Mit dem Aufkommen generativer künstlicher Intelligenz (GenAI) haben sich Arbeitsweisen in Unternehmen weltweit grundlegend verändert. Seit der weiten Verbreitung von GenAI-Tools Ende 2022 erkennen Mitarbeiter branchenübergreifend das Potenzial dieser Technologie, um Arbeitsprozesse effizienter zu gestalten, die Kommunikation zu verbessern und Kreativität zu steigern. Ähnlich wie bei früheren IT-Innovationen, die direkt aus dem Nutzerumfeld entstanden sind, wie beispielsweise File-Sharing-Services oder Cloud-Speicherplattformen, haben viele Unternehmen den Einsatz von GenAI zunächst nicht über offizielle Kanäle etabliert, sondern die Tools wurden durch die Initiative der Mitarbeiter in den betrieblichen Alltag integriert. Diese Entwicklung eröffnet jedoch nicht nur Chancen, sondern auch erhebliche Risiken hinsichtlich der Datensicherheit und des Datenschutzes. Unternehmen sehen sich zunehmend der Herausforderung gegenüber, wie sie den produktiven Einsatz von GenAI fördern können, ohne dabei sensible Geschäftsdaten, geistiges Eigentum oder personenbezogene Informationen unkontrolliert preiszugeben.
Ein zuerst häufig gewählter Schritt war es, den Zugriff auf öffentliche GenAI-Tools rigoros zu blockieren. Trotz des verständlichen Schutzgedankens erweist sich dieses Vorgehen oftmals als unzureichend und auf lange Sicht als kontraproduktiv. Mitarbeiter finden kreative Wege, die Restriktionen zu umgehen – Dateien werden via E-Mail an private Accounts gesendet, KI-Interaktionen erfolgen über private mobile Geräte, oder Screenshots werden genutzt, um sensible Informationen in die Systeme einspeisen zu können. Diese verborgenen Aktivitäten schaffen ein unsichtbares Risiko, das als „Shadow AI“ bezeichnet wird und effektiv dazu führt, dass Unternehmen den Überblick über die tatsächliche Nutzung verlieren. Die Parallelen zu früheren Herausforderungen bei der Einführung von Software-as-a-Service (SaaS) sind offensichtlich.
Damals führten unkontrollierte Cloud-Dienste zu steigenden Sicherheitsbedenken und Datenverlust. Das einfache Verbot von File-Sharing war keine nachhaltige Lösung. Stattdessen konnte mit sicheren, anwenderfreundlichen und zentral verwalteten Alternativen ein Gleichgewicht zwischen Sicherheit und Produktivität erreicht werden. Bei GenAI liegen die Risiken noch höher. Daten, die in öffentliche KI-Modelle eingespeist werden, können nicht einfach zurückgeholt oder gelöscht werden.
Es besteht die Gefahr, dass vertrauliche Informationen unwiederbringlich in einem Modell gespeichert und potenziell zugänglich gemacht werden – eine eindeutige Datenschutzlücke ohne einfachen „Undo“-Mechanismus. Um verantwortungsbewusst mit den Chancen von generativer KI umzugehen, steht zunächst das Schaffen von Transparenz im Mittelpunkt. Nur durch umfassende Sichtbarkeit, welche KI-Anwendungen von wem und in welchem Kontext genutzt werden, können fundierte Entscheidungen zur Risikobewertung und Richtlinienentwicklung getroffen werden. Innovative Sicherheitslösungen ermöglichen es heute, den Datenverkehr und die Interaktionen mit KI-Anwendungen in Echtzeit zu überwachen. So kann das Unternehmen genau erkennen, welche Benutzer welche Tools verwenden, was als Grundlage für eine differenzierte Governance dient.
Die Aufteilung der Kontrollstrategien in einfache „Erlauben“-Oder-„Blockieren“-Regeln wird dem komplexen Risikoprofil von KI-Nutzungen nicht gerecht. Stattdessen empfiehlt sich ein kontextbewusstes Vorgehen, beispielsweise gemäß den Prinzipien des Zero Trust Security Frameworks. Hierbei wird keine Nutzung per se vorab als vertrauenswürdig eingestuft. Stattdessen erfolgt eine kontinuierliche Bewertung unter Berücksichtigung vieler Faktoren wie Nutzerrolle, Datenart und Nutzungsszenario. Eine solche differenzierte Policy kann zum Beispiel den Zugriff gewähren, aber den Datenaustausch durch Browser-Isolation einschränken.
Hierdurch kann verhindert werden, dass Nutzer sensible Inhalte in KI-Anwendungen einfügen, gleichzeitig bleibt die Produktivität erhalten. Eine weitere wirksame Maßnahme besteht darin, Nutzer auf vom Unternehmen verwaltete und geprüfte KI-Alternativen umzuleiten. Wenn eine sichere und zugelassene Plattform für generative KI bereitsteht, die die Produktivitätsvorteile aufrechterhält, sind Mitarbeiter weniger geneigt, inoffizielle Wege zu suchen. Die Kombination aus Transparenz, kontextabhängigen Richtlinien und entsprechenden technischen Schutzmaßnahmen ist essenziell, um den Balanceakt zwischen Nutzungsermöglichung und Datenschutz zu meistern. Darüber hinaus spielen Data Loss Prevention (DLP)-Lösungen eine zentrale Rolle.
Sie erkennen und blockieren automatisch Versuche, sensible Daten wie Finanzinformationen, personenbezogene Daten, Quellcode oder medizinische Informationen an ungeprüfte KI-Dienste zu übermitteln – oft ohne dass Benutzer sich des tatsächlichen Risikos bewusst sind. Untersuchungen aus der Praxis zeigen, dass solche Technologien Millionen von potenziellen Datenverlusten verhindern können und somit einen wichtigen Beitrag zur Datensicherheit leisten. Letztlich geht es darum, Sicherheits- und Produktivitätsziele nicht als Gegensätze zu betrachten. Erfolgreiche Unternehmen setzen darauf, ihre Mitarbeiter zu befähigen, generative KI sinnvoll zu nutzen, während sie gleichzeitig robuste Schutzmechanismen implementieren. Diese integrative Herangehensweise führt dazu, dass Innovationen im Unternehmen gefördert werden können, ohne Kompromisse bei der Sicherheit einzugehen.
Angesichts der fortschreitenden Digitalsierung und der steigenden Bedeutung von generativer KI ist es essenziell, dass Organisationen jetzt proaktive Maßnahmen ergreifen. Dazu gehört eine klare Sichtbarkeit über den KI-Einsatz, eine differenzierte und kontextbasierte Richtliniengestaltung sowie die Einbindung moderner Technologielösungen zur Datenkontrolle. Nur so kann der Einsatz von GenAI nachhaltig gestaltet werden – im Sinne wirtschaftlicher Effizienz, Innovationskraft und unverrückbarer Datensicherheit. Die Herausforderung, Shadow AI zu entdecken und zu kontrollieren, wird in den kommenden Jahren zu einem zentralen Handlungsfeld für IT-, Sicherheits- und Compliance-Verantwortliche. Durch das Lernen aus Erfahrungen mit früheren IT-Wellen und die Anwendung bewährter Sicherheitsprinzipien werden Unternehmen in der Lage sein, die Brücke zwischen Mitarbeiterbefähigung und Schutz sensibler Informationen erfolgreich zu schlagen.
Die Zeit zum Handeln ist jetzt – um nicht nur die Vorteile der KI zu nutzen, sondern auch das Vertrauen von Kunden, Partnern und Mitarbeitern langfristig zu sichern.
