Vernetzen Sie sich mit uns

Vordenker

Die Gefahr des Neins zur KI

mm
Veröffentlicht

Letzte Woche habe ich mich in die Telefonkonferenz eines potenziellen Kunden eingewählt. Alle Sicherheits- und Netzwerkexperten sowie das Management waren anwesend. Verschiedene Referenten behandelten die aktuellen Themen. Dann begann jemand zu erklären, wie seine technischen Teams KI in ihrer täglichen Arbeit einsetzen.

Der Moderator war begeistert. Er hatte einen Weg gefunden, drei Tage manuelles Kopieren und Einfügen mithilfe von KI-Tools auf wenige Minuten zu verkürzen. Super cool, oder? Ich verstehe, was er tat – und warum. Das ist das Versprechen von KI!

Aber als Sicherheitsperson im Raum denke ich: „Oh mein Gott.“ „Was ist das für ein Tool? Wem gehört dieses Tool?“ Denn er gibt Kundeninformationen in diese Plattformen ein – Preisdaten. Vielleicht Finanzinformationen? Was auch immer es sein mag. Und das alles, um seinen Arbeitsablauf zu beschleunigen.

Also stellte ich die naheliegende Frage: „Haben Sie eine KI-Richtlinie?“ Wir suchten nach einer. Wir fanden einen versteckten Text zur akzeptablen Nutzung. Etwas Vages über KI-Tools. Liest das überhaupt jemand? Wahrscheinlich nicht. Man unterschreibt es beim Onboarding, und fertig.

Ihre Mitarbeiter nutzen bereits KI

Folgendes habe ich in Gesprächen mit Unternehmen aller Branchen gelernt: KI ist bereits allgegenwärtig, ob man es wahrnimmt oder nicht. Aktuelle Forschungen bestätigen diese Realität:75 % der Arbeitnehmer nutzen mittlerweile KI bei der Arbeit, und hat sich in nur sechs Monaten fast verdoppelt.

Letzte Woche traf ich in Houston einen Mann, dessen Firma nach Öl bohrt. Sie verfügen über eine KI-Plattform, die Bodenzusammensetzung und Wettermuster analysiert, um Bohrstandorte zu optimieren. Er erklärte, wie sie Niederschlagsdaten berücksichtigen: „Wir wussten, dass es in dieser Gegend 18 Tage mehr geregnet hat. Daher ist die Ölkapazität wahrscheinlich höher, was es den Bohrern ermöglicht, tiefer vorzudringen.“

Mittlerweile nutze ich KI, um eine Reiseroute für Deutschland zu erstellen. Ich habe mit Unternehmen im Gesundheitswesen gesprochen, die KI für Telemedizin-Plattformen nutzen. Finanzteams führen Risikomodelle durch. Ich habe sogar jemanden getroffen, der ein Limonadengeschäft betreibt und KI irgendwie nutzt.

Der Punkt ist: KI ist in jeder Branche, in jedem Arbeitsablauf präsent. Sie kommt nicht – sie ist schon da. Und die meisten dieser Unternehmen sitzen im selben Boot wie wir. Sie wissen, dass ihre Mitarbeiter sie nutzen. Sie wissen nur nicht, wie sie damit umgehen sollen.

Schatten-IT wird schnell gefährlich

Wissen Sie, was passiert, wenn Sie Ihren Kindern sagen, sie dürften keine KI nutzen? Das ist genauso, als würden Sie Ihrem Teenager sagen, er solle niemals Alkohol trinken. Herzlichen Glückwunsch! Jetzt werden sie diejenigen sein, die auf die gefährlichste Art und Weise trinken, weil Sie ein Verbot geschaffen haben.

Die Zahlen belegen diese Realität: 72 % der generativen KI-Nutzung in Unternehmen ist Schatten-IT, wobei Mitarbeiter persönliche Konten verwenden, um auf KI-Apps zuzugreifen.

Die Leute kaufen sich einen zweiten Laptop. Sie nutzen ihr privates Telefon, das nicht durch die Unternehmenssicherheit geschützt ist. Dann nutzen sie trotzdem KI. Plötzlich verliert man die Transparenz und schafft genau die Lücken, die man eigentlich verhindern wollte.

Ich kenne dieses Muster schon. Sicherheitsteams, die zu allem „Nein“ sagen, drängen die Leute in den Untergrund – und verlieren den Überblick über das, was tatsächlich passiert.

Sicherheit wird zum Feind

Es herrscht die Vorstellung, dass Sicherheitsteams „die fiesen Typen im Keller“ sind. Die Leute denken: „Oh, die Sicherheitsleute werden wahrscheinlich sowieso Nein sagen, also kümmere dich nicht um diese Typen. Ich mache es trotzdem.“

Wir haben dieses Missverständnis geschaffen. Und dank KI gehen die Leute davon aus, dass wir sie abschalten, und fragen deshalb gar nicht erst nach. Das verhindert die eigentlich gewünschte Kommunikation.

Nach einem Konferenzvortrag kam ein Entwickler auf mich zu. Er nutzt täglich APIs und hatte versucht, sein Sicherheitsteam auf Tests und Validierung aufmerksam zu machen. Er hatte sich jedoch dagegen entschieden, zu fragen, weil er befürchtete, sie würden einfach Nein sagen.

Das Vertrauensdefizit kostet Sie alles

So könnte das Gespräch aussehen: Jemand aus dem Marketing kommt auf Sie zu und sagt: „Hey, ich möchte dieses KI-Tool nutzen. Wie stehen wir dazu? Wie kann ich es sicher nutzen?“ So funktioniert die Zusammenarbeit mit der Sicherheitsabteilung.

Wir werden es prüfen. Wir wissen, dass KI Teil des Geschäfts sein wird. Wir werden nicht nein sagen – wir wollen, dass die Menschen sie sicher nutzen. Aber zuerst müssen wir dieses Gespräch führen.

Wenn die Leute davon ausgehen, dass die Sicherheitsvorkehrungen alles blockieren, hören sie auf zu fragen. Sie melden sich mit persönlichen E-Mail-Adressen an, speisen Unternehmensdaten in ungeprüfte Plattformen ein und verlieren jegliche Transparenz und Kontrolle. Das Ergebnis ist vorhersehbar: 38 % der Mitarbeiter geben vertrauliche Arbeitsinformationen ohne die Erlaubnis ihres Arbeitgebers an KI-Tools weiter.

Unternehmen werden KI auf jeden Fall nutzen. Die Frage ist: Wie stellen wir sicher, dass unsere Mitarbeiter sie sicher nutzen können, ohne Unternehmensdaten, Datenschutz oder Sicherheit zu gefährden?

Beginnen Sie mit einem klugen Ja, nicht mit einem pauschalen Nein

Was wirklich funktioniert: proaktive Kommunikation. Versenden Sie Newsletter oder veranstalten Sie 30-minütige Webinare mit dem Titel: „Wir lassen KI in der Organisation zu. So geht das sicher.“ Zeichnen Sie die Sitzungen für Personen auf, die sie verpassen.

Zeigen Sie Beispiele von Mitarbeitern, die erfolgreich mit dem Sicherheitsbereich zusammengearbeitet haben. Machen Sie diese Partnerschaften sichtbar, anstatt sie als zwielichtige Instanz darzustellen, von der die Leute annehmen, dass sie sie zunichte machen.

Sie müssen mit der Zeit Vertrauen zwischen Sicherheitspersonal und Mitarbeitern aufbauen. Letztendlich nutzen wir alle KI im Großen und Ganzen. Ich habe sie für die Planung meiner Deutschlandreise verwendet – ich habe sie beauftragt, einen dreitägigen Reiseplan zu erstellen, und das Ergebnis war ein toller Trip.

Aus organisatorischer Sicht müssen wir erkennen, welchen Stellenwert KI im Unternehmen hat. Wird sie den Umsatz steigern? Wahrscheinlich. Der Business Case ist klar: KI hat sich vom „Experiment“ zum „wesentlichen“ Bestandteil entwickelt, die Unternehmensausgaben stiegen um 130 %. Was also tun wir? Wie bieten wir Schutz und ermöglichen gleichzeitig die Produktivität?

Das Ziel ist nicht die perfekte Kontrolle, das ist unmöglich. Das Ziel ist eine informierte KI-Einführung mit Sicherheitsvorkehrungen, die in der Praxis tatsächlich funktionieren. Das neue Sicherheitsrisiko besteht darin, dass die KI-Nutzung – ob mit oder ohne Sie – isoliert wird.

Für Organisationen, die es ernst meinen, empfehlen Experten die Entwicklung klare KI-Governance-Richtlinien, die Geschäftsanforderungen mit Sicherheitsanforderungen in Einklang bringen bevor der Einsatz von Schatten-KI völlig außer Kontrolle gerät.

Verwandte Themen:
mm

Jeremy Ventura ist Field CISO beim globalen Systemintegrator Myriad360, wo er Organisationen dabei hilft, komplexe Sicherheitsherausforderungen in den Bereichen Cloud, API-Sicherheit und neue Technologien zu meistern.