Drei Fragen und Antworten: Schatten-KI ist in den Unternehmen angekommen

Schatten-IT gilt als großes Problem in vielen Unternehmen, die Mitarbeiter verwenden Tools wie Google Drive, OneNote oder Slack, ohne dass die Unternehmensleitung oder die IT-Abteilung es genehmigt hätten. Nun kommt ein neues Phänomen hinzu, die Schatten-KI, mit Gefahren für Compliance, Datenschutz oder Urheberrecht.

Gerade in Deutschland stehen viele Firmen den KI-Assistenten für Developer kritisch gegenüber, wie eine aktuelle Studie gezeigt hat. Das verstärkt die Gefahr, dass die Mitarbeiterinnen und Mitarbeiter selbst zur Schatten-KI greifen. Wir sprachen mit Peter Guagenti, President und Chief Marketing Officer des KI-Coding-Assistenten Tabnine, über die Situation in deutschen Unternehmen.

Peter Guagenti

Peter Guagenti ist ein erfahrener Geschäftsstratege und Unternehmer mit einer nachgewiesenen Erfolgsbilanz in den Bereichen Strategie, Produktentwicklung und der Förderung des Wachstums von Technologie-Startups bis hin zum Exit. Mit seinem starken Engagement für Datenschutz und ethische Standards hat er Unternehmen erfolgreich bei der Einführung von KI begleitet und dabei Sicherheit, Datenschutz und Compliance gewährleistet.

Wie verbreitet ist das Phänomen Schatten-KI in deutschen Entwicklungsabteilungen? Spielt das eine Rolle?

Schatten-KI spielt heutzutage wahrscheinlich in fast jeder Entwicklungsabteilung eines Unternehmens eine Rolle. Die entsprechenden Tools sind so schnell und stark auf dem Vormarsch, sodass sie vermutlich bereits Einzug gehalten haben, ehe die Unternehmen selbst entsprechende Recherchen betrieben haben. Zum Beispiel kommen seit Anfang dieses Jahres mehr als zehn Prozent der neuen Nutzerinnen und Nutzer unseres Produkts aus Deutschland. Das ist weltweit Platz zwei nach den USA. Viele setzen unseren KI-Code-Assistenten höchstwahrscheinlich für Unternehmensprojekte ein, ohne dass ihr Arbeitgeber eine entsprechende Richtlinie erlassen hat.

Wir haben diese Art der Verwendung von Produkten und Werkzeugen schon vor der Schatten-KI erlebt. Wenn Unternehmen sich weigern, die neuen Technologien einzuführen, die ihre Mitarbeiter wünschen, werden diese einen Weg finden, sich selbst Zugang dazu zu verschaffen. Dies geschah so, mit der Entstehung des Internets, mit Open Source, mit mobilen Geräten, mit der Cloud und mit anderen Innovationen. KI-Werkzeuge verstärken jedoch einige der Risiken, die wir bei anderen Technologien gesehen haben, wie zum Beispiel den Verlust des Datenschutzes und das ungewollte Verbreiten vertraulicher Unternehmensdaten. Aber auch der potenzielle Missbrauch von geistigem Eigentum und Urheberrechtsverletzungen sowie Ungenauigkeiten in der Ausgabe dieser Werkzeuge gehören dazu. Vor diesem Hintergrund ist die Schatten-KI eine weitaus größere Herausforderung, als es die Schatten-IT früher war.

Es handelt sich übrigens nicht um ein rein deutsches Phänomen. Es ist in vielen Ländern der Welt zu beobachten. Die tatsächliche Verbreitung ist weitgehend ungewiss.

Können Unternehmen überhaupt erkennen, ob ihre Entwicklerinnen und Entwickler nicht genehmigte KI-Tools verwenden?

Es gibt Tools, die den Unternehmen helfen können, den Einsatz nicht genehmigter Technologien zu erkennen. Aber sie geben nur einen kleinen Einblick in das Geschehen. Selbst wenn sie funktionieren, wäre dies erst im Nachhinein der Fall. Sensible Informationen könnten bereits auf unerwünschte Weise preisgegeben worden sein.

Kommunikation und Aufklärung sind die weitaus besseren langfristigen Strategien, um nicht autorisierte KI-Produkte und -Werkzeuge aus dem Unternehmen herauszuhalten. Ein wichtiger Schritt besteht darin, Entwicklerinnen und Entwickler von Anfang an mit einzubeziehen. Dazu gehören: das Identifizieren von Tools, deren Bewertung und der tatsächliche Einkauf – alles im Einklang mit den Anforderungen des Unternehmens an Datensicherheit, Datenschutz und Compliance.

Machen Sie sich als Unternehmer KI zu eigen und finden Sie heraus, welche Probleme die Entwickler und Administratoren damit zu lösen versuchen. Welche Funktionen und Werkzeuge fehlen ihnen? Bieten Sie dann Lösungen für diese Probleme an! Der Aufruf zur Aufklärung besteht darin, die KI-Tools selbst besser zu verstehen. Dazu gehören Fragen wie: Wo werden Ihre internen Daten gespeichert und weitergegeben? Wie stellen Sie sicher, dass Sie ausreichend gute Antworten erhalten? Was wissen Sie darüber, wie das KI-System trainiert wurde? Sind Sie sicher, dass Sie nicht gegen die Datenschutzbestimmungen verstoßen?

Kurz gesagt: Akzeptieren Sie, dass die Schatten-KI bereits in Ihrem Unternehmen ist. Es ist sehr unwahrscheinlich, dass Sie die Einführung aufhalten können. Deshalb ist es ist nun an der Zeit, die Kontrolle zu übernehmen, um mit besseren und genehmigten KI-Produkten, Kommunikation und Weiterbildung die Schatten-KI zu beseitigen.

Der KI-Boom lässt sich unserer Meinung nach kaum noch bremsen. Wie sollen Firmen, die KI-Tools eher kritisch gegenüberstehen, sich am besten verhalten?

Alle CIOs und CEOs sind jetzt zum Handeln aufgerufen: Entwickeln Sie eigene Standards und Anforderungen dafür, wo und wie Sie KI-Tools einsetzen wollen, welche Daten nach außen gehen dürfen und welche nicht. Seien Sie insbesondere darauf vorbereitet, die Nutzung von KI-Anbietern, die Ihre Standards nicht erfüllen, einzuschränken. Dazu müssen Sie aber Ihren Mitarbeitern eine geeignete Alternative anbieten.

Unternehmen sollten die Daten kennen, auf denen generative KI-Modelle trainiert werden, und sie sollten wissen, ob diese Daten für ihre Anwendungsfälle genutzt werden dürfen. Ebenso müssen sie sicherstellen, dass die von ihnen gewählten KI-Technologien klare und angemessen durchgesetzte Nutzungsbedingungen enthalten und die spezifischen Datenschutz-Erwartungen ihres Unternehmens erfüllen.

Andererseits müssen Entwicklerinnen und Entwickler eine verantwortungsvolle Kontrolle über die von ihnen verwendeten Werkzeuge behalten. Das gilt speziell, wenn sich die Technologie-Landschaft – wie im Bereich der KI – schnell weiterentwickelt. Dazu gehören: die Vermeidung von Anbieterbindung, die Forderung nach Transparenz und die Aufrechterhaltung von Flexibilität. Das sind wichtige Schritte zur Zukunftssicherung von IT- und KI-Investitionen.

Herr Guagenti, vielen Dank für die Antworten!

In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vor dem PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.

(who)