Was ist eine KI-Richtlinie?

Eine KI-Nutzungsrichtlinie ist ein formales Regelwerk, das festlegt, wie Mitarbeiter generative KI-Tools und KI-Services nutzen können. 

Ihre Teams machen sich zunehmend mit KI-Plattformen wie ChatGPT und anderen Tools vertraut, die Kreativität und Effizienz fördern – doch im Zuge dessen können unbeabsichtigt neue Risiken entstehen. Ohne klare Leitlinien könnten Mitarbeiter sensibles geistiges Eigentum, Kundendaten oder interne Zugangsdaten in öffentliche KI-Modelle eingeben und eine signifikante Cyber Exposure für Ihr Unternehmen verursachen.

Eine effektive KI-Nutzungsrichtlinie sieht Leitplanken vor, damit Ihr Unternehmen Innovationen auf sichere Weise umsetzen kann. Sie legt klare Do’s und Dont’s fest, schützt die Assets des Unternehmens und schafft ein formelles Verfahren zur Prüfung von neuen Technologien. Eine Richtlinie für KI-Nutzer präzisiert zulässige und untersagte Einsatzzwecke und grenzt in klarer Form ab, welche Sicherheitsvorkehrungen beim Umgang mit Daten einzuhalten sind und wer Zugriff auf welche Tools hat. Darüber hinaus legt sie den Genehmigungs- und Onboarding-Prozess für neue KI-Technologien fest.

Eine solide Richtlinie für KI-Nutzer ist ein grundlegender Bestandteil Ihrer übergreifenden Cybersecurity-Strategie und darüber hinaus der Ausgangspunkt zur Absicherung von KI im gesamten Unternehmen. 

Sehen Sie selbst, wie die Exposure Management-Plattform Tenable One Ihnen helfen kann, Ihre gesamte KI-Exposure und sämtliche KI-Risiken zu managen.

Eine solide KI-Nutzungsrichtlinie ist klar, umfassend und für alle Beteiligten leicht verständlich. Unklarheit wird durch klar definierte Regelungen ersetzt, die Ihre Mitarbeiter und Ihr Unternehmen schützen. Richtlinien können an Ihre spezifische Branche und individuelle Risikobereitschaft angepasst werden, doch eine Richtlinie zur Nutzung von generativer KI sollte stets auf den folgenden fünf tragenden Säulen aufbauen.

1. Anwendungsbereich und Rollen

In diesem Abschnitt wird festgelegt, für wen die Richtlinie gilt und was genau sie abdeckt. Hier sollte klar angegeben werden, welche Mitarbeiter, Abteilungen und Unternehmensumgebungen die Regelungen befolgen müssen. Darüber hinaus werden Zuständigkeiten zugewiesen und die jeweiligen Pflichten von Mitarbeitern, Vorgesetzten und dem KI-Governance-Team festgelegt (z. B. CIO, Rechtsabteilung, InfoSec), um Verantwortlichkeit zu gewährleisten. Die Abklärung des jeweiligen Anwendungsbereichs und der entsprechenden Rollen ist ein zentraler Bestandteil von KI-Richtlinien für Mitarbeiter.

2. Autorisierte Tools und untersagte Anwendungsfälle

Ihr Unternehmen sollte eine kuratierte Liste mit genehmigten KI-Tools und KI-Agents führen, die zuvor von der Sicherheits- und Rechtsabteilung geprüft wurden. Dieser Abschnitt sollte darüber hinaus konkrete Beispiele für untersagte Aktivitäten enthalten. Hierzu könnte beispielsweise die Nutzung von nicht genehmigten KI-Plattformen oder die Nutzung von KI für Aktivitäten zählen, die illegal sind oder gegen ethische Grundsätze oder Unternehmensstandards verstoßen.

3. Regelungen für den Umgang mit Daten und Datenschutz

Regelungen für den Umgang mit Daten und Datenschutz zählen zu den kritischsten Komponenten einer KI-Richtlinie. Hier muss ausdrücklich festgelegt werden, Daten welcher Art Mitarbeiter niemals in öffentliche KI-Tools eingeben dürfen, darunter persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI), geistiges Eigentum, Quellcode und Finanzdaten des Unternehmens. Bieten Sie Mitarbeitern klare Empfehlungen zu der Frage, wann und wie Techniken zur Maskierung bzw. Anonymisierung von Daten eingesetzt werden sollten.

4. Der Governance- und Veränderungsprozess

Ihre Richtlinie zur Nutzung von KI durch Mitarbeiter sollte mit der Weiterentwicklung Ihrer KI-Technologien Schritt halten. Dieser Abschnitt enthält eine detaillierte Beschreibung des Workflows, mit dem Mitarbeiter eine Prüfung und Genehmigung von neuen KI-Tools veranlassen können. Darüber hinaus sollten hier die Entscheidungskriterien dargelegt werden, die Ihr Governance-Team zur Genehmigung bzw. Ablehnung eines Tools heranzieht, wie etwa Datensicherheitsprotokolle, Datenschutzrichtlinien, Stabilität des Anbieters und Datenresidenz.

Wichtige Prüfkriterien für neue KI-Tools

• Sicherheitsprotokolle
  • Prüfen Sie die Sicherheitsaufstellung des Anbieters.
  • Verfügt der Anbieter über Zertifizierungen wie SOC 2?
  • Wie verschlüsselt der Anbieter Daten während der Übertragung und im Ruhezustand?
  • Wie sehen die Vulnerability Management- und Incident Response-Prozesse des Anbieters aus?
• Datenschutzrichtlinie
  • Machen Sie sich ein Bild davon, wie der Anbieter mit Ihren Daten umgeht.
  • Ist in der Richtlinie des Anbieters ausdrücklich angegeben, wie die Einhaltung der für Ihr Unternehmen relevanten Vorschriften unterstützt wird? (z. B. HIPAA, PCI DSS usw.)
  • Besonders kritisch: Nutzt der Anbieter Prompts und Inputs von Kunden zum Training seiner Modelle?
  • Bestehen Opt-out-Möglichkeiten?
  • Wie sehen die Datenaufbewahrungsrichtlinien des Anbieters aus?
• Stabilität des Anbieters
  • Der KI-Markt ist volatil. Fragen Sie Ihr Team nach den Geschäftsrisiken, die mit der Nutzung eines ungeprüften neuen KI-Tools verbunden sind.
  • Berücksichtigen Sie die Finanzlage, Marktreputation und langfristige Zukunftsfähigkeit des jeweiligen Anbieters, bevor Sie Tools in kritische Workflows einbinden.
• Datenresidenz
  • Bringen Sie in Erfahrung, an welchem geografischen Standort der Anbieter Ihre Daten speichert und verarbeitet. Dieser Aspekt ist zur Einhaltung von Vorschriften wie DSGVO und CCPA unerlässlich.
  • Stellen Sie sicher, dass sich die Rechenzentren des Anbieters in Regionen befinden, die Ihren Compliance-Anforderungen entsprechen.

5. Sichere Nutzung 

Nicht zuletzt sollte die Richtlinie wichtige Grundsätze der sicheren KI-Nutzung in den Vordergrund stellen und Mitarbeitern als Brücke dienen, die ihnen den Weg zu Praxisbeispielen aus dem Alltag weist – und nicht zu riskanten Prompts. Dies unterstreicht die Kernbotschaft – nämlich dass Mitarbeiter stets verifizieren sollten, ob KI-generierte Inhalte zutreffend sind, und dass jedes Teammitglied letztlich für seine Arbeit verantwortlich ist.

Eine Richtlinie ist nur dann effektiv, wenn Mitarbeiter sie bei ihrer täglichen Arbeit anwenden können. Führen Sie konkrete Beispiele für sichere vs. unsichere Verhaltensweisen bei der Eingabe von Prompts an, um Mitarbeitern die Regelungen zu verdeutlichen. Auf diese Weise werden abstrakte Prinzipien (wie z. B. „Schutz von Unternehmensdaten") in handlungsorientierte Empfehlungen für unterschiedliche Rollen in Ihrem gesamten Unternehmen übersetzt.

Do’s und Dont’s der KI-Nutzung: Eine kurze Checkliste

Nutzen Sie diese Checkliste als Ausgangspunkt für Mitarbeiterschulungen und interne Kommunikation:

• DO Verifizieren Sie die Richtigkeit aller KI-generierten Inhalte, bevor Sie sie verwenden.
• DO Nutzen Sie genehmigte, unternehmensseitig geprüfte KI-Tools für alle beruflichen Aufgaben.
• DO Anonymisieren Sie nach Möglichkeit sämtliche Geschäftsdaten, die Sie in Prompts verwenden.
• DON'T Geben Sie keine persönlich identifizierbaren Informationen (PII) von Kunden, Mitarbeiterdaten oder vertrauliches geistiges Eigentum des Unternehmens in öffentliche KI-Tools ein.
• DON'T Nutzen Sie KI nicht zur Erstellung von Inhalten, die belästigend oder diskriminierend sind oder gegen Unternehmensrichtlinien verstoßen.
• DON'T Stellen Sie KI-generierte Inhalte ohne ordnungsgemäße Prüfung und entsprechende Modifikation nicht als eigene Arbeitsleistung dar.

Beispiele nach Rollen: Sichere vs. unsichere Prompts

Auswahl eines KI-Tools vs. Sicherheit von Prompts

Die folgenden Beispiele verdeutlichen, wie sichere Prompts für öffentliche bzw. allgemein zugängliche KI-Tools verfasst werden können. Doch hochsensible Daten (z. B. Quellcode, nicht-öffentliche Finanzdaten oder PII) erfordern nicht einfach nur Prompt-Sicherheit – hier besteht ein Exposure-Risiko für Daten.

Mitarbeiter sollten nie proprietäre Daten in öffentliche KI-Tools eingeben.

Daten dieser Art erfordern zwingend eine sichere Lösung, die durch das Unternehmen genehmigt wurde. Dies könnten beispielsweise interne LLMs (z. B. ein selbstgehostetes Modell) oder sichere Enterprise-Plattformen (etwa ChatGPT Enterprise) sein, die ausdrücklich garantieren, dass Ihre Daten nicht zu Trainingszwecken verwendet werden und dass außerhalb der Instanz Ihres Unternehmens kein Zugriff besteht.

• Marketing-Szenario
  • Unsicherer Prompt: „Analysiere diese Liste mit E-Mail-Adressen unserer 100 wichtigsten Kunden und Umsatzdaten aus dem 3. Quartal, um neue Ideen für Marketingkampagnen zu entwickeln.“
  • Sicherer Prompt: „Unser Unternehmen vertreibt Cybersecurity-Software für IT-Verantwortliche im Finanzsektor. Schlage mir basierend auf öffentlich zugänglichen Informationen drei Ideen für Marketingkampagnen vor, die bei dieser Zielgruppe Anklang finden würden.“
• HR-Szenario
  • Unsicherer Prompt: „Prüfe diesen Lebenslauf von Jane Doe und Daten aus ihrer Leistungsbeurteilung, um eine Stellenbeschreibung für eine ähnliche Rolle im Unternehmen zu verfassen.“
  • Sicherer Prompt: „Verfasse eine Stellenbeschreibung für einen Senior Software Engineer. Die Stelle erfordert fünf Jahre Praxiserfahrung mit Java, Kenntnisse im Bereich Cloud-Sicherheit und ausgeprägte Kommunikationsfähigkeiten. Es handelt sich um eine Remote-Stelle.“

Eine umfassende KI-Nutzungsrichtlinie steuert das Nutzerverhalten – doch das ist nur die halbe Miete. 

Ihre Richtlinie sollte sich darüber hinaus in Ihre Gesamtstrategie für KI-Sicherheit einfügen: Die technischen Maßnahmen, die Sie zum Schutz von KI-Modellen und KI-Infrastruktur einsetzen. 

Dieser Ansatz stellt sicher, dass Sie menschliche wie auch technologiebasierte Risiken in ganzheitlicher Form managen. Wenn Sie in Ihrer Richtlinie auf technische Sicherheitsstandards verweisen, bringen Sie das gesamte Unternehmen auf eine Linie – vor dem Hintergrund von gemeinsamen Zielsetzungen zur sicheren Nutzung von KI.

Umgang mit den wichtigsten KI-Sicherheitsrisiken

Die zugrunde liegenden technischen Schwachstellen von KI-Systemen sollten in Ihrer KI-Nutzungsrichtlinie nicht außer Acht gelassen werden. 

Bei den OWASP Top 10 für LLMs handelt es sich um ein hervorragendes Framework, das Ihnen ein besseres Verständnis der aktuellen Bedrohungen vermittelt. Doch KI entwickelt sich weiter – ausgehend von simplen Modellen zu autonomen „Agentic-Systemen“ (bzw. KI-Agents). Aus diesem Grund erweist sich das OWASP Agentic AI Security Project immer mehr als kritischer Standard für zukünftige Risiken.

Risiken wie Prompt Injection, Datenlecks und ein unsicherer Umgang mit Outputs können Ihr Unternehmen Angriffen aussetzen, selbst wenn Mitarbeiter die entsprechenden Regelungen befolgen. In Ihrer Richtlinie sollte daher ausdrücklich festgehalten sein, dass Ihr Unternehmen alle neuen Tools vor dem Hintergrund dieser bekannten und neuartigen KI-Sicherheitsrisiken prüfen muss.

Ein effektives Management dieser Risiken erfordert Einblick in die Frage, wie Ihr Unternehmen KI nutzt und wo diese Nutzung zu potenziellen Sicherheitslücken führen könnte. Lösungen wie Tenable AI Exposure können Ihnen helfen, die Nutzung von KI-Systemen in Ihrer gesamten Umgebung zu erfassen und zu bewerten. Dadurch liegen Ihnen Erkenntnisse vor, mit denen Sie Ihre KI-Nutzungsrichtlinie durchsetzen und Ihre Infrastruktur absichern können.

Die praktische Umsetzung Ihrer KI-Nutzungsrichtlinie erfordert funktionsübergreifende Zusammenarbeit, um sicherzustellen, dass die Regelungen praktikabel, gut verständlich und einheitlich durchsetzbar sind. 

Befolgen Sie diesen Prozess in vier Schritten, um eine effektive KI-Nutzungsrichtlinie für Ihr Unternehmen zu entwickeln und umzusetzen.

Schritt 1:Ein KI-Governance-Team zusammenstellen

Ermitteln Sie zunächst die wichtigsten Stakeholder, die für Ihre KI-Nutzungsrichtlinie zuständig sein werden. Dieses Team setzt sich in der Regel aus Mitgliedern der IT-/Sicherheitsabteilung, Rechtsabteilung und Personalabteilung sowie aus Vertretern wichtiger Geschäftsbereiche zusammen. 

Die Gruppe wird für den Entwurf der Richtlinie, die Prüfung neuer Tools und den Umgang mit Ausnahmen zuständig sein. 

Eine feste Ansprechperson ist unerlässlich – für Mitarbeiter, die Fragen haben oder die Prüfung eines neuen Tools veranlassen möchten.

Schritt 2: Die KI-Richtlinie anhand dieses Leitfadens konzipieren

Entwerfen Sie anhand der wesentlichen Elemente oben eine erste Fassung Ihrer KI-Nutzungsrichtlinie. Die Zielsetzung besteht darin, klar und direkt zu formulieren und dabei allzu technischen Fachjargon zu vermeiden, der nicht-technische Mitarbeiter verwirren könnte. 

Die Empfehlung, Inhalte mit starkem technischen Bezug zu vermeiden, ist ein guter Ausgangspunkt für eine KI-Richtlinie, die Mitarbeiter auch lesen werden. Fokussieren Sie sich auf handlungsorientierte Empfehlungen, die Ihren Teams zu intelligenten Entscheidungen bei der Nutzung von KI verhelfen.

Schritt 3: Den Prozess zur Beantragung neuer KI-Tools festlegen

Definieren und dokumentieren Sie den formalen Prozess zur Beantragung neuer KI-Tools durch Mitarbeiter. In diesem Workflow sollte klar angegeben werden, welche Informationen Ihr Prüfungsteam hier benötigt (z. B. Zweck des Tools, Anbieter und ein Link zu dessen Sicherheits- und Datenschutzrichtlinien) und was das Service Level Agreement (SLA) besagt, damit das Governance-Teams eine Entscheidung treffen kann.

Ihr Prozess könnte beispielsweise folgende Schritte umfassen:

• Reichen Sie ein Ticket über Ihr gewöhnliches IT-Serviceportal ein – unter der Spezialkategorie „Prüfung eines KI-Tools“.
• Füllen Sie im Intranet ein standardisiertes Formular mit sämtlichen erforderlichen Informationen für das Governance-Team aus.
• Senden Sie eine E-Mail an einen fest zugeordneten Empfänger (E-Mail-Alias), z. B. an [email protected].

Schritt 4: Kommunizieren und Mitarbeiter schulen

Ihre Richtlinie ist fertiggestellt? Dann ist es Zeit, sie dem gesamten Unternehmen zu präsentieren. Führen Sie Schulungen durch, veröffentlichen Sie die KI-Nutzungsrichtlinie dort, wo sie von Mitarbeitern auch wahrgenommen wird (nicht irgendwo in den Tiefen des Intranets), und veranlassen Sie, dass Mitarbeiter ihre Kenntnisnahme in schriftlicher Form bestätigen. Das eigentliche Kunststück besteht darin, die Richtlinie ansprechend zu gestalten und stets auf dem neuesten Stand zu halten.

Sie möchten sich eingehender mit dem Thema KI-Sicherheit befassen? Näheres erfahren Sie im Tenable Blog.

Unterstützung durch die Geschäftsleitung ist von kritischer Bedeutung: Dies verleiht Ihrer KI-Nutzungsrichtlinie Nachdruck und stellt sicher, dass ihre Durchsetzung im gesamten Unternehmen als Priorität betrachtet wird. Die Richtlinie sollte als strategische Triebfeder und nicht als Einschränkung begriffen werden. 

Eine klare Mitarbeiterrichtlinie zur KI-Nutzung beschleunigt die sichere Einführung von künstlicher Intelligenz im Unternehmen: Statt Unsicherheit liegt ein klarer Handlungsrahmen vor. Sie setzt Rätselraten unter Mitarbeitern ein Ende und zeigt ihnen stattdessen einen „vorschriftsmäßigen“ Weg zu produktiven Innovationen auf, den sie mit Gewissheit einschlagen können. 

Eine klar definierte KI-Richtlinie reduziert Risiken auf direktem Wege:

• Sie verhindert, dass geistiges Eigentum in öffentliche KI-Modelle gelangt
• Sie legt klare Verantwortlichkeiten fest
• Sie stellt sicher, dass KI-Tools einer vollständigen Prüfung auf Sicherheits- und Datenschutzbedrohungen unterzogen werden, bevor Mitarbeiter diese Tools flächendeckend nutzen

Vollständige Sichtbarkeit ist hier der erste Schritt. 

Die Exposure Management-Plattform Tenable One verschafft Ihrem Unternehmen einen einheitlichen Überblick über die gesamte Angriffsfläche – einschließlich Risiken, die durch neue Technologien wie KI entstehen. 

Zur Durchsetzung Ihrer Richtlinie muss zunächst klar sein, was sich in Ihrer Umgebung befindet. Tenable hilft Ihnen, Schatten-KI-Tools und -Agents aufzudecken. Produkte wie Tenable AI Aware umfassen Plugins, die gängige KI- und LLM-Tools erkennen. Dadurch gewinnen Sie den nötigen Einblick, um Ihre Richtlinie anzuwenden. 

Darüber hinaus deckt das Tenable Research-Team Sicherheitslücken in KI-Software von Drittanbietern auf und veröffentlicht sie, um aktiv dazu beizutragen, Ihr gesamtes Ökosystem abzusichern.

Im Zusammenhang mit KI bestehen zahlreiche offene Fragen, insbesondere in Bezug auf Nutzungsrichtlinien. Einige der am häufigsten gestellten Fragen haben wir für Sie zusammengestellt – und möchten sie an dieser Stelle in möglichst klarer Form beantworten.

1. Worin besteht der Zweck einer KI-Nutzungsrichtlinie?

Der Hauptzweck einer KI-Nutzungsrichtlinie besteht darin, Sicherheits- und Datenschutzrisiken zu entschärfen. Sie verhindert, dass Mitarbeiter vertrauliche Unternehmensdaten, geistiges Eigentum oder persönlich identifizierbaren Informationen (PII) von Kunden in öffentliche KI-Modelle eingeben, und senkt dadurch das Datenverlustrisiko für Ihr Unternehmen.

2. Wer ist für die Erstellung einer KI-Nutzungsrichtlinie zuständig?

Die Erstellung einer KI-Nutzungsrichtlinie ist in der Regel ein gemeinschaftliches Unterfangen, das von einem Governance-Team angeführt wird. Dieses Team setzt sich aus Vertretern der IT-/Sicherheitsabteilung, Rechtsabteilung und Personalabteilung zusammen und wird durch Input aus wichtigen Geschäftsbereichen unterstützt.

3. Worin besteht der Unterschied zwischen einer KI-Nutzungsrichtlinie und einer allgemeinen IT-Richtlinie?

Eine allgemeine IT-Richtlinie betrifft die Nutzung von breit zugänglicher Technologie (E-Mail, Internet, Software), eine KI-spezifische Richtlinie geht hingegen auf die besonderen Risiken von generativer KI ein. Hierzu zählen beispielsweise Datenschutzbedenken bei der Prompt-Eingabe, Datenlecks bei geistigem Eigentum und die Generierung von unzutreffenden oder verzerrten Informationen (Bias).

Eine umfassende KI-Nutzungsrichtlinie verhilft Ihrem Unternehmen zu einer zügigen KI-Einführung, ohne dabei Schäden zu verursachen. Sie bietet Ihren Teams die benötigten Leitplanken, um auf sichere Weise mit KI zu experimentieren, schützt Ihre wichtigsten Assets (die sinnbildlichen Kronjuwelen) und schafft zudem ein KI-Governance-Framework, das sich wirklich skalieren lässt.

Das Framework und die Checkliste in diesem Leitfaden können als Kernkomponenten herangezogen werden, um Ihre eigene Vorlage für eine KI-Nutzungsrichtlinie zu erstellen. Berücksichtigen Sie beispielsweise folgende Aspekte:

• Anwendungsbereich der Richtlinie und Zuständigkeiten – Legen Sie klar fest, für wen die KI-Nutzungsrichtlinie gilt und was genau sie abdeckt, und weisen Sie entsprechende Verantwortlichkeiten zu.
• Genehmigte KI-Tools und Nutzungsbeschränkungen – Führen Sie stets eine Liste aller unternehmensseitig geprüften KI-Technologien und zeigen Sie Mitarbeitern auf, wie sie KI nutzen und nicht nutzen sollten.
• Datensicherheits- und Datenschutzstandards – Legen Sie klare Regelungen fest, aus denen hervorgeht, wie mit sensiblen und vertraulichen Informationen zu verfahren ist.
• Leitlinien zur sicheren und verantwortungsvollen Nutzung – Geben Sie Mitarbeitern praktische Ratschläge mitsamt entsprechenden Beispielen für den alltäglichen Umgang mit KI.
• Governance und Prüfprozess für neue Tools – Beschreiben Sie das formale Verfahren zur Prüfung und Genehmigung von neuen KI-Anwendungen.

Wenn Sie diese Leitlinien in einer Richtlinie und einheitlichen Praktiken berücksichtigen, werden aus bestehenden KI-Risiken Triebfedern für den geschäftlichen Bereich, die ein zentrales Element Ihrer Sicherheitskultur bilden.

Unser Leitfaden: KI für Sicherheit vs. Sicherheit für KI