CIO Trend 2024: Governance für KI

Die Hamburger IT-Strategietage werden dieses Jahr einmal mehr von dem derzeit omnipräsenten Thema auf jeder CIO-Agenda geprägt sein: Wie mit der Künstlichen Intelligenz im Allgemeinen und mit generativer KI im Speziellen umgehen? Dieser aktuelle Dauerbrenner spiegelt sich im Motto der Veranstaltung „Balancing Innovation Boost and Legacy“ wider. CIOs reisen an, um sich an drei Tagen über fünf Perspektiven der KI auszutauschen und auch Zscaler hat sich das Thema für den Puls-Check im Rahmen des eigenen Roundtable am 23. Februar um 11:05 Uhr auf die Fahnen geschrieben.

2023: Schnelle Einführung, wenig Sicherheitsbedenken

Als wichtigster Aspekt in dieser Diskussion darf die Governance der KI in den Unternehmen nicht fehlen. Vor einem Jahr war ChatGPT gerade ins Rampenlicht getreten und die Verunsicherung unter CIOs groß, wie mit dem neuen Phänomen umzugehen ist. Das Blatt hat sich im Lauf der letzten zwölf Monate von der anfänglichen Blockadehaltung angesichts der Sorgen, die mit einer Nutzung einhergehen, hin zum Eruieren möglicher Anwendungsfälle zu wenden begonnen. Wie sehen die Erfahrungswerte nach einem Jahr aus und wie haben Unternehmen auf den Trend reagiert?

Bereits die Ergebnisse unserer Ende 2023 durchgeführten Studie legten nahe, dass Unternehmen trotz erheblicher Sicherheitsbedenken den anfänglichen Druck verspürten, Generative KI-Tools (GenKI) schnell einzusetzen. 88 Prozent der deutschen Befragten nutzen sie bereits in irgendeiner Form für ihr Unternehmen. Laut der Umfrage, „All eyes on securing GenAI“ unter mehr als 900 weltweit tätigen IT-Entscheidern sehen dennoch 99 Prozent der deutschen Unternehmen Generative KI-Tools wie ChatGPT nach wie vor als potenzielles Sicherheitsrisiko an.

Angst vor Missbrauch

Diese Einschätzung wird durch zahlreiche Schlagzeilen befeuert, bei denen Fachleute aus den unterschiedlichen Disziplinen vor den wachsenden GenKI-Gefahren warnen. Um die strategische Herangehensweise rund um den Einsatz der Generativen KI sieht es nach wie vor mau aus. Die diffuse Gefahrenlage, die noch vor einem Jahr von GenKI ausging, hat in den letzten Monaten Gestalt angenommen. Vermehrt und mit rasanter Geschwindigkeit sind Malware-Akteure auf den KI-Zug aufgesprungen und nutzen die Tools zu ihrem Vorteil.

Deepfakes, zielgerichtete Deepvoice-Angriffe, ausgeklügeltes Phishing mit GenKI, Ransomware-as-a-Service und eine schnellere Ausnutzung von Zero Days sind nur einige Beispiele. Angreifer nutzen die Geschwindigkeitsvorteile für sich und die Tatsache, dass Texte mit Hilfe von GenKI-Tools nahezu fehlerfrei in allen Sprachen angepasst werden können. Nicht nur der CFO-Fraud per Deepfake-Videokonferenz in Hong Kong im Februar sorgte international für Schlagzeilen, auch die vermehrte Imitierung von Politikern durch stimmverzerrte Voice Fakes im US-Wahlkampf feuern die Diskussion und Sicherheitsbedenken an. 

Die Entscheidungsträger sollten sich allerdings darüber im Klaren sein, dass es unter Umständen die eigenen Daten und Informationen sind, die im Internet abrufbar sind, die GenAI-Tools anfüttern. Neben der Nutzung sollte also das Bewusstsein stärker in den Mittelpunkt rücken, dass diese Daten anders vor Missbrauch geschützt werden müssen, als es bisher der Fall ist. Sind die eigenen Datenbestände bereits nach Kritikalität kategorisiert, um einem ungewollten Abfließen den Riegel vorzuschieben? Verstöße gegen die Compliance können beispielsweise auch hinzukommen, wenn personenbezogene Informationen in externe Anwendungen eingegeben werden.

Top Down GenKI-Einsatz

Wie haben sich Unternehmen dem Einsatz der GenKI-Tools innerhalb des vergangenen Jahres angenähert? Trotz des allgemeinen Interesses für diese Anwendungen scheinen nicht die Mitarbeitenden die treibende Kraft hinter dem Interesse und der Nutzung im Unternehmenskontext gewesen zu sein – lediglich fünf Prozent der Befragten antworteten, dass der Einsatz von dieser Nutzergruppe ausgeht. Stattdessen gaben 60 Prozent in Deutschland an, dass der Einsatz direkt von den IT-Teams vorangetrieben wurde. 

Im Rückkehrschluss liegt es nahe, dass die IT-Abteilung die Kontrolle über die sichere Anwendung dieser KI-Tools in der Hand haben sollte. Bisher hinkt die Governance allerdings hinter der Anwendung hinterher, denn laut der Umfrage gaben ein Viertel der befragten deutschen IT-Entscheider an, die Nutzung dieser modernen Tools überhaupt nicht zu kontrollieren. 40 Prozent hatten letztes Jahr noch keine zusätzlichen GenKI-bezogenen Sicherheitsmaßnahmen implementiert. 

Immerhin besteht ein Bewusstsein, dass hier großer Handlungs – und dementsprechend Diskussionsbedarf besteht, dem wir uns im Roundtable annehmen wollen. Gibt es bereits Erfahrungswerte, wer sich am besten den Hut für die Governance von AI aufsetzen sollte? Benötigt man eine separate Rolle wie z.B. einen eigenen Chief AI Officer? Eventuell gibt es auch andere Best Practises, die im Rahmen des Roundtables diskutiert werden sollten. Wie lassen sich beispielsweise Risiken in AI-Modellen ausschließen und kann ein Zero Trust-basierter Sicherheitsansatz bei der Erkennung von KI-generierten Risiken eine Rolle spielen?

Wir freuen uns auf den Erfahrungsaustausch mit IT-Entscheidern auf den Hamburger IT-Strategietagen.