KI mit Weitblick: Wie die CONVENTIC GmbH Unternehmen hilft, Künstliche Intelligenz sinnvoll einzusetzen

Herr Maurer, welche zentralen Bereiche eignen sich aus Ihrer Sicht besonders gut für den Einsatz von generativer KI, um die Geschäftsprozesse zielgerichtet zu optimieren?

Einen sehr guten Einstieg bieten aus unserer Sicht immer die Dinge, die stark repetitiven und gegebenenfalls auch händischen Charakter haben, wie das Abtippen oder Eingeben von Daten. Diese Prozesse sind von Natur aus schon relativ stark fehlerbehaftet, sodass es auch nicht schlimm ist, wenn eine KI – die sich ja kontinuierlich verbessern lässt – zu Anfang noch nicht zu 100 Prozent fehlerfrei ist. Bei Erst-Terminen frage ich auch Kunden gerne, was faktisch am meisten nervt, wo also im Tagesgeschäft viel Nachbearbeitungsaufwand oder viele Fehler oder beides entstehen.

Lohnt es sich, mit den kleinen Sachen anzufangen oder sollte man stets das große Ganze im Blick behalten?

Wir empfehlen, einen möglichst unkomplizierten Einstieg zu wählen. Es geht gerade am Anfang auch darum, zu verstehen, wie KI funktioniert und was KI kann. Künstliche Intelligenz kann Fehler machen; da geht es auch darum, auf Kundenseite eine belastbare Erwartungshaltung zu entwickeln – und ein Gefühl, was mit wie viel Aufwand realisierbar ist. Das richtige Gefühl bekommt man mit kleineren Projekten wahrscheinlich einfacher und mit weniger Risiko, als wenn man direkt voll einsteigt. Ohne das große Ziel und die Vorstellungskraft ergibt nicht alles Sinn. Man muss ja keine KI entwickeln, nur um ihrer selbst willen. Aber eine gute Strategie kann sein, nach und nach viele kleine Prozesse mithilfe von KI zu automatisieren – und diese gegebenenfalls auch zu einem großen Ganzen zusammenzufügen. Das hängt insgesamt auch immer davon ab, wie Strukturen und Prozesse aussehen, wie die eigene Affinität zur Technologie ist und wie die eigene Vorstellungskraft.

Die Anwendung von KI verändert auch die Aufgaben- und Rollenverteilung in Teams. Welche Kompetenzen werden für Mitarbeitende in Zukunft besonders wichtig werden?

Auch hier geht es um die Vorstellung, was machbar und sinnvoll ist – und das geht meines Erachtens damit einher, wie stark man sich auf das Thema einlassen kann oder will. Wenn ich gegen die neue Technologie bin und mich nicht darauf einlasse, agiere ich wahrscheinlich Angst-behaftet. Doch Angst ist nie ein guter Ratgeber. Wenn ich mich aber darauf einlasse und damit erstmal experimentiere und dann damit arbeite, kann ich feststellen, ob und wo die KI eine Hilfe ist – und eben auch wo nicht. KI kann in weiten Teilen wie schon gesagt insbesondere repetitive und damit wahrscheinlich unbequeme oder unbeliebte Arbeiten übernehmen. Oder sie hilft mir dabei, schneller, besser und effizienter zu werden. Manche Arbeiten und Arbeitsfelder fallen damit weg, wir sehen das schon in einigen Bereichen.

Pauschal lässt sich die Frage nach einer Kompetenzverlagerung also nicht beantworten. Wenn ich eh in einem Hochtechnologie-Bereich wie der Softwareentwicklung bin, suche ich nach Möglichkeiten, um die KI so zu nutzen, dass wir noch schneller bessere Software entwickeln können. Software-Entwicklern muss ich nicht beibringen, wie man einen Prompt formuliert. Wenn ich aber in der herstellenden Industrie bin, geht es vielleicht darum, den Prozess so zu verändern, dass mit neuen Anwendungen gearbeitet wird, die dann vielleicht KI beinhalten – ohne dass es der Anwender auf Anhieb merkt oder sich überhaupt mit einem Prompt befassen muss. Unterm Strich sind Offenheit, Flexibilität und insbesondere auch Kreativität umso wichtiger, je näher wir uns der Technologie und der Komplexität der Sprachmodelle nähern. Kreativität ist aus meiner Sicht deswegen wichtig, weil KI gerade einen unglaublich weiten Raum eröffnet, wie man Lösungen angehen kann.

KI-Modelle entwickeln sich rasant weiter. Wie stellt die CONVENTIC GmbH sicher, dass neue technologische Möglichkeiten schnell in den Workflow sowie in Kundenprojekte integriert werden können?

Gute Frage (lacht). Auf den ersten Blick scheint dies ähnlich herausfordernd zu sein wie die Quadratur des Kreises. Das geht nur mit intrinsischem Interesse an der Technologie und strukturierten Ansätzen. Wir fahren intern schon lange die Strategie, Dinge zu prüfen und für gut befundene Technologien in unser Standard-Portfolio aufzunehmen. Dort muss eine Technologie natürlich nicht ewig bleiben. Dies hilft uns aber, uns zu fokussieren. Wir scouten also bewusst Technologie und haben darin Einiges an Erfahrung – und auch etablierte Prozesse. Auf diese Weise müssen wir nicht jeden Hype mitmachen. Die guten Sachen setzen sich vor allem mittel- bis langfristig durch. Das unterscheidet uns auch von den von mir „Tool-Päpsten“ genannten Leuten. Ein KI-Tool hat bei circa 4.000 KI-Start-ups alleine in den USA natürlich statistisch gesehen schon einen überschaubaren Lebenszyklus. Deswegen machen wir die Tool-Hypes im Allgemeinen auch nicht mit. Das würde uns nur ablenken. Wir schauen lieber darauf, wie profund eine Technologie oder auch ein Anbieter ist. Oder wie mit Daten mit Blick auf Compliance und Datenschutz umgegangen wird – oder wo diese Daten prozessiert werden.

Wo sehen Sie auch Grenzen von multimodalen Sprachmodellen und Co., beispielsweise in der Kundenkommunikation?

Grundsätzlich sind die Sprachmodelle ja mittlerweile so schlau, dass sie zu vielen Themen auf dem Niveau eines promovierten Spezialisten etwas Sinnvolles sagen können. Dass man grundsätzlich alles weiß, ist aber meist noch keine Lösung.
Das System muss das gewünschte Grundverhalten mit etwaigen Ausnahmen kennen. Es muss also reagieren können. Gerade die Ausnahmen sind ein Problem. Als Mensch reagiert man intuitiv. Die KI agiert hingegen auf Basis von Wahrscheinlichkeiten und nur in vordefinierten Szenarien richtig gut. Ein Voice-Bot in der Kundenkommunikation kann die wichtigsten Infos vermitteln oder einsammeln. Das ist nicht mehr kompliziert, damit arbeiten wir auch. Wenn aber etwas Ungewöhnliches passiert, stößt der Nutzer hier an Systemgrenzen in Form von unbefriedigenden Antworten oder unpassenden Fragen, was frustrieren kann. Was nicht ungewöhnlich ist, definieren wir im Training und der Konfiguration des KI-Systems zusammen mit unseren Kunden. Ich sage beispielsweise unserem Voice-Bot, dass er Leuten, die uns etwas verkaufen wollen, keine weiteren Informationen gibt, während potenzielle Bewerber dann die E-Mail-Adresse der HR-Abteilung bekommen.

Die Kunst sowie die Problematik besteht also darin, das Unvorhergesehene im Sinne des Seltenen zu erahnen – und als Anwendungsfall abzudecken. Das geht natürlich nicht alles von Anfang an vollumfänglich. Wie gesagt, man muss sich herantasten, um ein KI-System zu verbessern. Das heißt vor allem, dies iterativ und kontinuierlich zu tun. Das bedeutet auch, dass man Fehlverhalten akzeptieren und aushalten muss. Also nicht gleich beim ersten oder auch beim dritten Fehler alles wieder hinwirft und das Projekt einstampft. KI ist als Ausprägung von Digitalisierung ein kontinuierliches Vorgehen, ein Konzept und kein Fire-and-Forget.

Ein anderer Punkt: Es geht darum, ein KI-System mit all seinen Komponenten so zu bauen, dass es mittel bis langfristig mit möglichst wenig Wartung das tut, was es soll.* Das ist mit Blick auf die sich schnell verändernden Technologien natürlich schwer. Wir schießen sozusagen auf bewegliche Ziele. Die KI-Lösungen von vor zwei Jahren leisten das* unserer Erfahrung nach nur noch bedingt, wenn überhaupt. Da sehe ich das größere Problem, weswegen wir dazu übergegangen sind, die Kundensysteme im Sinne einer Dienstleistung wieder mehr kontinuierlich in Form von Wartungsverträgen zu betreuen. Man macht kleinere, aber kontinuierliche Änderungen und hält das System mit Blick auf den Stand der Technik aktuell. Es geht meines Erachtens nur so.

Nun zum Thema Datensicherheit. Der US CLOUD Act sorgt in vielen Unternehmen für Unbehagen, vor allem, wenn es um den Umgang mit sensiblen Daten geht. Wann besteht akuter Handlungsbedarf für Unternehmen, die auf Cloud-Lösungen der großen US-Tech-Konzerne prinzipiell nicht verzichten möchten?

Das hängt in erster Instanz von den in der Cloud verwalteten Daten und dem eigenen Sicherheitsbedürfnis ab. Das Problem ist hier aus meiner Sicht, dass das Schutzbedürfnis und die gefühlte Sicherheit einhergehen, die tatsächliche Sicherheit aber nicht in der erwarteten Form gegeben ist. Die gefühlte Sicherheit ergibt sich aus Gewohnheit und den Marketingversprechen der Anbieter. Am Beispiel von Microsoft ist es sehr einfach, weitere Lizenzen zu erwerben. Die großen Systemhäuser blasen ins gleiche Horn. Sie leben ja gut von den Lizenzen und den peripheren Dienstleistungen. Ein Ökosystem, das sich im Grunde selbst am Laufen hält, die notwendige Komplexität dazu hat man ja über Jahre aufgebaut. Technisch gesehen gibt es wahrscheinlich keinen Grund, dass bei Microsoft Sharepoint wie ein Zombie überall im Hintergrund noch werkelt, das schafft nur unnötige Komplexität und eben auch Sicherheitsrisiken. Google hat in wenigen Jahren eine Cloud bereitgestellt, die sich viel einfacher administrieren lässt und wo es nebenbei deutlich weniger Sicherheitsvorfälle gibt.

Aber zurück zu den Daten: Ein Hauptproblem der US-Anbieter ist die aktuelle US-amerikanische Gesetzeslage. Der US Cloud Act gibt den Anbietern vor, dass die US Administration selbst dann auf Daten zugreifen darf, wenn die Daten physikalisch in Europa liegen. Ich denke, das muss man sich kurz auf der Zunge zergehen lassen. „Ein Schelm, wer Böses dabei denkt…“ Ich glaube, dass man als Unternehmen mit kritischen Daten, Geschäftsgeheimnissen und eigenen Patenten oder ähnlichen Assets sehr auf der Hut sein sollte. In Zeiten einer Trump-Administration wette ich keinen kleinen Finger darauf, dass es hier nicht auch um Geschäftsgeheimnisse geht, mit anderen Worten darum, Wirtschaftsspionage ein Stück weit zu legitimieren.

Nimmt man dann noch die Sicherheitsvorfälle der letzten Zeit dazu, beispielsweise das „Abhandenkommen“ des Master Keys der Microsoft Azure Cloud, der dann in China gesichtet wurde oder das gezielte und selektive Abschalten der Cloud-Services von Azure per Executive Order des ICC und seines Chefanklägers wird klar, dass wir hier über politische und wirtschaftspolitische Interessen und Motivationen sprechen.

Am Ende geht es um Resilienz, also die Fähigkeit, sein Geschäft oder sein Unternehmen unter widrigen Bedingungen weiter zu betreiben. Solange man nicht zu den Ausgespähten oder Ausgeschlossenen gehört, ist ja alles gut. Ich spreche ja nicht dafür, morgen alles bei Microsoft zu kündigen. Aber Resilienz bedeutet, den Worst Case einmal durchzuspielen und zu schauen, wann die Backups wieder anlaufen. Wir empfehlen außerdem sicherzustellen, dass die Daten, wenn sie auf einer US-Cloud liegen, mit einem eigenen Key verschlüsselt sind. Es gibt einige Beispiele von Unternehmen, die Opfer von Crypto-Trojanern wurden und danach insolvent. Die waren dann erpressbar und offensichtlich nicht resilient.

Welche Empfehlung geben Sie Firmen, die ihre Datenhoheit und Compliance keinesfalls aus der Hand geben möchten?

Da gibt es meines Erachtens nur einen Ansatz: Kein Vertrauensvorschuss. Nur wenn wir mit minimalen Berechtigungen (Need-to-know-Prinzip) zu Werke gehen, können wir sicherstellen, dass unsere Daten nicht in unvorgesehener Weise exponiert werden. Warum vertrauen wir den großen Anbietern so stark? Mir drängt sich hier der Vergleich zur Abhängigkeit von Russischem Gas auf. Weil es bequem ist? Meine Empfehlung wäre, immer einen Plan B zu haben. Ein Plan B ist nicht bequem, er ist unbequem und erfordert Zeit und Geld und sich mit Eventualitäten zu beschäftigen. Aber eine Absicherung ist eine Absicherung, die ich eben nur brauche, wenn was passiert. Ich meine, mit dem Geschäftsmodell arbeiten Versicherungen doch schon lange! Warum sollte die gleiche Logik, die ich akzeptiere, wenn es um einen Zahnersatz geht, nicht auch tragen, wenn es um die weitere Existenz meines Unternehmens geht?

Faktisch gesehen heißt das, echte Unternehmens-Geheimnisse auch so zu behandeln wie ein rohes Ei. Man muss schauen, wo liegen die Daten, wer hat Zugriff, was kann passieren, wenn die abhandenkommen oder was kann ein anderer (Konkurrent, Hacker, …) damit im schlimmsten Fall anfangen? Das kann am Ende auf eine Multi-Cloud-Strategie hinauslaufen. Oder eben auch daraufhin, einige Dinge in der eigenen Hoheit zu hosten. Im Kontext von KI ist hier neben der Gesetzeslage auch aus eigenem Interesse darauf zu achten, welche Daten wo zu finden sind. Denn die KI kann eines sehr gut: Muster in Daten erkennen und gemäß der Vorgaben auswerten.