Hallo Zusammen,
ich lese seit einiger Zeit von der Gefahr bei der Nutzung von KI-Bots auf privaten Endgeräten im Unternehmen, die evtl. sensible Daten ohne Wissen des Nutzers abgreifen. Was genau ist davon zu halten? Wäre es aus Unternehmenssicht nicht sinnvoller eine derartige Nutzung komplett zu untersagen?
Meiner Meinung nach sind private Endgeräte im Unternehmen ist ein totales No Go. Jedes sicherheitsbewustes Unternehmen wird das zu verhindert wissen.
Ich sehe es ähnlich, weil, man müsste ja auch gleichzeitig als Angestellter derart restriktiv mit seinem Eigentum umgehen, das die private Nutzung der Geräte sehr stark eingeschränkt werden müsste - und wer will das schon?
Gibt es evtl. eine Quelle die belegt welcher dieser ChatBots was abfließen lässt?
Nun, dass Daten „ohne Wissen” des Benutzers abgegriffen werden, trifft wohl eher selten zu. Wer sensible Daten in einen KI-Chatbot wie ChatGPT eingibt, dürfte sich dessen bewusst sein. Allerdings habe ich auch schon verstecktere Konstrukte erlebt. Als ich noch in einem Landratsamt tätig war, haben wir festgestellt, dass die Ausländerbehörde Übersetzer mit Spracherkennung benutzt. Die Mitarbeiter waren sich tatsächlich nicht bewusst, dass die Daten nicht in dem Kästchen, sondern in der Cloud des Anbieters verarbeitet werden. Das war dann schon ein Fall für den DSB. Als WLAN haben die Kollegen damals das frei verfügbare BayernWLAN verwendet. Letztendlich war die Sache aber halb so wild, da die Kollegen durch Zufall einen ziemlich seriösen Anbieter gewählt hatten und wir das mit einem AVV auch dem DSB gegenüber zu seiner Zufriedenheit abwickeln konnten. Der Bedarf war nachvollziehbar, denn es ist nicht realistisch, zu erwarten, dass menschliche Übersetzer für alle infrage kommenden Sprachen verfügbar sind.
Die Sache mit den Chatbots ist da schon prekärer. Das fällt in die Kategorie Schatten-IT und wird uns noch vor große Herausforderungen stellen. Da nehme ich mich gar nicht aus, ich benutze selbst ziemlich rege mehrere Chatbots und hoffe hier und da auch schon mal, dass alles gut geht. Allerdings gibt es eine Betriebsvereinbarung, die die Nutzung bezahlter privater Accounts (z. B. ChatGPT Plus) für Firmenzwecke erlaubt. Ein gutes Gefühl habe ich dabei aber nicht. Ich exportiere deshalb regelmäßig meine Chats und lösche sie vom Server, damit im Falle eines gehackten Accounts nicht gleich der ganze „Roman” öffentlich wird. Zudem sollte man auf die größtmögliche Absicherung des Accounts achten. Ein starkes Passwort mit MFA oder Passkey ist dann praktisch Mindestanforderung.