Die Herausforderung
Laut einer Studie des ifo-Instituts verwenden 64% der Beschäftigten am Arbeitsplatz KI – Tendenz steigend. Viele nutzen die Tools unreflektiert, geben sensible Daten im Internet preis oder lassen vertrauliche Dokumente auslesen, um Zeit zu sparen.
Was viele Mitarbeiter nicht wissen: Diese Daten werden gespeichert, um diese später verfügbar zu haben. Da die KI anders arbeitet als Google, geben die Mitarbeiter ihr Kontext, Randinformationen und komplette Zusammenhänge statt isolierter Suchbegriffe wie bei Google.
So geschehen bei Samsung. Dort haben die Mitarbeiter binnen 20 Tage nach der Erlaubnis, KI zu verwenden, „geschafft“, aus drei verschiedenen Abteilungen drei streng vertrauliche Dokumente an die KI zur Prüfung und Optimierung zu schicken.
Kein eigener KI-Server
Daten, die in einer normalen KI-Webseite eingegeben werden, werden an das Rechenzentrum des Betreibers gesendet und dort verarbeitet.
Dass die Daten dort gespeichert werden, erschließt sich jedem, der in einer Chat-Session mit einer KI-Bezug auf zuvor übermittelte Informationen genommen hat – auch, wenn diese nicht direkt in der aktuellen Chatnachricht stehen.
Die naheliegendste Lösung wäre ein eigener KI-Server, der in der eigenen Umgebung kontrolliert betrieben wird. Neben vielen technischen und organisatorischen Hürden wird dies aber für kein normal aufgestelltes KMU möglich sein.
Insofern sind wir auf die KI-Tools aus der Cloud angewiesen.
Governance fehlt
2017 haben nur 13% der KMU in Deutschland einen IT-Sicherheitbeauftragten gehabt. Diese Zahl wird sich in den vergangenen Jahren nicht wesentlich verändert haben. Dementsprechend schwach entwickelt ist das Thema IT-Governance in Unternehmen. Da es keine verantwortliche Stelle gibt, fehlen zentrale Impulse für die Erstellung und Einhaltung von Regeln. Und wenn zudem noch die interne IT-Abteilung nicht vorhanden ist, bleibt nur noch der externe IT-Dienstleister, der bei vielen Unternehmen ein Dasein als „Turnschuh-Supporter“ fristet. Mitunter zu Unrecht, aber häufig sind externe IT-Unternehmen auch, insbesondere, wenn sie kleiner sind, fachlich gar nicht in der Lage-Governance-Aufgaben zu übernehmen.
Umgehungsstrategien
Schatten-IT
Verbote in der IT sorgen häufig dafür, dass Mitarbeiter andere Wege finden. Nichts ist einfacher, als ein Browserfenster zu öffnen und im Zweifel läuft das Abo für die KI über das Marketing-Budget.
Auch das Blocken von Browser-Adressen ist nicht sinnvoll. KI steckt mittlerweile (und mit steigender Tendenz) in allen möglichen Softwares. Wenn die über die Produktion, den Vertrieb oder die Buchhaltung beschafft werden, steckt man mit drin, blockierte Fenster oder nicht. Und die Buchhaltung weiß im Zweifel nicht einmal, dass sie sich KI eingekauft hat.
Schatten-IT und Schatten-KI – unterschiedliche Ausprägungen des gleichen Problems
Schatten-IT ist ein bekanntes Problem in allen Unternehmen. Die IT liefert keine zufriedenstellende Lösung? Dann ist der zupackende Teamleiter gerne bereit, aus seinem eigenen Budget etwas zu kaufen, Hauptsache es funktioniert. Oder man verwendet zum Zusammenfügen von PDFs einfach mal das kostenfreie Web-Tool, da nicht bekannt ist, ob es hierzu ein installiertes Programm gibt. Das ist Schatten IT, und die gibt’s in jedem Unternehmen.
Man ergänze nun das Tool um KI und fertig ist die Schatten-KI. Im Beispiel des PDF-Programms hätte man also nicht nur ein PDF, das in die Cloud hochgeladen wird, sondern auch eine KI, die in Windeseile das Dokument auslesen kann.
Pragmatischer Lösungsansatz
Schatten-IT gibt es in jedem Unternehmen und auch die Schatten-KI ist bereits in der Breite der KMU angekommen. Verbote nutzen wenig, wenn den handelnden Personen die Gefahren ihrer Handlungen nicht bewusst sind. Wie also ist damit umzugehen?
Leitlinien statt nicht durchsetzbarer Verbote
Harte Verbote ohne Alternativen werden nichts fruchten. Menschen wollen ihre Arbeit erledigen und finden dafür den aus ihrer Sicht besten Weg. Sinnvoll ist hier, den Mitarbeitern Leitlinien an die Hand zu geben, inwiefern KI für die tägliche Arbeit verwendet werden kann und wo Grenzen einzuhalten sind.
Eine Leitlinie kann sein, was man auch einem beliebigen Lieferanten über das Unternehmen erzählen würde. Informationen über Geschäftsstrategie, Personaldaten mit Klarnamen oder detaillierte finanzielle Auflistungen wären damit im Normalfall nicht auf der Tagesordnung.
Wissen und Schulung
Wichtig ist, dass die Mitarbeiter nicht nur wissen, was sie nicht tun sollen, sondern auch ein Verständnis dafür entwickeln, welche Auswirkungen unkritische Verwendung von KI haben kann. Dafür braucht es Wissen über KI – wie sie funktioniert, wie ein Datenverarbeitungsprozess abläuft und welche Schwachpunkte es in der Vergangenheit gab.
KI-Richtlinie
Im Zusammenhang mit der Schulung ergibt es Sinn, sich Gedanken um die richtige Anwendung von KI in Ihrem Unternehmen zu machen. Was sind kritische Bereiche? Wie verhalten sich die Mitarbeiter üblicherweise? Was kann ich akzeptieren? Daraus entsteht eine KI-Richtlinie, die den Mitarbeitern Orientierung bietet, was das Unternehmen zugesteht und was nicht gemacht werden sollte.
Schulung ohne Verbotsintention – Nutzen durch sinnvolle Anwendung
Die Fusion IT schult KI-Anwendung. Unser Fokus liegt auf dem Verstehen und den Gefahren. Uns ist es aber wichtig, auch Hinweise zur richtigen Verwendung zu machen. Eine Schulung, die nur auf Verboten und Einschränkungen basiert, macht keinen Spaß und die Aufmerksamkeitsspanne ist ähnlich lang wie bei der letzten Datenschutzunterweisung. Entsprechend platzieren wir immer wieder Hinweise zu geeigneten Anwendungsfällen, richtigem Prompting und Fehlinterpretationen der KI, die zum Schmunzeln einladen.
Wenn Sie in Langenfeld, Düsseldorf oder Umgebung ansässig sind, sprechen Sie uns gerne auf unsere Schulungen an. Wir beraten Sie gerne!
Quellen:
https://www.ifo.de/en/press-release/2026-01-05/only-one-five-employees-germany-use-ai-regularly
https://t3n.de/news/samsung-semiconductor-daten-chatgpt-datenleck-1545913/
Hillebrand A, Niederprüm A, Schäfer S, Thiele S, Henseler-Unger I (2017) Aktuelle Lage der IT-Sicherheit in KMU. WIK Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH.
