Das Potenzial für KI-Anwendungen wie ChatGPT ist groß. Wie aber lässt sich der Einsatz solcher Tools mit dem Datenschutz vereinbaren und wie lassen sich die Compliance-Fähigkeiten der Mitarbeitenden effektiv schulen und überprüfen? ITWELT.at hat darüber mit André Schindler, General Manager EMEA bei NinjaOne, gesprochen. [...]
Generative KI ist derzeit vor allem bei Software-Entwicklern ein großes Thema. Wie glauben Sie, wirkt sie sich auf den Arbeitsalltag von IT-Managern aus?
Die direkten Auswirkungen auf den Arbeitsalltag lassen sich grob wie folgt einteilen:
- IT-Teams nutzen generative KI-Tools produktiv – beispielsweise um Code zu schreiben oder zu debuggen, oder um bei der Erstellung von Dokumentationen zu unterstützen. Dabei wird vor allem Zeit bei Routineaufgaben gespart, wie generische Code-Bausteine zu suchen oder Texte ausführlich zu formulieren.
- Deployment der Tools im Unternehmen: Tools wie ChatGPT helfen Anwendern in fast jeder Branche dabei, Zeit zu sparen. Die einfache Nutzeroberfläche des Chatbots macht es verlockend, ihn auf eigene Faust auszuprobieren – in einer Befragung haben das 40 Prozent der Arbeitnehmer bereits getan, die meisten davon heimlich. Die Nachfrage ist also da und sollte gemäß einer Unternehmensrichtlinie ermöglicht und durch die IT gedeckt sein, um Schatten-IT zu verhindern.
- Hat ein Unternehmen Bedenken bei der Nutzung von KI-Tools, kann es den Zugang dazu sperren lassen. Diese Einschränkung umzusetzen wäre ebenfalls eine Aufgabe der IT-Abteilung.
In welchen Bereichen macht es Ihrer Meinung nach Sinn, ein KI-Tool einzusetzen?
Wir sprachen ja schon über Softwareentwicklung, Dokumentationserstellung und Coding – Tools wie ChatGPT oder GitHub Copilot erlauben es IT-Managern und -Personal hier viel Zeit zu sparen. Sie können darüber hinaus Prozesse durch KI-Tools einfacher planen, indem sie beispielsweise die einzelnen To-Dos in einer sinnvollen Reihenfolge aufzeigen und beim Erstellen einer Checkliste helfen. First-Level-Support-Teams können durch die ausgefeilte Fähigkeit, natürliche Sprache zu interpretieren entlastet werden – beispielsweise durch einen eigenen Chatbot, der Mitarbeitenden hilft, Routineprobleme zu beheben. Jenseits des IT-Managements gibt es außerdem noch allgemeine Produktivitätshilfen wie zum Beispiel Speech-to-Text-Lösungen, die Telefonate und Meetings transkribieren können.
Inwiefern ist der Einsatz von Tools wie ChatGPT bedenklich?
Schatten-IT – also der unkontrollierte Einsatz von Tools – ist ein mögliches Problem, welches wir vorhin schon kurz angeschnitten haben. Darüber hinaus sollten IT-Manager folgende Punkte berücksichtigen, wenn sie ChatGPT benutzen oder einführen:
- Datenschutz: Standardmäßig werden alle Eingaben in den Chatbot zur Auswertung und zum Training der Sprachmodelle durch die Inhaberfirma OpenAI gespeichert. Unternehmen wie Samsung und sogar die italienische Regierung haben deswegen bereits die Standardeinstellung des Tools gesperrt.
- Falschinformationen: Die GPT-Sprachmodelle sind extrem gut darin, Informationen täuschend echt und plausibel aussehen zu lassen – auch wenn sie vollkommen fiktiv sind. Wer der Sprach-KI blind vertraut und ihre Aussagen nicht auf Richtigkeit prüft, droht einer sogenannten “Halluzination” zum Opfer zu fallen – wie vor kurzem ein gewisser New Yorker Rechtsanwalt.
- Fähigkeiten und Grenzen des Tools: Es wäre naiv, einen ganzen Beruf wie Programmierer, Texter, Support oder dergleichen komplett durch ein KI-Tool ersetzen zu wollen. Die Lösungen können zwar gute Ergebnisse ausgeben, verfügen jedoch nicht über die notwendige Qualitätskontrolle. Daher sind sie eher als Unterstützung für Aufgaben zu sehen, für die die Expertise allerdings bereits bei der Nutzerschaft vorhanden sein muss.
- Für uns im europäischen Raum hängt ein Damoklesschwert über Firmen, die ChatGPT nutzen wollen. Denn in Anbetracht des EU AI Acts hat OpenAI bereits gedroht, ihren Service aus Europa in der jetzigen Form zurückzuziehen. Für Firmen, die Chatbots bereits in ihren Workflows implementiert haben, wäre das eine große Gefahr, denn bei einem solchen Rückzug wäre es schwer, Alternativen aus dem europäischen Raum zu finden oder anders die Produktivitätssteigerung beizubehalten.
Welche Rahmenbedingungen müssten geschaffen werden, um einen sicheren Einsatz von Tools wie ChatGPT zu gewährleisten?
Am wichtigsten sind die Rahmenbedingungen in der Unternehmenskultur. Mitarbeitende sollten kontinuierlich geschult werden, wie sie Tools wie ChatGPT angemessen nutzen und dabei Datenschutz, Falschinformationen und die Grenzen der Lösung nicht ignorieren.
Daneben braucht es technische Rahmenbedingungen für den KI-Einsatz. Diese können je nach Use Case offizielle Unternehmens-Accounts, eigene API-basierte Lösungen oder falls nötig eine Sperre im Netzwerk sein. Auch rechtlich sollten im Zweifelsfall Rahmenbedingungen geschaffen werden – beispielsweise durch eine Klausel in Kundenverträgen, die auf den Einsatz von KI-Tools hinweist.
Wie lässt sich der Einsatz von ChatGPT mit Best Practices in der Informationssicherheit und dem Datenschutz vereinbaren?
Wie jedes andere Unternehmens-Tool sollte ChatGPT im Rahmen von unternehmensweiten Richtlinien genutzt werden, um nicht in Form von Schatten-IT zusätzliche Schwierigkeiten zu produzieren. Außerdem erfordert die sichere Verwendung die vorherige Definition einheitlicher Regeln. Zum Beispiel kann eine Regel den Einsatz auf regelmäßig geschultes Personal beschränken und die Nutzung des privaten Modus vorschreiben, bei dem die Eingaben nicht ausgewertet und nach 30 Tagen gelöscht werden. Oder sie kann vorschreiben, sensible Informationen unkenntlich zu machen und ggf. nur für Kunden zu benutzen, die dem Einsatz des Tools zugestimmt haben. Die optimale Ausgestaltung der Richtlinien variiert natürlich je nach Unternehmen.
Noch vor der Einführung gilt es zu klären, ob ChatGPT im Einklang mit den vorhandenen Datenschutz- und Sicherheitsrichtlinien steht oder nicht. Außerdem sollte eine Datenschutz-Folgenabschätzung und/oder Notfallplanung durchgeführt werden: Was wären potenzielle Datenschutzrisiken, wenn etwas nicht nach Plan läuft? Wie würde auf ein Datenleck reagiert werden? Sicherheits-Basics wie eine verschlüsselte Verbindung zum Tool und Schutz vor Spy- und Malware dürfen natürlich ebenfalls nicht fehlen.
Welche Tipps würden Sie einem IT-Verantwortlichen mitgeben, wenn er ChatGPT für seine Arbeit nutzen möchte?
Wir sprachen bereits über viele Bedenken, Grenzen und Vorsichtsmaßnahmen bei der Nutzung von ChatGPT. Auf der anderen Seite kann ich vor allem empfehlen, flexibel zu bleiben, innerhalb der Teams Experimente zu ermutigen und das Wissen zu teilen, das sich im Unternehmen nach und nach ganz automatisch aufbaut. Ich empfehle die Einrichtung eines Center of Excellence, beispielsweise durch eine Person oder ein fachübergreifendes Team, das das Know-how zum Tool sammelt und für den Rest des Unternehmens zur Verfügung stellt. Tipps, hilfreiche Prompts, Use Cases mit Einschätzung ihrer Nützlichkeit und Erfahrungen sollten in einem zentralen Dokument gesammelt werden. Genauer gesagt, in einem “Living Document”, das stets erweitert wird.
Sollten Unternehmen sich vertraglich bei ihren Kunden absichern?
Ich bin kein Rechtsexperte, würde im Zweifelsfall aber empfehlen, einen solchen aufzusuchen. Gerade Datenschutz und Urheberrecht haben noch einige rechtliche Grauzonen beim Thema KI, und IT-Dienstleister sollten ihre Kunden über die Implikationen der Tools, die sie nutzen, aufklären. Eine “KI-Klausel” als Teil des Kundenvertrags ist eine mögliche Lösung hierfür.
Wie kann ein angemessener Umgang mit KI-Tools im Unternehmen geschult und überprüft werden?
Sharing is caring! KI-Tools wie ChatGPT regen viele Nutzende zum Experimentieren an. Ein regelmäßiges Format zum Austausch von Erfahrungen ist ein sehr guter Vektor, um auch die Regeln und Richtlinien zum angemessenen Umgang mit den Tools immer wieder mitzuschulen.
Die Überprüfung gestaltet sich ein wenig schwieriger. Eine mögliche Lösung ist die Nutzung von offiziellen Firmen-Accounts, bei denen IT-Verantwortliche Zugriff auf die Prompt-Historie haben und stichprobenartig auf Verstöße der Richtlinien prüfen können.
Be the first to comment