US-Firmen: KI-Missbrauch grassiert, C-Suite nicht ausgenommen

Eine aktuelle Studie des KI-Sicherheitsanbieters CalypsoAI enthüllt einen weit verbreiteten und eskalierenden Trend des Missbrauchs von KI-Tools innerhalb von US-Organisationen, der sich vom Einstiegsniveau bis zu den höchsten Ebenen der C-Suite erstreckt. Die Ergebnisse, die im „Insider AI Threat Report“ des Unternehmens detailliert beschrieben werden, zeichnen ein Bild einer „verborgenen Realität“, in der Mitarbeiter auf jeder Ebene KI-Tools „oft ohne Schuld, Zögern oder Aufsicht“ nutzen.

Am frappierendsten sind vielleicht die Enthüllungen bezüglich der Führungsebene. Die Hälfte der befragten Führungskräfte gab an, KI-Manager menschlichen vorzuziehen, doch beachtliche 34 % räumten ein, dass sie nicht zuverlässig zwischen einem KI-Agenten und einem echten Mitarbeiter unterscheiden könnten. Erschwerend kommt hinzu, dass über ein Drittel der Unternehmensleiter, 38 %, gestanden, nicht einmal zu wissen, was ein KI-Agent überhaupt ist. Alarmierend ist, dass 35 % der C-Suite-Führungskräfte zugaben, proprietäre Unternehmensinformationen in KI-Tools eingegeben zu haben, um Aufgaben zu erledigen.

Diese Bereitschaft, Regeln zugunsten der KI-Bequemlichkeit zu beugen oder zu brechen, ist nicht auf die Führungsebene beschränkt. Die Umfrage, die im Juni über 1.000 Vollzeit-Büromitarbeiter in den USA im Alter von 25 bis 65 Jahren befragte, ergab, dass 45 % aller Mitarbeiter der KI mehr vertrauen als ihren menschlichen Kollegen. Mehr als die Hälfte, 52 %, gaben an, KI zur Vereinfachung ihrer Arbeit zu nutzen, selbst wenn dies gegen die Unternehmensrichtlinien verstieß. Unter den Führungskräften stieg diese Zahl auf 67 %, was eine weit verbreitete Missachtung etablierter Protokolle zeigt.

Besonders akut ist das Problem in stark regulierten Sektoren. In der Finanzbranche gaben 60 % der Befragten zu, KI-Regeln verletzt zu haben, und ein weiteres Drittel nutzte KI, um auf eingeschränkte Daten zuzugreifen. In der Sicherheitsbranche verwendeten 42 % der Mitarbeiter wissentlich KI entgegen der Richtlinien, und 58 % äußerten größeres Vertrauen in KI als in ihre Kollegen. Selbst im Gesundheitswesen befolgten nur 55 % der Mitarbeiter konsequent die KI-Richtlinien ihrer Organisation, und 27 % zogen es vor, einem KI-Vorgesetzten statt einem menschlichen zu berichten.

Donnchadh Casey, CEO von CalypsoAI, betonte die Dringlichkeit dieser Ergebnisse. „Externe Bedrohungen erhalten oft die Aufmerksamkeit“, erklärte er, „aber das unmittelbare und schneller wachsende Risiko liegt innerhalb des Gebäudes, da Mitarbeiter auf allen Ebenen KI ohne Aufsicht nutzen.“ Er bemerkte seine Überraschung darüber, wie schnell C-Suite-Führungskräfte ihre eigenen Regeln umgehen. „Führungskräfte sollten den Standard setzen, doch viele führen das riskante Verhalten an“, beobachtete Casey und wies darauf hin, dass Führungskräfte manchmal KI-Tools schneller einführen, als die für deren Sicherung zuständigen Teams reagieren können. Er schlussfolgerte, dass dies ebenso eine Führungs- wie eine Governance-Herausforderung darstellt.

Justin St-Maurice, technischer Berater bei der Info-Tech Research Group, schloss sich dieser Ansicht an und verglich das Phänomen mit „Schatten-KI“, die zum „neuen Schatten-IT“ wird. Mitarbeiter greifen auf nicht genehmigte Tools zurück, weil KI greifbare Vorteile bietet: „kognitive Entlastung“ durch die Übernahme alltäglicher Aufgaben und „kognitive Erweiterung“ durch die Beschleunigung von Denken, Schreiben und Analysieren. St-Maurice hob die starke Anziehungskraft dieser Vorteile hervor und stellte fest, dass über die Hälfte der Mitarbeiter KI nutzen würden, selbst wenn dies verboten wäre, ein Drittel sie für sensible Dokumente verwendet hat und fast die Hälfte der befragten Sicherheitsteams zugab, proprietäres Material in öffentliche Tools eingefügt zu haben. Er schlug vor, dass dies nicht unbedingt Illoyalität sei, sondern vielmehr ein Symptom dafür, dass Governance und Befähigung hinter den zeitgenössischen Arbeitspraktiken zurückbleiben.

Die Risiken sind unbestreitbar. Jede unüberwachte KI-Eingabe birgt das Potenzial, dass geistiges Eigentum, Unternehmensstrategien, sensible Verträge oder Kundendaten in den öffentlichen Bereich gelangen. St-Maurice warnte, dass ein einfaches Blockieren von KI-Diensten kontraproduktiv wäre und Benutzer dazu treiben würde, im Untergrund nach alternativen Zugangsmöglichkeiten zu suchen. Stattdessen plädiert er für einen praktischeren Ansatz: die strukturierte Befähigung. Dies beinhaltet die Bereitstellung eines genehmigten KI-Gateways, dessen Integration in das Identitätsmanagement, die Protokollierung von Eingaben und Ausgaben, die Anwendung von Redaktion für sensible Felder und die Veröffentlichung klarer, prägnanter Regeln. Solche Maßnahmen sollten mit kurzen, rollenbasierten Schulungen und einem Katalog genehmigter Modelle und Anwendungsfälle gekoppelt werden, um Mitarbeitern einen sicheren Weg zu den Vorteilen der KI zu bieten.

Casey stimmte zu und betonte, dass jede wirksame Lösung sowohl Menschen als auch Technologie umfassen muss. Er warnte, dass eine anfängliche Reaktion, KI vollständig zu blockieren, oft kontraproduktiv sei, da Mitarbeiter solche Regeln typischerweise umgehen würden, um Produktivitätsvorteile zu erzielen. Eine überlegene Strategie, so argumentierte er, besteht darin, den organisatorischen Zugang zu KI zu ermöglichen und gleichzeitig deren Nutzung zu überwachen und zu kontrollieren sowie einzugreifen, wenn das Verhalten von den Richtlinien abweicht. Dies erfordert klare, durchsetzbare Richtlinien in Kombination mit Echtzeitkontrollen, die die KI-Aktivität überall dort sichern, wo sie auftritt, einschließlich der Überwachung von KI-Agenten, die im großen Maßstab mit sensiblen Daten arbeiten. Durch die Sicherung von KI an ihren Bereitstellungspunkten und dort, wo sie kritische Arbeit leistet, können Unternehmen ihre Nutzung ermöglichen, ohne Sichtbarkeit oder Kontrolle zu opfern.