Über den Umgang mit den Risiken von generativer KI
Generative Künstliche Intelligenz (Gen AI) revolutioniert die Geschäftswelt und baut auf jahrelangen Fortschritten in der Daten- und KI-Akzeptanz auf. Ihr Potenzial, einen Wettbewerbsvorteil zu erzielen und Wachstum zu fördern, ist unbestreitbar. Um jedoch von diesen Vorteilen zu profitieren, müssen Organisationen die einzigartigen Risiken vollständig verstehen und mildern, insbesondere bei der Datenverwaltung und der Bewertung der organisatorischen Bereitschaft.
Die sichere Nutzung von Gen AI erfordert, dass Unternehmen nicht nur die Risiken und die Qualität der organisatorischen Daten verstehen, die für die Implementierung von Gen AI spezifisch sind, sondern auch, wie sie diese Daten verwalten. In diesem Zusammenhang müssen Unternehmen Risiken in vier wesentlichen Bereichen angehen.
1. Der menschliche Faktor
Im Gegensatz zur traditionellen KI, bei der Entwicklung und Bereitstellung weitgehend auf spezialisierte Teams beschränkt war, erstreckt sich Gen AI über Funktionen und Geschäftseinheiten. Diese weitreichende Nutzung erhöht das Risiko, dass Mitarbeiter die Ergebnisse von Gen AI falsch interpretieren oder übermäßig darauf vertrauen. Ohne das richtige Verständnis könnten Teams die Ergebnisse als unfehlbar betrachten, insbesondere in entscheidungskritischen Kontexten. Dies könnte zu finanziellen oder reputativen Schäden für die Organisation führen.
2. Datensicherheit und -qualität
Die Verwaltung von Datensicherheit und Datenqualität stellt eine kritische Herausforderung bei der Verwendung von Gen AI dar. Es ist zwar einfach für Organisationen, Richtlinien zu entwickeln, die die Verwendung vertraulicher oder persönlich identifizierbarer Informationen (PII) durch ein Gen AI-Modell verhindern, jedoch ist die technische Durchsetzung dieser Regeln weitaus komplexer. Der Hauptgrund dafür ist die Verbreitung von Verbraucherlösungen mit multimodalen Fähigkeiten, die das Risiko erhöhen, dass Mitarbeiter versehentlich vertrauliche Daten an Drittanbieter weitergeben.
Darüber hinaus könnte die beliebte Annahme von Retrieval Augmented Generation (RAG) Architekturen Schwachstellen schaffen, wenn die Datenquellen nicht ausreichend gesichert sind. Eine Missmanagement in diesen Aspekten öffnet nicht nur die Tür zu regulatorischen Verstößen; es birgt auch das Risiko einer unbeabsichtigten Datenexposition, sowohl intern als auch extern.
3. Erweiterung des Technologie-Stacks
Um Gen AI zu nutzen, müssen viele Organisationen ihren Technologie-Stack erweitern, sei es vor Ort oder in der Cloud. Diese schnelle Skalierung bringt operationale Risiken mit sich, einschließlich Integrationslücken zwischen neuen Tools und bestehenden Systemen sowie eine erhöhte Komplexität des technologischen Fußabdrucks. Neben den Risiken der Datenoffenlegung ist es wichtig, besondere Aufmerksamkeit auf die Risiken zu legen, die mit der Integration von Drittanbieter-Tools und der Sicherstellung der API-Sicherheit verbunden sind.
4. Die Natur der Technologie
Gen AI-Modelle, die alle probabilistisch und nicht deterministisch arbeiten, bringen eine weitere Komplexitätsebene mit sich. Diese Modelle sind für einen spezifischen Zweck vortrainiert, und die Bestimmung, ob ein Modell für den vorgesehenen Zweck geeignet ist, erfordert eine sorgfältige Analyse.
Ein rigoroser Benchmarking-Prozess ist unerlässlich. Unternehmen müssen jede Anwendung des Modells, die Einschränkungen und Sicherheitsvorkehrungen bewerten, um sicherzustellen, dass sie mit ihren betrieblichen Anforderungen und ethischen Standards kompatibel sind. Dieser Prozess mindert nicht nur Risiken, sondern stellt auch sicher, dass die Technologie verantwortungsvoll und effektiv eingesetzt wird.
Innovation und Risiko in Einklang bringen
Trotz dieser Risiken ist es keine Lösung, Gen AI völlig zu vermeiden. Technologie bietet unvergleichliche Möglichkeiten zur Effizienzsteigerung und Innovation, bringt jedoch auch sich entwickelnde Bedrohungen mit sich. Wie können Organisationen, die neu in der Gen AI sind, deren Einführung weise angehen?
1. Anpassung bestehender Risikorahmen
Die meisten Organisationen haben bereits Prozesse zur Risikomanagement von Technologien etabliert. Die Herausforderung besteht darin, diese Rahmenbedingungen so anzupassen, dass sie Gen AI berücksichtigen. Bei einer begrenzten Einführung könnte eine bescheidene Erweiterung des Ansatzes zur Verwaltung technologischer Risiken ausreichen. Bei einer umfassenderen Einführung von Gen AI könnte es notwendig sein, spezielle AI-spezifische Steuerungsausschüsse zu gründen, um Strategien und Risiken, die spezifisch für die Nutzung von KI in der Organisation sind, zu adressieren.
2. Ethische Richtlinien festlegen
Klare ethische Richtlinien sollten die Nutzung von Gen AI regeln, einschließlich verbotener Anwendungsfälle, die außerhalb der Risikobereitschaft der Organisation liegen, und vordefinierter Risikokategorien. Diese Richtlinien bieten Klarheit für Geschäftsbereiche, die Innovationen vorantreiben, und helfen den Risiko- und Prüfungsfunktionen, Kontrollanforderungen festzulegen. Transparenz und Vertrauen sind grundlegend, da die Rolle von KI sich ausbreitet. Dies erfordert das Verständnis von regulatorischen und Compliance-Verpflichtungen, die Verbesserung von Governance-Prozessen, die Zusammenführung von funktionsübergreifenden Stakeholdern und die Zuweisung von Verantwortung zur Minderung von Risiken.
3. Governance phasenweise mit einem risikobasierten Ansatz einführen
Organisationen können Gen AI schrittweise einführen, indem sie die Governance entsprechend dem Risikoniveau proportional zum Stand der Innovationsidee anwenden. Für Prototypen in niedrigrisiko Szenarien (z.B. minimale finanzielle Investitionen oder Datenempfindlichkeit) kann die Aufsicht leichter sein. Wenn Prototypen auf die Bereitstellung zusteuern, sollten umfassendere Bewertungen, einschließlich Sicherheitsbewertungen und Risikoanalysen, durchgeführt werden, um die Abwehrkräfte zu verstärken.
Gen AI: Was kommt als Nächstes?
Die Implementierung von Gen AI sollte nicht grundlegend anders sein als die Einführung herkömmlicher Softwaretools. Wie andere Technologien birgt sie Risiken, die Unternehmen sorgfältig bewerten und mindern müssen. Das bevorstehende Dokument ISO/IEC 42005 für die Auswirkungen von KI-Systemen bietet nützliche Leitlinien, wie die potenziellen Auswirkungen von KI auf die Organisation und deren Stakeholder bewertet werden können.
Darüber hinaus müssen Organisationen entscheiden, in welchem Maß menschliche Aufsicht in den Anwendungsfällen von Gen AI erforderlich ist. Der AI Governance Framework von Singapur bietet eine nützliche Struktur, indem er die Aufsicht in drei Ebenen kategorisiert: menschlich im Loop, menschlich aus dem Loop und menschlich über dem Loop. Welche Option zu wählen ist, hängt von einem ausgewogenen Ansatz ab – Ergebnisse mit großer Auswirkung könnten eine intensivere menschliche Aufsicht erfordern, auch wenn eine schnellere, direkte Entscheidungsfindung nicht möglich ist. Welche Option zu wählen ist, sollte von funktionsübergreifenden Teams getroffen werden, die Risiken bewerten und Kontrollen empfehlen.
Mit Blick auf die Zukunft hat die Entstehung von Agentic AI das Potenzial, die Abläufe noch weiter zu transformieren. Agentic AI, wenn sie in Unternehmen eingebettet ist, kann über die Inhaltsgenerierung hinaus reifen und Argumentation und Entscheidungsfindung umfassen. Dies erfordert eine verstärkte Governance, um ihren Einfluss auf Geschäftsprozesse zu verwalten, einschließlich der Gewährleistung der Widerstandsfähigkeit in Multi-Agenten-Umgebungen und der Ausstattung von Organisationen, um Vorfälle effektiv zu untersuchen und darauf zu reagieren.
Wie bei der heutigen Gen AI liegt der Schlüssel zum Erfolg in einem konsistenten, risikobasierten Ansatz für die Bereitstellung in Kombination mit robuster Cybersicherheit. Durch die Balance zwischen Innovation und Vorsicht können Organisationen das Potenzial von Gen AI ausschöpfen und gleichzeitig ihre exponierten Risiken minimieren.
