Generative KI? Aber sicher!

Für die Geschäftsführung des Elektronikkonzerns Samsung war es eine unangenehme Nachricht. Im Frühjahr 2023 tauchten plötzlich im Internet Notizen von internen Besprechungen und Daten über die Leistung von Produktionsanlagen auf. Schuld waren nicht etwa Hacker, sondern die eigenen Mitarbeiter*innen. Die hatten generative KI eingesetzt. Ein Mitarbeiter beispielsweise nutzte Chat GPT, um seine Besprechungsmitschrift in ein fertiges Dokument zu verwandeln. Ohne zu ahnen, dass die kostenlose Variante des KI-Assistenten alle Angaben aus den Prompts seiner User*innen speichert – und sie nutzt, um damit sein Wissen zu erweitern.

Ein Beispiel, das zeigt: Generative Intelligenz birgt auch Risiken, wie unzureichendes Bewusstsein von Mitarbeiter*innen zu den Sicherheitslücken, fehlende Unternehmensrichtlinien oder neue Angriffsmöglichkeiten für Hacker. So sahen in einer weltweiten Umfrage des Beratungsunternehmens McKinsey 53 Prozent aller Teilnehmer*innen, die bereits mit generativer KI gearbeitet hatten, Cybersecurity als das größte Risiko der neuen Technologie an.

Gleichzeitig bietet generative KI Unternehmen ein enormes Potenzial, ihre Effizienz und Innovationskraft zu steigern. Die Otto Group suchte darum einen Weg, wie sich die Chancen, die die Technologie bietet, nutzen lassen – und gleichzeitig die Risiken begrenzt. Unter dem Namen ogGPT hat der EOS Mutterkonzern eine unternehmenseigene generative KI für 26.000 Mitarbeiter*innen der Group entwickelt. „Wir wollten eine Lösung schaffen, die auf unsere konzerneigenen Bedürfnisse zugeschnitten ist, mit einem Fokus auf Sicherheit und Datenschutz“, sagt Anja Körber, Head of Artificial Intelligence & Automation in der Otto Group IT. Die kostenpflichtige Enterprise-Variante von ChatGPT, kam dafür nicht in Frage – obwohl dieser KI-Assistent die Angaben aus den Prompts nicht speichert. „Die Server stehen in den USA“, sagt Anja. „Das heißt: Im Zweifel hätten Mitarbeitende vor Ort, etwa aus dem Support, Zugriff auf die Daten. Und in den USA gelten keine europäischen Standards wie etwa die DSGVO.“

Auch in der Umfrage des Beratungsunternehmens McKinsey wird deutlich, dass in puncto Richtlinien eine Lücke klafft. Dieses Themas hat sich die Otto Group, auch stellvertretend für ihre Konzerntöchter, bereits angenommen. Darum entwickelten im Laufe von zwei Monaten Mitarbeiter*innen der Otto Group nicht nur eine KI-Richtlinie, sondern auch in verschiedenen Projekten und Hackathons die einzelnen Bausteine für ogGPT. Daraus entstand ein Grundgerüst auf der Basis des in der EU gehosteten Microsoft Azure OpenAI Service, welcher neben allgemeinen Informationen auch interne Informationen– aber dennoch sicher, enthalten kann, erklärt Anja: „ogGPT nutzt nicht die Prompts für das Training des zugrundeliegenden KI-Modells, bietet aber kontrolliert die Möglichkeit mit internen Daten zu agieren. Wir behalten die volle Kontrolle über die Daten.“

Das Alleinstellungsmerkmal von ogGPT ist aber nicht nur die Sicherheit. „Wir wollten Funktionen, die zu unseren Anforderungen passen“, sagt Anja. So kann der KI-Assistent etwa den Inhalt aus einem langen E-Mail-Verlauf kompakt zusammenfassen. Auch beim Verfassen eines Newsletters kommt ogGPT bereits zum Einsatz: Wurden die Leser*innen des Newsletters bislang nur mit Überschriften versorgt, die zu weiterführenden Inhalten verlinkten, finden sie nun kompakte Zusammenfassungen der Inhalte. Eine deutliche Verbesserung, die manuell viel zu aufwändig gewesen wäre.

"Darüber hinaus reduziert eine unternehmenseigene Lösung die Berührungsängste der Mitarbeitenden, für die es gelebter Alltag werden soll generative KI in ihre tägliche Arbeit zu integrieren. "Durch die selbstentwickelte Lösung, haben wir uns ein internes Expert*innen-Team aufgebaut und eine eigene Community etabliert. Vor allem die Community gibt vielen Mitarbeitenden ein gutes Gefühl: Wenn ich keine Lösung finde, kann ich meine Kolleg*innen fragen."

Auch für die Otto-Tochter EOS ist eine unternehmenseigene generative KI nützlich, sagt Janusch Skubatz, Chief Information Security Officer der EOS Gruppe. Erste interne Projekte laufen bereits. „Ich denke, dass wir in Zukunft auch ogGPT nutzen“, sagt er, „allerdings sind die Datenschutzauflagen im Forderungsmanagement besonders hoch. Wenn wir etwa notleidende Kredite aufkaufen, gelangen wir dabei an Daten, die besonders schützenswert sind.“ Darum unterliege EOS weitergreifenderen Regeln als andere Unternehmen und oft auch vertraglichen Vorgaben von Partnern, sagt Janusch: „Wir müssen daher sorgfältig prüfen, ob die Technologie noch weitere Anforderungen erfüllen muss.“

Als entscheidendsten Faktor aber sieht Janusch den regelmäßigen Umgang mit generativer KI an: „Erfahrung ist Voraussetzung dafür, dass man ein Gespür für die Technologie und die Qualität der Ergebnisse entwickelt.“ So lassen sich Risiko-Situationen wie bei Samsung vermeiden und das immense Potential nutzen.