Der rasante Anstieg von KI-Tools am Arbeitsplatz in Verbindung mit dem zunehmenden Druck auf die Mitarbeiter, immer mehr und schneller zu leisten, bedeutet, dass Unternehmen mit einem wachsenden blinden Fleck in Sachen Sicherheit konfrontiert sind: dem Einsatz von KI-Agenten.
Dieser Artikel wurde von unserem VP of Product, Mark Hamill, verfasst. Er wirft einen praktischen Blick darauf, wie KI heute in Unternehmen eingesetzt wird, untersucht die Risiken der „Schatten-KI“ und zeigt auf, warum klare Richtlinien, Aufklärung und zugängliche zugelassene Tools für den Schutz sensibler Daten unerlässlich sind.
Er hatte drei Tage Zeit, bis der Fall vor Gericht kam.
Die Dokumente stapelten sich - Zeugenaussagen, Präzedenzfälle, Notizen zur Vorbereitung von sechs Monaten. Es gab nicht genug Stunden. Eine Kollegin hatte beiläufig erwähnt, dass sie ChatGPT benutzt, um lange Dokumente zusammenzufassen. Das schien nützlich zu sein. Er nahm an, dass, wenn sie es offen benutzte, es in Ordnung sein musste und jemand es abgesegnet haben musste. Er öffnete eine Browser-Registerkarte, fügte seine Fallnotizen ein und erhielt in wenigen Minuten eine saubere Zusammenfassung. Es funktionierte. Also machte er es noch einmal und noch einmal.
Er wusste nicht, dass die kostenlose Version von ChatGPT nicht für den Schutz von Unternehmensdaten geeignet ist. Er wusste nicht, dass Inhalte, die über ein KI-Tool für Verbraucher übermittelt werden, je nach Einstellung zur Verbesserung des Modells verwendet werden können. Er wusste nicht, dass seine Firma eine entsprechende Richtlinie hat, weil ihm niemand gesagt hatte, dass es eine solche gibt. Er war ein Anwalt mit einem Gerichtstermin, der das tat, was jeder kompetente Fachmann unter Druck tut: Er benutzte das beste verfügbare Werkzeug und erledigte den Job.
So sieht Schatten-KI aus. Kein abtrünniger Mitarbeiter. Nicht jemand, dem das Risiko gleichgültig ist. Nur ein fähiger Profi, der ein Vakuum füllt und versucht, seine Arbeit zu erledigen.
Niemand hat ihnen gesagt, dass sie es nicht tun sollen
Jüngste Untersuchungen zeigen, dass etwa die Hälfte aller Wissensarbeiter verwenden KI-Tools, die ihr Arbeitgeber nicht genehmigt hat. Die Hälfte. Das bedeutet, dass die Richtlinien Ihres Unternehmens - wenn es überhaupt welche gibt - bereits von dem Verhalten überholt werden, das sie regeln sollen.
Der Grund dafür ist nicht Trotz. Die meisten Leute, die nicht zugelassene KI-Tools verwenden, tun dies nicht, um Sicherheitskontrollen zu umgehen. Sie tun es, weil sie nicht wussten, dass es eine Regel gibt, oder weil ein Kollege das gleiche Tool verwendet, was sie vernünftigerweise als institutionelle Genehmigung ansehen. Wenn der Vorgesetzte meines Vorgesetzten ChatGPT offen in Meetings verwendet, ist das doch sicher genehmigt worden? Und die kostenlose Version tut dasselbe wie die kostenpflichtige, oder? Warum also eine Beschaffungsanfrage stellen, wenn das Tool direkt in einer Browser-Registerkarte zur Verfügung steht?
Dies sind völlig logische Schlussfolgerungen, die aus unvollständigen Informationen gezogen werden. Die Lücke liegt nicht im Urteilsvermögen Ihrer Mitarbeiter. Es liegt an Ihrer Kommunikation.
Die andere Hälfte des Problems
Außerhalb des Büros ist die Botschaft, die Ihre Mitarbeiter erhalten, laut und unmissverständlich: Setzen Sie KI ein oder fallen Sie zurück. Nutzen Sie diese Werkzeuge oder sehen Sie zu, wie Ihre Karriere irrelevant wird. Jede Schlagzeile, jede Führungskräftetagung, jeder atemlose Artikel über die Übernahme von Arbeitsplätzen durch KI fordert sie auf, schneller zu werden, mehr zu experimentieren und der Entwicklung voraus zu sein. Dann kommen sie bei der Arbeit an und stellen fest, dass der genehmigte Weg ein Beschaffungsformular, eine IT-Überprüfung und eine sechswöchige Wartezeit auf eine Lizenz beinhaltet.
Die innere Botschaft ist Schweigen. Die externe Botschaft ist existenzielle Dringlichkeit. Diese Kollision ist genau der Punkt, an dem die Schatten-KI entsteht.
Was tatsächlich aus der Tür kommt
Das Risiko ist nicht das Werkzeug. Es ist das, was in das Gerät eingespeist wird.
KI-Produkte für Verbraucher, die kostenlose Stufen und persönliche Konten anbieten, sind nicht an die gleichen Datenvereinbarungen gebunden wie Unternehmenssoftware. Wenn ein Mitarbeiter ein Dokument in ein kostenloses KI-Tool einfügt, können diese Daten die Kontrolle des Unternehmens vollständig verlassen. Je nach Plattform und ihren Einstellungen können sie gespeichert, überprüft oder zum Trainieren des Modells verwendet werden. Die meisten Mitarbeiter haben keine Ahnung, dass es einen bedeutenden Unterschied zwischen der kostenlosen Version und der Unternehmensversion gibt. Für sie ist es dasselbe Produkt.
Dies ist in einigen Rollen wichtiger als in anderen. Ein Anwalt, der vertrauliche Kundendokumente einfügt. Ein Finanzteam, das Fusionsgespräche zusammenfasst. Ein Personalleiter, der einen Disziplinarvermerk verfasst. Dies sind keine hypothetischen Risiken. Im Jahr 2023 fügten Samsung-Ingenieure dreimal geschützten Quellcode in ChatGPT ein, und zwar in drei verschiedenen Teams, bevor es jemand bemerkte. Der Code war bereits im Umlauf, bevor jemand die Hand hob.
Die Unsichtbarkeit ist es, die KI schwer zu verwalten macht. Schatten-IT - Mitarbeiter, die nicht autorisierte Software verwenden - hinterlässt zumindest Spuren im Netzwerk und auf den Endgeräten. Eine Schatten-KI-Interaktion ist nur eine Browser-Registerkarte. Es gibt kein Installationsprogramm, um sie zu blockieren. Bis jemand merkt, dass es passiert ist, sind die Daten bereits aus der Tür.
Was Sie dagegen tun können
Der Instinkt ist, die KI zu blockieren. Sperren Sie die Geräte ab, zertrümmern Sie den Router im Büro und hinterlassen Sie eine Drohbotschaft in der Küche neben dem Toaster.
Aber Sie können zwar die Werkzeuge blockieren, aber nicht die Absicht. Wenn Sie das Tool entfernen und den Druck - die Fristen, die Arbeitsbelastung, die Botschaft, dass die Einführung von KI nicht verhandelbar ist - beibehalten, finden die Leute ein anderes Tool. Genau das ist vor einem Jahrzehnt mit Dropbox passiert. Unternehmen blockierten es. Die Mitarbeiter wechselten zu persönlichen E-Mails. Das Verhalten hat nicht aufgehört, es wurde nur schwieriger zu erkennen.
Die Unternehmen, die die Schatten-IT gelöst haben, waren nicht diejenigen mit den strengsten Kontrollen. Sie waren diejenigen, die eine glaubwürdige, zugängliche Alternative angeboten haben - und zwar schneller. Dieselbe Logik gilt auch hier.
Wenn Sie versuchen, die Nutzung von KI durch Ihre Mitarbeiter zu steuern, sollten Sie damit beginnen, Ihre Position sichtbar und klar zu machen. Nicht vergraben in einer Richtlinie zur akzeptablen Nutzung, die im Intranet steht und von niemandem gelesen wird, sondern tatsächlich veröffentlicht und von allen anerkannt. Sprechen Sie darüber in Ihrer All-Hands-Veranstaltung. Nennen Sie die Tools, die Ihre Mitarbeiter verwenden. Erklären Sie den Unterschied zwischen der kostenlosen Version und der Unternehmensversion in einer Sprache, die auch für Nichttechniker verständlich ist. Sagen Sie klar und deutlich, was genehmigt ist, was nicht und warum. Nicht als Bedrohung. Sondern als Sicherheitsinformation.
Informieren Sie Ihre Manager. Die Annahme „mein Kollege benutzt es, also muss es in Ordnung sein“ geht durch die Teams, weil Manager diese Tools oft selbst benutzen, ohne die Auswirkungen zu verstehen. Wenn Ihre Manager Ihre KI-Richtlinien nicht erklären können, werden Ihre Mitarbeiter sie nicht befolgen.
Führen Sie Schulungen durch, die sich mit den spezifischen Missverständnissen befassen - keine allgemeinen „Seien Sie vorsichtig im Umgang mit Daten“-Botschaften, sondern gezielte Anleitungen für die genauen Szenarien, mit denen die Mitarbeiter konfrontiert sind - drohende Fristen, große Datensätze, zahlreiche Dokumente, die nur eine kurze Zusammenfassung benötigen. Machen Sie es so konkret, dass Sie sich daran erinnern können, wenn jemand drei Stunden vor einem Abgabetermin steht.
Und sorgen Sie dafür, dass der genehmigte Weg auch wirklich einfach zu nutzen ist. Wenn es sechs Wochen dauert, eine legitime KI-Lizenz zu erhalten, werden die Leute nicht warten. Sie werden nutzen, was sie haben. Reibungsverluste auf dem genehmigten Weg sind kein Sicherheitsmerkmal. Es ist ein Schatten-KI-Generator.
-
Der Anwalt hat seinen Fall gewonnen. Die Dokumente wurden bearbeitet, das Grundgerüst der Argumentation war scharf, der Mandant war zufrieden. Irgendwo in der Datenspur, falls jemand darauf geachtet hat, hatten diese Fallnotizen eine unerlaubte Reise gemacht.
Niemand hat hingesehen.
Irgendwo in Ihrem Unternehmen ist heute dasselbe passiert. Ihre Mitarbeiter umgehen nicht Ihre Sicherheitsrichtlinien. Sie treffen eine Risikoentscheidung, die Sie nicht für sie getroffen haben. Die Frage ist, ob Sie das weiterhin zulassen oder ob Sie es einfacher machen, das Richtige zu tun, als zu raten.
Machen Sie es einfacher, das Richtige zu tun
Schatten-KI ist kein technologisches Problem, sondern ein Problem der Sichtbarkeit und des Verhaltens. Wenn Mitarbeiter die Regeln nicht kennen, nicht schnell auf zugelassene Tools zugreifen können oder das Risiko nicht verstehen, werden sie die Lücke selbst füllen.
MetaCompliance hilft Organisationen, diese Lücke mit gezieltem, verhaltensorientiertem Sicherheitsbewusstsein zu schließen. Von einer klaren Kommunikation der Richtlinien bis hin zu realitätsnahen, szenariobasierten Schulungen helfen wir Ihnen, Risiken sichtbar zu machen, Anleitungen zu geben und sicheres Verhalten zum einfachsten Weg zu machen.
Sehen Sie, wie MetaCompliance Ihnen helfen kann, das menschliche Risiko zu kontrollieren.