KI in der Verwaltung: Zwischen Datenschutzlöchern und Sicherheitslücken

Die Künstliche Intelligenz (KI) verspricht auch Verwaltungen Effizienz und Innovation. Experten warnen aber davor, Datenschutz und Security zu vernachlässigen. Klare Richtlinien und Schutzmechanismen sind daher unerlässlich.

Als Henry Ford vor 110 Jahren den Automobilbau auf Fließbandproduktion umstellte, muss das so ähnlich revolutionär für Gesellschaft, Wirtschaft und Arbeitnehmer gewesen sein wie der Einsatz von Künstlicher Intelligenz. Durch die Fertigung am „laufenden Band“ wurden die einzelnen Prozesse auf Effizienz getrimmt, Kosten reduziert und Zeit gespart. Die Maschinen gaben zu Fords Zeiten den Takt an, erleichterten aber auch den Arbeitnehmern bestimmte Aufgaben und schafften eine kontinuierliche Nachfrage an Fachkräften. Heute sind es Daten und Algorithmen, die die Automatisierung und Standardisierung mit Künstlicher Intelligenz jenseits der Grenzen der mechanischen Präzision vorantreiben.

Auch der öffentliche Sektor sollte sich bei der Frage nach der Nutzung von KI weniger mit dem „Ob“ auseinandersetzen, sondern eher mit dem „Wie“. Da sind sich die Sicherheitsexperten von ESET einig, obwohl es noch einiges zu tun gibt. Bisher ist die Indienstnahme dieser Technologie immer noch überschaubar und genug Zeit, die Risiken bei Sicherheit und Datenschutz weiter einzudämmen. KI kann eine entscheidende Rolle für das nächste Level bei der Modernisierung und Neuordnung der Verwaltung sein. Der Output ist heute schon nützlich: So prognostizieren Risikomanagementsysteme, welche Steuererklärungen sich zu prüfen lohnen und welche Gelder per digital unterstützten Antragsverfahren schneller beantragt und freigegeben werden können.

ChatGPT, Copilot & Co.: Datenschutz und Sicherheit haben Löcher

Auch wenn dank bestehender Anwendungsbereiche und verschiedener (Pilot-)Projekte sich absehen lässt, wo die Reise hingehen kann, warnen die Security-Experten von ESET, dass die Sicherheit eine nicht zu unterschätzende Rolle spielt. Die Technologie bringt Risiken mit sich, die nicht stiefmütterlich behandelt werden sollten. Notwendige technische (Infra-)Strukturen sind im öffentlichen Sektor häufiger Mangelware, was die Nutzung von KI erschwert. Das zeigen auch die Ergebnisse im EU-Länderranking, in dem Deutschland beim Thema Digitalisierung und Angebote im Bereich E-Government ziemlich schlecht wegkommt.

Den Sicherheits- und Datenschutzexperten von ESET zufolge sind es vor allem datenschutzrechtliche Vorbehalte und verschiedene Schwachstellen wie Datenmissbrauch und -manipulation, die den Einsatz hinausschieben. Gerade Verwaltungen, die auf vertrauliche, personenbezogene Daten zugreifen können, müssen besondere Vorsicht walten lassen. Einige wenige Kommunen und Verwaltungen bauen bereits auf generative KI in Form von Chatbots, wie beispielsweise die Stadt Heidenheim oder die Finanzdirektion Karlsruhe. Generell steckt die Nutzung von Sprachmodellen wie ChatGPT von OpenAI oder Copilot von Microsoft im öffentlichen Sektor noch immer in den Kinderschuhen. Zwar unterliegen diese Arten von KI nach Aussage der Bundesregierung den Vorschriften der DSGVO und des Bundesdatenschutzgesetzes (BDSG), doch ist bislang fraglich, wie die Autonomie der betroffenen Personen sowie Grundsätze der Fairness und Gerechtigkeit sichergestellt werden können.

Ebenso steht die Vertraulichkeit der Daten infrage, wenn viele Unternehmen mit demselben KI-System cloudbasiert arbeiten. Und auch wenn man meinen könnte, es gebe nicht Neutraleres als Nullen und Einsen, wenn es um Entscheidungen geht, liegt man bei Systemen wie ChatGPT und Copilot nicht ganz richtig. Denn das Sprachmodell holt sich sein Wissen aus riesigen, ungefilterten Datenbergen, in der Studien zufolge Diversität kaum eine Rolle spielt und untergeht. Hinzu kommt, dass aktuelle Ereignisse und Daten nicht abrufbar sind, da die KI erst gefüttert beziehungsweise trainiert werden muss und das braucht seine Zeit.

10 Tipps für höhere Compliance und mehr Datenschutz

Auch wenn die Probleme bislang seitens des Gesetzgebers nicht gelöst sind, sollten Behörden & Co. Eigeninitiative zeigen und eigene Regelwerke zum Einsatz von KI entwerfen. Es gilt, puren Aktionismus zu vermeiden und auf kontrollierte Nutzung zu setzen:

  • Verwenden Sie berufliche Chatbots-Accounts statt Privatkonten: Legen Sie zudem eine spezielle E-Mail-Adresse für die Nutzung an.
  • Personenbezogene Daten weder eingeben noch ausgeben: So vermeiden Sie Rückschlüsse auf Personen wie Geschäftspartner, Kunden o. ä.
  • Chatverlauf und KI-Training abschalten: Lehnen Sie die Verwendung Ihrer Daten zu Trainingszwecken ab. So vermeiden Sie die Verknüpfungen von Eingaben zu nur einer Person.
  • Ergebnisse gegenprüfen auf Richtigkeit: Es ist möglich, dass die gewünschten Resultate nicht aktuell oder inkorrekt sind. Es wurde bereits mehrfach bewiesen, dass sich ChatGPT auch Antworten ausdenkt.
  • Compliance-Regeln festlegen: Behörden sollten festlegen, ob das Tool und welche anderen Tools gegebenenfalls verwendet werden dürfen, sonst droht unkontrollierte Nutzung.
  • Datenschutzbestimmungen und Sicherheitsanforderungen: ChatGPT, Copilot & Co. sollten so implementiert und eingesetzt werden, dass die Vorgaben von DSGVO, BDSG und Richtlinien speziell für die öffentliche Hand gewährleistet sind.
  • Transparente Verarbeitungsrichtlinien: Setzen Behörden ChatGPT oder ein anderes Sprachmodell ein, sollten sie offen kommunizieren, wie die erhobenen und gesammelten Daten vom KI-System verarbeitet und gespeichert werden.
  • Schulen Sie Ihre Mitarbeitenden zu KI-Systemen: Erklären Sie ihnen, wie und in welchem Umfang sie KI-Tools nutzen dürfen und bspw. auch in Bereichen wie Prompt Engineering.
  • Sensibilisieren Sie Ihre Mitarbeitende für Datenschutzrisiken: Bedenken Sie auch Weitergabeverbote nach dem Sicherheitsüberprüfungsgesetz (SÜG) und andere Regelungen bei behördlichen Fällen.
  • KI-Wissen verbreiten: Im Verwaltungsapparat sind mehr Mitarbeitende und Teams gefragt, die über datenanalytische Expertise verfügen. Sorgen Sie dafür, dass nicht nur einzelne Mitarbeitende verstehen, wie KI-Systeme funktionieren. Bei Umbesetzungen, Kündigungen o. ä. geht so Fachkompetenz nicht verloren.

KI-Governance heißt auch Sicherheitsrisiken eindämmen

Aber auch die mangelnde Akzeptanz seitens der Arbeitnehmer durch fehlende Vorgaben und Richtlinien zum Thema KI-Governance sowie unkontrollierte Nutzung von KI und daraus resultierende erhöhte Compliance-Kosten sind laut der ESET Sicherheitsprofis nicht zu vernachlässigende Faktoren. Auch gibt es bereits einige Projekte, die sich weiterführende Gedanken zur IT-Sicherheit machen, wie zum Beispiel bei Angriffsfällen vorgegangen wird. Wie ließe sich in dem Fall eine Notabschaltung der KI technisch realisieren? Um Sicherheitsrisiken einzudämmen, sollte der öffentliche Sektor auf folgende Schutzmechanismen und Vorgaben setzen:

  1. Sichere Authentifizierung: Chatbot-Accounts bergen ein gewisses Missbrauchsrisiko.  Zugriffskontrollrichtlinien (wer darf was wann wo machen?), starke Passwörter und Authentifizierungsprozesse sind Pflicht.
  2. Verschlüsselung: Alle an und von der KI übermittelten Daten sollten verschlüsselt sein, um Fremdzugriffe zu unterbinden.
  3. Gerätepolitik: Mit einer einheitlichen, internen Richtlinie zu Geräten, die im Unternehmen genutzt werden dürfen, wird IT-Wildwuchs vermieden und klar die Trennung zwischen privat und beruflich vollzogen.
  4. Notfallplan: Für den Extremfall sollte ein Notfallplan verfügbar sein, der nach einem Hackerangriff bei einem Systemausfall greift und der Administrator umgehend Schritte einleiten kann.
  5. Sicherheitslösung: Alle Systeme sollten mit einer modernen Security-Lösung ausgestattet sein, die fortschrittliche Technologien wie Künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen, um verdächtige Aktivitäten in Echtzeit zu identifizieren und Maßnahmen einzuleiten.
  6. Tests und Updates: Regelmäßige Tests und Updates der Software und Anwendungen sind Pflicht, um die Systeme aktuell zu halten.

Fazit & Ausblick:

Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 den „AI Act“ verabschiedet und einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union gesetzt. Damit werden KI-Tools bestimmten Risikogruppen zugeordnet. Je höher das Risiko, umso höher werden wohl Pflichten und Anforderungen. Doch Verwaltungen gewinnen jetzt schon, wenn sie ihre internen Richtlinien und Risikomanagement auf die Einbindung von KI abstimmen. So sind sie in der Lage, Gesetzesvorgaben schneller umzusetzen, Kosten zu senken und Innovationen voranzutreiben. Gelingt Behörden die erfolgreiche Implementierung, erledigt am Ende die KI die Fließbandarbeit.