen eine Kultur des verantwortungsvollen KI-Einsatzes fördern. Dieses Verständnis könnte die Mitarbeiter dazu ermutigen, nach zugelassenen Alternativen zu suchen oder sich mit der IT-Abteilung zu beraten, bevor sie neue Anwendungen bereitstellen.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 Sensitive Data Sharing Risks Heightened as GenAI Surges, Infosecurity Magazine, 17. Juli 2024.
2 Over a Third of Employees Secretly Sharing Work Info with AI, Infosecurity Magazine, 26. September 2024.
3 Fifth of CISOs Admit Staff Leaked Data Via GenAI, Infosecurity Magazine, 24. April 2024.
4 Article 99: Penalties, EU Artificial Intelligence Act.
Ressourcen
Erfahren Sie, wie sich das EU-Gesetz zur KI auf die Wirtschaft auswirken wird, wie Sie sich vorbereiten, wie Sie Risiken mindern können und wie Sie Regulierung und Innovation in Einklang bringen.
Erfahren Sie mehr über die neuen Herausforderungen der generativen KI, die Notwendigkeit der Steuerung von KI- und ML-Modellen und die Schritte zum Aufbau eines vertrauenswürdigen, transparenten und erklärbaren KI-Frameworks.
Erfahren Sie, wie Sie mit einem Portfolio von KI-Produkten für generative KI-Modelle ethische und gesetzeskonforme Praktiken fördern.
Gewinnen Sie mit watsonx.governance ein tieferes Verständnis dafür, wie Sie Fairness gewährleisten, Drifts verwalten, die Qualität aufrechterhalten und die Erklärbarkeit verbessern können.
Wir haben 2.000 Unternehmen zu ihren KI-Initiativen befragt, um herauszufinden, was funktioniert, was nicht und wie Sie vorankommen können.
Erfahren Sie, wie Sie das für Ihren Anwendungsfall am besten geeignete KI Foundation Model auswählen.
Verwalten Sie generative KI-Modelle ortsunabhängig und stellen Sie diese in der Cloud oder lokal mit IBM watsonx.governance bereit.
Bereiten Sie sich auf das EU-Gesetz zur KI vor und etablieren Sie mithilfe von IBM Consulting einen verantwortungsvollen KI-Governance-Ansatz.
Vereinfachen Sie die Verwaltung von Risiken und die Einhaltung gesetzlicher Vorschriften mit einer einheitlichen GRC-Plattform.