Der Cybersicherheitsexperte Janusch Skubatz, Chief Information Security Officer der EOS Gruppe, mit braunem Haar und weißem Hemd
  • Generative KI bietet große Chancen.
  • Der EOS Mutterkonzern Otto Group hat ein sicheres und auf die Bedürfnisse des Unternehmens zugeschnittenes Tool entwickelt.
  • Auch in der Branche Forderungsmanagement, mit ihren besonders hohen Standards, bietet der Einsatz Vorteile.
Für die Geschäftsführung des Elektronikkonzerns Samsung war es eine unangenehme Nachricht. Im Frühjahr 2023 tauchten plötzlich im Internet Notizen von internen Besprechungen und Daten über die Leistung von Produktionsanlagen auf. Schuld waren nicht etwa Hacker, sondern die eigenen Mitarbeiter*innen. Die hatten generative KI eingesetzt. Ein Mitarbeiter beispielsweise nutzte Chat GPT, um seine Besprechungsmitschrift in ein fertiges Dokument zu verwandeln. Ohne zu ahnen, dass die kostenlose Variante des KI-Assistenten alle Angaben aus den Prompts seiner User*innen speichert – und sie nutzt, um damit sein Wissen zu erweitern.

Ein Beispiel, das zeigt: Generative Intelligenz birgt auch Risiken, wie unzureichendes Bewusstsein von Mitarbeiter*innen zu den Sicherheitslücken, fehlende Unternehmensrichtlinien oder neue Angriffsmöglichkeiten für Hacker. So sahen in einer weltweiten Umfrage des Beratungsunternehmens McKinsey 53 Prozent aller Teilnehmer*innen, die bereits mit generativer KI gearbeitet hatten, Cybersecurity als das größte Risiko der neuen Technologie an.

So viele Unternehmen sehen Cybersecurity als größtes Problem:

Grafik mit der Nummer 53 Prozent zeigt, wie viele Firmen Cybersicherheit als ihr größtes Problem ansehen.
Quelle: McKinsey Global Survey on AI, 2023, „The state of AI in 2023: Generative AI’s breakout year”

Sicherer Lösungsansatz für generative KI

Gleichzeitig bietet generative KI Unternehmen ein enormes Potenzial, ihre Effizienz und Innovationskraft zu steigern. Die Otto Group suchte darum einen Weg, wie sich die Chancen, die die Technologie bietet, nutzen lassen – und gleichzeitig die Risiken begrenzt. Unter dem Namen ogGPT hat der EOS Mutterkonzern eine unternehmenseigene generative KI für 26.000 Mitarbeiter*innen der Group entwickelt. „Wir wollten eine Lösung schaffen, die auf unsere konzerneigenen Bedürfnisse zugeschnitten ist, mit einem Fokus auf Sicherheit und Datenschutz“, sagt Anja Körber, Head of Artificial Intelligence & Automation in der Otto Group IT. Die kostenpflichtige Enterprise-Variante von ChatGPT, kam dafür nicht in Frage – obwohl dieser KI-Assistent die Angaben aus den Prompts nicht speichert. „Die Server stehen in den USA“, sagt Anja. „Das heißt: Im Zweifel hätten Mitarbeitende vor Ort, etwa aus dem Support, Zugriff auf die Daten. Und in den USA gelten keine europäischen Standards wie etwa die DSGVO.“

So viele Unternehmen besitzen erst Richtlinien zur Nutzung von KI: 

Grafik mit 21 Prozent zeigt, wie viele Firmen eine KI-Richtlinie haben.
Quelle: McKinsey Global Survey on AI, 2023, „The state of AI in 2023: Generative AI’s breakout year”
Auch in der Umfrage des Beratungsunternehmens McKinsey wird deutlich, dass in puncto Richtlinien eine Lücke klafft. Dieses Themas hat sich die Otto Group, auch stellvertretend für ihre Konzerntöchter, bereits angenommen. Darum entwickelten im Laufe von zwei Monaten Mitarbeiter*innen der Otto Group nicht nur eine KI-Richtlinie, sondern auch in verschiedenen Projekten und Hackathons die einzelnen Bausteine für ogGPT. Daraus entstand ein Grundgerüst auf der Basis des in der EU gehosteten Microsoft Azure OpenAI Service, welcher neben allgemeinen Informationen auch interne Informationen– aber dennoch sicher, enthalten kann, erklärt Anja: „ogGPT nutzt nicht die Prompts für das Training des zugrundeliegenden KI-Modells, bietet aber kontrolliert die Möglichkeit mit internen Daten zu agieren. Wir behalten die volle Kontrolle über die Daten.“

Das Alleinstellungsmerkmal von ogGPT ist aber nicht nur die Sicherheit. „Wir wollten Funktionen, die zu unseren Anforderungen passen“, sagt Anja. So kann der KI-Assistent etwa den Inhalt aus einem langen E-Mail-Verlauf kompakt zusammenfassen. Auch beim Verfassen eines Newsletters kommt ogGPT bereits zum Einsatz: Wurden die Leser*innen des Newsletters bislang nur mit Überschriften versorgt, die zu weiterführenden Inhalten verlinkten, finden sie nun kompakte Zusammenfassungen der Inhalte. Eine deutliche Verbesserung, die manuell viel zu aufwändig gewesen wäre.
Portrait der weiblichen Expertin Anja Koerber, Head of Artificial Intelligence & Automation in der Otto Group, mit einem Zopf und Blazer.

Wir wollten eine Lösung schaffen, die auf unsere konzerneigenen Bedürfnisse zugeschnitten ist, mit einem Fokus auf Sicherheit und Datenschutz.

Anja Körber
Head of Artificial Intelligence & Automation, Otto Group IT
"Darüber hinaus reduziert eine unternehmenseigene Lösung die Berührungsängste der Mitarbeitenden, für die es gelebter Alltag werden soll generative KI in ihre tägliche Arbeit zu integrieren. "Durch die selbstentwickelte Lösung, haben wir uns ein internes Expert*innen-Team aufgebaut und eine eigene Community etabliert. Vor allem die Community gibt vielen Mitarbeitenden ein gutes Gefühl: Wenn ich keine Lösung finde, kann ich meine Kolleg*innen fragen."

Auch für die Otto-Tochter EOS ist eine unternehmenseigene generative KI nützlich, sagt Janusch Skubatz, Chief Information Security Officer der EOS Gruppe. Erste interne Projekte laufen bereits. „Ich denke, dass wir in Zukunft auch ogGPT nutzen“, sagt er, „allerdings sind die Datenschutzauflagen im Forderungsmanagement besonders hoch. Wenn wir etwa notleidende Kredite aufkaufen, gelangen wir dabei an Daten, die besonders schützenswert sind.“ Darum unterliege EOS weitergreifenderen Regeln als andere Unternehmen und oft auch vertraglichen Vorgaben von Partnern, sagt Janusch: „Wir müssen daher sorgfältig prüfen, ob die Technologie noch weitere Anforderungen erfüllen muss.“
Der Cybersicherheitsexperte Janusch Skubatz, Chief Information Security Officer der EOS Gruppe, mit braunem Haar und weißem Hemd

In Prompts im Internet sollten keine geschäftlichen Informationen verwendet werden, die nicht für die Außenwelt bestimmt sind.

Janusch Skubatz
Chief Information Security Officer der EOS Gruppe
Solange Unternehmen keine gesicherte unternehmenseigene Variante von generativer KI nutzen können, rät Janusch User*innen in allen Branchen, grundlegende Regeln einzuhalten. Bei EOS und übergreifend in der Otto Group existiert bereits eine KI-Richtlinie, die für alle Mitarbeitenden gilt.  

Auszug aus der KI-Richtline der EOS Gruppe

Four red icons with red outline symbolizing responsibility, cautios action, security and support
  • Handle verantwortungsbewusst! Gib nur dann Daten in öffentliche KI-Systeme ein, wenn es vollkommen angemessen wäre, die Daten auf der Unternehmenswebsite zu veröffentlichen. 
  • Sei vorsichtig! KI-generierte Antworten können voreingenommen, ungenau oder unangemessen sein. Überprüfe stets die von KI-Tools erzeugten Ergebnisse.
  • Pass auf! Gib niemals deine Anmeldedaten (Benutzername, Passwort) an KI-Tools weiter und achte immer auf Phishing-Methoden.
  • Frag nach Unterstützung: Wenn du nicht sicher bist, ob du bestimmte Daten verwenden darfst oder welches KI-Tool sicher ist, frag deinen lokalen Beauftragten für Informationssicherheit.
Als entscheidendsten Faktor aber sieht Janusch den regelmäßigen Umgang mit generativer KI an: „Erfahrung ist Voraussetzung dafür, dass man ein Gespür für die Technologie und die Qualität der Ergebnisse entwickelt.“ So lassen sich Risiko-Situationen wie bei Samsung vermeiden und das immense Potential nutzen.

Interessiert am Austausch zu individualisierter generativer KI? Jetzt Kontakt aufnehmen.  

Photo credits: EOS