„Die Menschheitsgeschichte kennt Innovationsschübe, die unaufhaltsam wie ein Tsunami alles verändern – die landwirtschaftliche Revolution, die Dampfmaschine, das Internet. Künstliche Intelligenz ist die nächste grosse Welle, die Coming Wave, die auf uns zurollt, und wir sind darauf nicht vorbereitet.“
Mustafa Suleyman «The Coming Wave»
Dies der Klappentext in Suleymans Buch. Suleyman, seines Zeichens Mitgründer von Deepmind und Inflection AI, zeigt in seinem Buch Chancen und Risiken der Künstlichen Intelligenz auf und warnt eindringlich vor dem Kontrollverlust. Die technologische Entwicklung werde uns vor die Wahl zwischen Katastrophe und Dystopie stellen.
Ganz so weit sind wir in der heutigen Praxis bisher nicht. Das Thema Kontrollverlust ist aber bereits mit der Verbreitung der heute verfügbaren generativen KI ein drängendes Thema.
Herausforderungen erkennen
Generative KI ist inzwischen allgegenwärtig. In den Medien wird darüber berichtet, unter Kollegen wird darüber diskutiert und gefühlt gibt es alle paar Tage neue Services, die darauf basieren. Die vielfältige und freie Verfügbarkeit solcher Tools stellt Unternehmen zunehmend vor Herausforderungen. Denn während der Einsatz dieser Tools für die meisten Arbeitnehmenden schnell erlernt ist und durchaus Effizienzsteigerungen mit sich bringen kann, bleibt er nicht ohne Risiko.
Datenschutz
Sowohl in der Schweiz als auch im europäischen Raum wurden in letzter Zeit mehrere Gesetzgebungen erlassen, welche Unternehmen und Behörden in die Pflicht nehmen, ihre Lieferketten im Hinblick auf Informationssicherheitsrisiken aktiv zu managen. Dazu gehören neben den neuen Datenschutzvorgaben auch Gesetzgebungen wie das Schweizer Informationssicherheitsgesetz (ISG) oder die europäische Richtlinie NIS2 (Directive on measures for a high common level of cybersecurity across the Union)
Geschäftsgeheimnisse
Es ist kein Geheimnis, dass einzelne grosse Unternehmen den Einsatz von KI Chatbots verboten haben. Die Fälle von Samsung und Apple wurden in der Presse besprochen. Beide befürchten, dass Mitarbeitende vertrauliche Unternehmensdaten übermitteln und dies negative Konsequenzen haben könnte. Zumindest von Samsung ist bekannt, dass im Vorfeld des Verbots bereits proprietärer Softwarecode an ChatGPT übermittelt wurde.
Über die Sicherheitsvorkehrungen aufseiten der Anbieter ist wenig bekannt. Und im Falle von ChatGPT gab es bereits öfters Schlagzeilen, welche zumindest daran zweifeln lassen, dass Sicherheit die höchste Priorität hat. So wurden in der Vergangenheit Kreditkartendaten von Kunden geleakt, ein Fehler in der API konnte von Entwicklern für Gratis-Zugang ausgenutzt werden und zuletzt fanden einige Kunden plötzlich ganze Chat-Protokolle anderer Nutzer in ihrer History, inklusive heikler Daten.
Die Sorgen von Samsung, Apple und anderen Firmen, die ähnliche Verbote ausgesprochen haben, scheinen also berechtigt. Ob ein solch restriktives Vorgehen notwendig ist, ist jedoch eine individuelle Betrachtung, welche jede Organisation für sich selbst bewerten muss.
Qualitätskontrolle
Sicheres Auftreten bei vollständiger Ahnungslosigkeit. Hilft in Meetings immer. Können alle modernen KI-gestützten Chatbots so gut, dass so mancher erfolgreiche Management-Consultant oder Unteroffizier vor Neid erblassen dürfte. Halluzinationen: Falschaussagen der KI, welche oft so kompetent klingen, dass sie schnell als Wahrheit wahrgenommen werden.
Was für KI-Forscher eine Herausforderung darstellt und teilweise für amüsante Zeitungsartikel sorgt («AI Hallucinates: Professor fails entire class after ChatGPT falsely tells him students used AI for essay»), kann auch zum realen Problem werden («ChatGPT falsely accuses US law professor of sexually harassing a student, invents a news article»).
Jede im Umgang mit generativer KI geübte Person kann einen für Laien glaubwürdigen Artikel über massgeschneiderte Gentherapien verfassen lassen, ohne wirklich etwas von synthetischer Biologie zu verstehen. Der Artikel würde aber vermutlich inhaltliche Fehler und erfundene Quellenangaben enthalten, die früher oder später zu kritischen Fragen führen würden. Und exakt dieses Problem stellt sich, wenn Mitarbeitende generierte Inhalte direkt verwenden, ohne dass jemand mit der notwendigen Fachexpertise diese prüft und allenfalls korrigiert. Hierbei sind durchaus Szenarien denkbar, in welchen Kundenbeziehungen nachhaltig beeinträchtigt werden oder der operative Betrieb eines Unternehmens gestört wird.
Mitarbeitende mit Internetzugriff können ohne grosse Hürde, gratis und teilweise sogar ohne Registrierung, Tools nutzen, um schneller, effizienter und effektiver zu arbeiten. Dabei merken viele nicht einmal, dass sie Daten an einen Dritten übermitteln.
Kontrollverlust
Was bereits mit dem Aufkommen von Cloud Services zum Problem wurde, verstärkt sich mit der aktuellen Welle der generativen KI-Tools nochmals. Mitarbeitende mit Internetzugriff können ohne grosse Hürde, gratis und teilweise sogar ohne Registrierung, Tools nutzen, um schneller, effizienter und effektiver zu arbeiten. Dabei merken viele nicht einmal, dass sie Daten an einen Dritten übermitteln. Kein Samsung-Entwickler ohne kriminelle Energie wäre je auf die Idee gekommen, mit proprietärem Code bei Microsoft hereinzuspazieren, um dessen Inhalt zu diskutieren. Aber im Internet einen Chatbot nutzen, um Codes zu optimieren? Warum nicht?
Unternehmen können Mitarbeitende schulen und sensibilisieren. Sie können auf Technologien wie CASB (Cloud Access Security Broker) und DLP (Data Leakage Prevention) setzen, um Zugriff auf Chatbots zu verhindern oder Daten, die dort eingegeben werden, zu filtern. Eine hundertprozentige Kontrolle wird es aber nie geben. Die beinahe täglich wachsende Anzahl an KI-Tools in Kombination mit den faktisch unendlichen Möglichkeiten, vertrauliche Daten in Chatpromts zu verwenden, lässt solche Unterfangen zur Kontrolle schnell als Sisyphusarbeit erscheinen.
Um die Nutzung von generativer KI in die gewünschten Bahnen zu leiten,
gilt es Regeln festzulegen.
Herausforderungen bewältigen
Was können Unternehmen also tun? Erstmals sollten sie definieren, ob und wie diese neue Technologie eingesetzt werden soll. Von Verboten bis hin zur aktiven Förderung und zielorientierter Integration in die eigenen Geschäftsprozesse ist grundsätzlich alles denkbar. Schlussendlich muss es mit den Zielen des Unternehmens und dem Risikoappetit der Unternehmensleitung übereinstimmen. Am Ende des Tages also eine (nicht ganz einfache) Bewertung von Chancen und Risiken.
Regeln definieren
Um die Nutzung von generativer KI in die gewünschten Bahnen zu leiten, gilt es Regeln festzulegen. Diese Regeln sollten möglichst klar sein und verständlich kommuniziert werden. Oft sind auch entsprechende Schulungen angebracht. Zur Schaffung von Klarheit gehört, dass die Regeln sich auf Use Cases beziehen oder auf solche einfach adaptierbar sind, falls kein generelles Verbot vorgesehen ist.
Einsatz kontrollieren
Sofern es der Umsetzung der Strategie dienlich ist, bietet sich der Einsatz von Technologie zur Kontrolle durchaus an. Sicherheitslösungen wie die oben erwähnten CASB oder DLP-Tools können eingesetzt werden, um Regeln zumindest bis zu einem gewissen Grad zu forcieren. Und auch wenn sich damit keine 100% wasserdichten Sicherheitsbarrieren aufbauen lassen, so sorgen sie doch dafür, dass unabsichtliche Datenlecks minimiert und Nutzer bei Verstössen auf die definierten Spielregeln hingewiesen werden. An dieser Stelle ist zu erwähnen, dass es seit geraumer Zeit auch Produkte gibt, die mittels Einsatzes von KI Datenlecks minimieren können.
Die Auswertung entsprechender Logs (Firewall, Webproxy, Endpoint) kann einen Überblick über die Nutzung von generativen KI-Tools geben und allenfalls zur Kontrolle eingesetzt werden.
Daneben können auch organisatorische Kontrollen einen wichtigen Teil bei der Implementierung der Strategie dienen. Regelmässige Schulungen & Informationen sensibilisieren die Arbeitnehmenden. Vorgesetzte können im Rahmen ihrer Aufsichtspflicht die Einhaltung definierter Regeln überwachen. Und schlussendlich lässt sich auch durch die Umsetzung des Need-to-know-Prinzips das Potenzial für ungewollte Datenabflüsse einschränken und dies nicht nur im Zusammenhang mit generativer KI.
„Die Gier der Zivilisation nach nützlichen und
billigeren Technologien ist grenzenlos.“
Fazit
Suleyman schreibt: „Die Gier der Zivilisation nach nützlichen und billigeren Technologien ist grenzenlos. Daran wird sich nichts ändern.“ Diese Aussage ist in Bezug auf die gesamte Menschheit gleichermassen wahr, wie im mikroökonomischen Kontext eines einzelnen Unternehmens. Und genauso wie gemäss Suleyman die Zivilisation Spielregeln für den Umgang mit der kommenden Welle festlegen sollte, sollte dies auch jede Organisation in Bezug auf die eigene Verwendung von künstlicher Intelligenz tun. Dabei geht es nicht darum, die Nutzung entsprechender Tools ohne Not zu verbieten. Sondern vielmehr darum, unter Abwägung der möglichen Chancen und Risiken, eine Strategie zu formulieren und diese zu implementieren.
