Governance statt Schatten-KI

Künstliche Intelligenz ist in der Schweiz längst Realität: Fast jede zweite Person nutzt bereits KI-Tools – bei den Jüngeren sind es über 80 %. Doch während die private Nutzung boomt, hinken Unternehmen hinterher: Nur ein Bruchteil verfügt über klare KI-Strategien. Das größte Risiko? Shadow AI. Mehr als die Hälfte der Mitarbeitenden weltweit verwendet nicht autorisierte KI-Anwendungen – oft mit sensiblen Daten. Auch in der Schweiz wächst diese Schattennutzung rasant und gefährdet Compliance und Sicherheit. Unternehmen müssen jetzt handeln, um Innovation und Governance in Einklang zu bringen. 

Diese Herausforderung wird durch die ausserordentlich dynamische Entwicklung der KI-Landschaft verschärft. Neue Modelle, Services und Anbieter entstehen in einem Tempo, das traditionelle IT-Governance-Prozesse überfordert. Gleichzeitig geraten dadurch IT-Budgets noch mehr unter Druck, während der Investitionsspielraum begrenzt bleibt. Im Spannungsfeld zwischen Innovation, Risiko und Kosten stellen sich insbesondere die folgenden Herausforderungen: 

• Mitarbeitende bringen fast täglich neue Ideen für den Einsatz von KI-Anwendungen und möchten diese nutzen, wie sie es bereits privat tun.
• Führungskräfte möchten den strategischen Anschluss an diese Schlüsseltechnologie nicht verpassen. Sie bekommen Angebote von Firmen, die auf den ersten Blick sehr attraktiv erscheinen und sind oft überfordert, um eine kritische Beurteilung zu machen.
• IT-Organisationen sind oft noch nicht bereit für den sicheren Betrieb und die Integration von KI-Anwendungen. Die Herausforderung: für Entscheider liegt nun vor allem darin, eine ausgewogene Balance im „magischen Dreieck“ aus Innovation, Risiken und Kosten zu finden. Sie benötigen Lösungsansätze, die sowohl die Innovationskraft ihrer Organisation freisetzen als auch die damit verbundenen Risiken und Kosten beherrschbar machen. Der Schlüssel liegt in einer durchdachten KI-Governance, die Flexibilität und Kontrolle miteinander verbindet.

Der Einsatz generativer KI bringt häufig eine Reihe von Risiken mit sich, die nicht immer allen bewusst sind und selten aktiv gemanagt werden: 

• Schatten-KI: Ungeregelte Nutzung durch Mitarbeitende führt zu Kontrollverlust und Sicherheitsrisiken
• Unkontrollierte Kosten: Fehlende Regeln für Lizenzen, Tokennutzung und Cloud-Verträge können Budgets sprengen
• Compliance- und Datenschutzrisiken: Unklare oder fehlende Richtlinien, um die Weitergabe sensibler Daten an externe Anbieter zu verhindern
• Strategische Abhängigkeiten: Der unkoordinierte Einsatz vieler Tools schafft schwer kontrollierbare Abhängigkeiten 

Um generative KI erfolgreich einzuführen, braucht es einen Ansatz, der das Sammeln von Erfahrungen ermöglicht, Flexibilität bewahrt und Unabhängigkeit sichert – und zwar bei minimalen Investitionen. 

Der pragmatisches Ansatz einer «Plattform für zentrale KI-Services» kombiniert drei Schichten: 

• Benutzeroberfläche:  Eine zentrale Plattform als einheitlicher Zugangspunkt und Servicekatalog für alle KI-Anwendungsfälle. Sie abstrahiert technische Komplexität und bietet standardisierte Services über das Intranet.
• Steuerungsschicht vermittelt zwischen Anwendungsfällen und technischer Umsetzung. Sie ermöglicht Steuerung, Überwachung und sichert die Grundlagen für einen sicheren, kosteneffizienten Einsatz.
• Technische Umsetzung (Backend): Flexible Architektur für die Umsetzung der KI-Services – von Cloud-Lösungen („KI as a Service“) über gehostete Modelle bis hin zu On-Premise-Optionen.

• Strategische Steuerung: Die KI-Plattform erlaubt verschiedene technische Implementationsmöglichkeiten gegeneinander zu testen und zentral zu evaluieren. Das modulare Konzept erlaubt auch die schrittweise Integration neuer Funktionen und Anwendungsfälle.
• Beschaffungsoptimierung: Die KI-Plattform erlaubt das Sammeln wichtiger Informationen wie Tokenverbrauch, effektive Nutzernachfrage für Anwendungsfälle usw. Durch das überschaubare Investitionsvolumen, welches für die Plattform nötig ist, kann eine Fehlallokation verhindert werden und die Beschaffung einer operativen Plattform at scale optimiert werden. Da die KI-Plattform auch die Nutzung von genKI-Modellen bei verschiedenen Anbietern und die Integration mehrerer Lizenzen ermöglicht, verbessert sich die Verhandlungsposition gegenüber Anbietern.
• Kostenkontrolle: Durch das Dashboard der KI-Plattform und die Integration von IAM-Systemen wie z.B. Active Directory kann nicht nur der Zugang zur Plattform gesteuert werden, sondern auch die effektive Nutzung gut gemessen werden. Das erlaubt eine granulare Kostenkontrolle im Gegensatz zum Ansatz «auf gut Glück» Lizenzen oder Infrastruktur zu beschaffen.
• Risikomanagement: Im Rahmen der Umsetzung von Anwendungsfällen können die einzelnen Risiken erfasst und bewertet werden und die Steuerungsschicht der KI-Plattform erlaubt die Durchsetzung gewisser Compliance-Regeln.

Die Realisierung einer KI-Plattform auf Basis der aufgezeigten Architektur hilft Organisationen, erste Erfahrungen mit generativer KI zu sammeln. Sie bietet einen zentralen, einfachen Zugang für Mitarbeitende. Ausserdem vereinfacht er die Administration, hilft Kostenoptimierung und reduziert das Risiko von Schatten-KI. 
  

Eine solche KI-Plattform hat auch ihre Grenzen: 
  

• Keine Ersatz für KI-Strategie 
  Die KI-Plattform ersetzt keine übergeordnete KI-Strategie und Governance-Strukturen. Governance-Strukturen und Prozess-Transformation müssen separat definiert werden. 
   
• Wahl passender Anwendungsfälle  
  Vorab ist eine Potenzialanalyse nötig, um eine solche KI-Plattform sinnvoll einzusetzen. Die Beschränkung auf einzelne Anwendungsfälle muss zur Organisation passen. Insbesondere wenn der KI-Einsatz auf vertrauliche oder geheime Daten erfolgen soll, ist die vorgeschlagene Architektur notwendig. Falls jedoch der Einsatz von integrierten Lösungen wie CoPilot oder KI-Agenten möglich ist, d.h. die Datenschutzanforderungen und die rechtlichen Richtlinien dies zulassen, ist der Einsatz einer solchen KI-Plattform wenig sinnvoll. Deshalb sollte vorher eine Potentialanalyse durchgeführt werden, für welche Anwendungsfälle bzw. welche Benutzerkreise dieser Ansatz relevant sind. 
   
• Kein Ersatz für Change Management 
  Auch wenn die KI-Plattform den Einstieg in die Anwendung von KI-Technologien erleichtert, braucht es zusätzlich Change-Management-Massnahmen. Nebst Kurse für den wertsteigernden Einsatz von KI für alle Mitarbeitenden sind auch KI-Kurse für Führungskräfte relevant, um die strategischen und organisatorischen Herausforderungen des KI-Einsatzes sowie deren Chancen zu verstehen, die Grundlagen für das Fällen von Entscheiden zu diesem Themengebiet zu haben.  

Nadine Tschichold leitet unsere Beratungspraxis für den öffentlichen Sektor. Sie engagiert sich für die Förderung von Innovation und digitaler Transformation im öffentlichen Sektor in der Schweiz und deckt dabei Bund, die Kantone und die Gemeinden ab. Bevor sie zu ELCA kam, leitete Nadine Tschichold den Aufbau des Projektmanagements bei der MeteoSchweiz, wo sie zahlreiche Projekte leitete und begleitete, darunter auch organisationsübergreifende Projekte in Zusammenarbeit mit verschiedenen Bundesämtern.  Nadine Tschichold begann ihre berufliche Laufbahn in einer grossen Beratungsfirma, nachdem sie an der ETH Zürich ihren Master in Informatik und ihr Doktorat in Neuronalen Netzen und KI abgeschlossen hatte.

Nicolas Zahn ist Senior Manager in unserem Büro in Zürich. Nicolas hält einen Master of Arts in International Affairs des Graduate Institute Geneva. Er befasste sich während eines Fellowship Programms intensiv mit der digitalen Verwaltung und schloss hierfür Arbeitsaufenthalte bei der OECD, in Singapur, Estland und einem deutschen Think-Tank ab. Bei ELCA liegt sein Schwerpunkte in der Beratung für die Digitale Transformation inkl. KI mit der Abdeckung verschiedener Aspekte, beginnend von der Erarbeitung einer entsprechenden. Strategie, strategische Ausrichtung von Business und IT, bis zur Leitung Umsetzung der erarbeitet.