Die Gefahr von Nein zu KI

Ich habe mich letzte Woche in einen Anruf eines potenziellen Kunden eingewählt. Alle Sicherheits- und Netzwerkmitarbeiter waren dort, plus das Management. Verschiedene Präsentatoren behandelten die Themen des Moments. Dann begann jemand, zu erklären, wie seine technischen Teams KI in ihrer täglichen Arbeit verwenden.

Der Präsentator war begeistert. Er hatte eine Möglichkeit gefunden, drei Tage manuelle Kopier- und Klebearbeit auf ein paar Minuten mit KI-Tools zu komprimieren. Super cool, oder? Ich verstehe, was er tat – und warum er es tat. Das ist das Versprechen von KI!

Aber als Sicherheitsperson im Raum denke ich: “Oh mein Gott.” “Welches Tool ist das? Wer besitzt das Tool?” Denn er gibt Kundeninformationen in diese Plattformen ein – Preisdaten. Vielleicht finanzielle Informationen? Was auch immer es sein mag. Alles, um seinen Arbeitsablauf zu beschleunigen.

Also stellte ich die offensichtliche Frage: “Haben Sie eine KI-Richtlinie?” Wir suchten danach. Fanden einen Absatz, der in der Akzeptable Nutzung vergraben war. Etwas Vages über KI-Tools. Liest jemand das überhaupt? Wahrscheinlich nicht. Sie unterschreiben es während der Einstellung und sind fertig.

Ihre Mitarbeiter verwenden bereits KI

Hier ist, was ich gelernt habe, als ich mit Unternehmen aus allen Branchen sprach: KI ist bereits überall, ob Sie es anerkennen oder nicht. Aktuelle Forschung bestätigt diese Realität – 75% der Arbeitnehmer verwenden jetzt KI bei der Arbeit, fast eine Verdoppelung in nur sechs Monaten.

Letzte Woche in Houston traf ich einen Mann, dessen Unternehmen nach Öl bohrt. Sie haben eine KI-Plattform, die die Zusammensetzung des Bodens und Wettermuster analysiert, um die Bohrstellen zu optimieren. Er erklärte, wie sie Regendaten berücksichtigen – “Wir wussten, dass es in diesem Gebiet 18 Tage mehr geregnet hat, als es tat, also ist die Ölkapazität wahrscheinlich höher, was es den Bohrern ermöglicht, tiefer zu bohren.”

Währenddessen verwende ich KI, um einen Reiseplan für Deutschland zu erstellen. Ich habe mit Unternehmen im Gesundheitswesen gesprochen, die es für Telehealth-Plattformen verwenden. Finanzteams, die Risikomodelle ausführen. Ich traf sogar jemanden, der ein Limonadenunternehmen betreibt und KI irgendwie nutzt.

Der Punkt ist: KI ist in jeder Branche, in jedem Arbeitsablauf. Sie kommt nicht – sie ist bereits da. Und die meisten dieser Organisationen sind im selben Boot wie wir. Sie wissen, dass ihre Mitarbeiter es verwenden. Sie wissen nur nicht, wie sie es verwalten.

Schatten-IT wird schnell gefährlich

Wissen Sie, was passiert, wenn Sie den Leuten sagen, dass sie KI nicht verwenden dürfen? Es ist genau wie wenn Sie Ihrem Teenager sagen, dass er nie trinken darf. Herzlichen Glückwunsch, jetzt werden sie es auf die unsicherste Weise tun, weil Sie ein Verbot geschaffen haben.

Die Zahlen beweisen diese Realität: 72% der generativen KI-Verwendung in Unternehmen ist Schatten-IT, wobei Mitarbeiter persönliche Konten verwenden, um auf KI-Apps zuzugreifen.

Die Leute holen sich ihr zweites Laptop. Sie verwenden ihr persönliches Telefon, das nicht durch die Sicherheit des Unternehmens geschützt ist. Dann verwenden sie KI trotzdem. Plötzlich verlieren Sie die Sichtbarkeit und schaffen die exakten Lücken, die Sie hatten verhindern wollen.

Ich habe dieses Muster bereits gesehen. Sicherheitsteams, die zu allem “Nein” sagen, treiben die Leute unterirdisch und verlieren alle Aufsicht über das, was tatsächlich passiert.

Sicherheit wird zum Feind

Es gibt diese Wahrnehmung, dass Sicherheitsteams die “bösen Typen im Keller” sind. Die Leute denken: “Oh, Sicherheit wird wahrscheinlich Nein sagen, also nevermind diese Jungs. Ich werde es trotzdem tun.”

Wir haben dieses Missverständnis geschaffen. Und mit KI nehmen die Leute an, dass wir sie abschalten werden, also bemühen sie sich nicht, zu fragen. Das tötet die Kommunikation, die Sie eigentlich wollen.

Ich hatte einen Entwickler, der nach einer Konferenzpräsentation zu mir kam. Er verwendet APIs jeden Tag und hatte versucht, die Aufmerksamkeit seines Sicherheitsteams auf Tests und Validierung zu lenken. Aber er hatte beschlossen, nicht zu fragen, weil er dachte, sie würden einfach Nein sagen.

Das Vertrauensdefizit kostet Sie alles

Hier ist das Gespräch, das Sie wollen: Jemand aus dem Marketing kommt zu Ihnen und sagt: “Hey, ich möchte dieses KI-Tool verwenden. Was ist unsere Haltung dazu? Wie kann ich es sicher verwenden?” Das ist der richtige Weg, um mit Sicherheit zusammenzuarbeiten.

Wir werden es prüfen. Wir verstehen, dass KI Teil des Geschäfts sein wird. Wir werden nicht Nein sagen – wir wollen, dass die Leute es sicher verwenden. Aber wir benötigen dieses Gespräch zuerst.

Wenn die Leute annehmen, dass Sicherheit alles blockieren wird, hören sie auf zu fragen. Sie melden sich mit persönlichen E-Mails an, füttern Unternehmensdaten in unüberprüfte Plattformen und Sie verlieren alle Sichtbarkeit und Kontrolle. Das Ergebnis ist vorhersehbar: 38% der Mitarbeiter teilen sensible Arbeitsinformationen mit KI-Tools ohne die Erlaubnis ihres Arbeitgebers.

Unternehmen werden KI unabhängig davon verwenden. Die Frage ist: Wie stellen wir sicher, dass unsere Mitarbeiter es sicher nutzen können, ohne Unternehmensdaten, Privatsphäre oder Sicherheit zu gefährden?

Fangen Sie mit intelligenten Ja an, nicht mit blanken Nein

Hier ist, was tatsächlich funktioniert: proaktive Kommunikation. Senden Sie Newsletter oder führen Sie 30-minütige Webinare durch, in denen Sie sagen: “Wir erlauben KI innerhalb des Unternehmens. Hier ist, wie Sie es sicher verwenden können.” Nehmen Sie die Sitzungen für diejenigen auf, die sie verpassen.

Zeigen Sie Beispiele von Mitarbeitern, die erfolgreich mit Sicherheit zusammengearbeitet haben. Machen Sie diese Partnerschaften sichtbar, anstatt eine schattenhafte Entität zu sein, die die Leute annehmen, dass sie sie abschalten wird.

Sie müssen Vertrauen über Zeit zwischen Sicherheit und Mitarbeitern aufbauen. Am Ende des Tages verwenden wir alle KI auf große und kleine Weise. Ich verwendete es, um meine Deutschlandreise zu planen – sagte es, einen dreitägigen Reiseplan zu erstellen und bekam eine rockende Reise daraus.

Aus organisatorischer Sicht müssen wir erkennen, wo KI im Geschäft sitzt. Wird es den Umsatz steigern? Wahrscheinlich. Der Geschäftsfall ist klar: KI hat sich von “Experiment” zu “essentiell” bewegt, mit einem Sprung von 130% bei den Unternehmensausgaben. Was tun wir also? Wie stellen wir sicher, dass wir Produktivität ermöglichen, während wir Schutz bieten?

Das Ziel ist nicht perfekte Kontrolle, das ist unmöglich. Das Ziel ist informierte KI-Adoption mit Schutzvorkehrungen, die tatsächlich in der Praxis funktionieren. Das neue Risiko für Sicherheit ist, von der KI-Verwendung abgesondert zu werden – eine Verwendung, die mit oder ohne Sie passiert.

Für Unternehmen, die es ernst meinen, es richtig zu machen, empfehlen Experten, klare KI-Governance-Richtlinien zu entwickeln, die Geschäftsanforderungen mit Sicherheitsanforderungen ausgleichen, bevor die Schatten-KI-Verwendung völlig außer Kontrolle gerät.