Wie Unternehmen den sicheren Einsatz von GenAI gestalten

Während Generative AI in rasantem Tempo Einzug in Unternehmen hält, stehen viele Führungskräfte vor einem scheinbaren Dilemma: Wie können sie die Innovationskraft dieser Technologie nutzen und gleichzeitig Datensicherheit und Compliance gewährleisten? In seinen Masterclass bei der DECAID Academy bezeichnet Maximilian, das Jahr 2025 als "das Jahr der KI-Adoption" – und betont, dass Compliance dabei nicht als Hindernis, sondern vielmehr als Chance verstanden werden sollte.

Die Realität: Der "Wild West"-Zustand des KI-Einsatzes

Die aktuelle Situation in vielen Unternehmen gleicht einem digitalen Wilden Westen:

🔍 Über 90% der befragten Unternehmen haben keine klare KI-Richtlinie, die definiert, welche Tools unter welchen Bedingungen genutzt werden dürfen.

💡 Mitarbeitende nutzen pragmatisch die Tools, die ihnen den größten Mehrwert bieten – unabhängig davon, ob diese offiziell freigegeben sind oder nicht.

🤖 Unklare Datensicherheitsstandards führen dazu, dass potenziell sensible Informationen in öffentliche KI-Systeme gelangen.

Diese ungeregelte Nutzung birgt erhebliche Risiken – von Datenschutzverletzungen bis hin zur unbeabsichtigten Weitergabe von Betriebsgeheimnissen. Gleichzeitig hemmt sie das Potenzial, KI strategisch und unternehmensweit einzusetzen.

Die Drei-Ebenen-Pyramide für sichere KI-Nutzung

Maximilian präsentiert in seiner Masterclass einen strukturierten Ansatz, der sowohl Sicherheit als auch Innovation ermöglicht – die Drei-Ebenen-Pyramide:

1. Oberste Ebene: Klares Zielbild und Vision

An der Spitze der Pyramide steht ein klar definiertes Zielbild:

• Was ist die übergeordnete KI-Strategie des Unternehmens?
• Warum setzen wir KI ein?
• Welche langfristigen Ziele verfolgen wir damit?

Diese Vision bildet den Rahmen für alle weiteren Entscheidungen und sollte von der Geschäftsführung mitgetragen werden.

2. Mittlere Ebene: Die KI-Nutzungsrichtlinie

Die zweite Ebene umfasst eine konkrete KI-Richtlinie, die folgende Aspekte definiert:

→ Einsatzbereiche: Wofür darf KI genutzt werden? Welche Prozesse sind geeignet?

→ Ausschlusskriterien: Welche Daten und Anwendungsfälle sind explizit nicht für KI-Tools geeignet?

→ Toolauswahl: Welche KI-Tools sind freigegeben, welche explizit nicht?

Maximilian empfiehlt, diese Richtlinie transparent zu kommunizieren – ähnlich einer Datenschutzerklärung – und sie auch externen Stakeholdern zugänglich zu machen. Dies schafft Vertrauen und demonstriert verantwortungsbewusstes Handeln.

3. Untere Ebene: Taktische Umsetzung

Die dritte Ebene betrifft die konkrete Implementierung:

→ Definition eines Tool-Sets: Klare Festlegung der freigegebenen Tools und ihrer spezifischen Einsatzzwecke

→ Etablierung von KI-Champions: Aufbau interner Experten, die als Power-User und erste Ansprechpartner fungieren

→ Rechtemanagement: Festlegung, wer auf welche Funktionen und Daten zugreifen darf

Rollenbasiertes Rechtemanagement für KI-Tools

Eine zentrale Herausforderung, die Maximilian adressiert, ist das Spannungsfeld zwischen individueller Produktivität und organisatorischer Kontrolle. Die Lösung liegt in einem differenzierten Rechtemanagement:

Beispiel eines KI-Rechtemodells:

RolleBerechtigungenVerantwortlichkeitenKI-AdministratorVollzugriff, Konfiguration von Projekten, Datenquellen-IntegrationÜberwachung der Compliance, Audit-TrailsKI-ChampionErstellung von Projekten, Freigabe für Teams, Daten-UploadSchulung, First-Level-Support, Best PracticesPower-UserNutzung aller freigegebenen Tools, begrenzte DatenadministrationQualitätssicherung, FeedbackStandard-UserNutzung vorkonfigurierter Projekte und TemplatesEinhaltung der Richtlinien

Maximilian prognostiziert, dass die großen KI-Anbieter 2025 differenzierte Rechtemanagement-Funktionen einführen werden – ähnlich wie wir sie von etablierten CMS- oder Office-Systemen kennen.

Datenmanagement: Die "absolute Nightmare" lösen

Ein besonders herausfordernder Aspekt ist laut Maximilian das Datenmanagement:

"Das Thema Datenmanagement ist für alle, die KI wirklich produktiv im Einsatz haben, derzeit ein wahrhaftiger Albtraum."

Die Kernprobleme:

• Aktualität der Daten sicherstellen
• Konsistenz zwischen verschiedenen KI-Assistenten gewährleisten
• Kontrolle darüber behalten, welche Daten in welche Systeme fließen

Die erwarteten Lösungsansätze für 2025:

1. Verbesserte Konnektivität: Native Integration von Unternehmenssystemen wie CMS, CRM und Dokumentenmanagementsystemen
2. Zentralisierte Projekte: Gemeinsame Wissensbasis für alle KI-Anwendungen im Unternehmen
3. Audit-Trails: Nachvollziehbarkeit, welche Daten wann und von wem in KI-Systeme eingespeist wurden
4. Lokale KI-Lösungen: Für besonders sensible Daten werden lokale KI-Modelle eingesetzt, die keine Daten an externe Server übermitteln

KI-Champions: Die menschliche Komponente der KI-Sicherheit

Ein oft übersehener, aber entscheidender Aspekt der KI-Sicherheitsstrategie ist die menschliche Komponente. Maximilian empfiehlt die Etablierung von "KI-Champions" in Unternehmen:

→ Ausgewählte Mitarbeitende verschiedener Abteilungen werden intensiv geschult

→ Sie fungieren als erste Ansprechpartner bei Fragen zur KI-Nutzung

→ Sie übernehmen eine Prüffunktion für Daten-Uploads und Projektfreigaben

→ Sie identifizieren neue Use Cases und treiben die KI-Adoption voran

Diese KI-Champions bilden die Brücke zwischen technischen Möglichkeiten und praktischer Anwendung – und sind gleichzeitig das "menschliche Firewall" gegen unsachgemäße Nutzung.

Compliance als Chance, nicht als Hindernis

"Im Falle von KI werden wir Compliance weniger als Hindernis, sondern mehr als Chance erleben."

Diese zunächst kontraintuitive Aussage erklärt er wie folgt:

1. Standardisierung durch Compliance: Klare Regeln ermöglichen standardisierte Prozesse, die für KI-Systeme ideal sind
2. Planungssicherheit: Regulierungen schaffen Klarheit und ermöglichen langfristige Investitionsentscheidungen
3. Vertrauensbildung: Nachweislich compliant eingesetzte KI-Systeme finden leichter Akzeptanz bei Mitarbeitenden und Kunden
4. Wettbewerbsvorteil: Unternehmen, die Compliance-Anforderungen frühzeitig erfüllen, sind anderen voraus

Ausblick: Compliance-Anforderungen 2025

Maximilian weist auf mehrere regulatorische Entwicklungen hin, die 2025 relevant werden:

🔮 EU-AI-Act: Ab Februar müssen Unternehmen ihre Mitarbeiter schulen, wenn diese KI einsetzen – ein klares Signal für mehr Verbindlichkeit

🔮 ISO-Standards: Neue Zertifizierungen für KI-Systeme werden zum Wettbewerbsfaktor

🔮 Branchenspezifische Regulierungen: Insbesondere in regulierten Branchen werden spezialisierte Anforderungen entstehen

Fazit: Der strategische Weg zur sicheren KI-Nutzung

Der Weg zu einer sicheren und compliant KI-Nutzung ist kein Sprint, sondern ein Marathon – aber einer, der jetzt beginnen muss. Maximilians Empfehlungen lassen sich in drei Schritten zusammenfassen:

1. Sofort: Entwicklung einer KI-Strategie und einer KI-Richtlinie; Prüfung der Dateninfrastruktur; Aufbau von Team-Skills
2. Mittelfristig: Integration von KI-Agenten und Workflows; Aufbau spezialisierter Systeme; Entwicklung eines Compliance-Frameworks
3. Langfristig: Aufbau einer AI-native Architektur mit durchgängiger Sicherheits- und Compliance-Integration

Die Unternehmen, die diesen Weg jetzt einschlagen, werden nicht nur sicherer arbeiten – sie werden auch die Vorteile der KI schneller und umfassender nutzen können als ihre Wettbewerber.

Dieser Artikel basiert auf Einsichten aus der DECAID Academy Live-Masterclass vom 17. Januar 2025 mit Maximilian Moehring, Founder & CEO der DECAID Group.

‍