Die Diskussion um Künstliche Intelligenz (KI) ist in vollem Gange. Vorstand, C-Level-Manager und Abteilungsleiter sind sich in vielen Unternehmen einig, dass sie sich mit KI-Anwendungen und -Lösungen ausstatten müssen, um den Anschluss an den Mitbewerb nicht zu verlieren. Dies ist im Einkauf nicht anders als in den Finanz- oder HR-Abteilungen. Es gibt auch bereits zahlreiche valide Anwendungsfälle für den Einkauf: Mit KI lassen sich Prozesse automatisieren, Entscheidungen unterstützen, beispielsweise Lieferanten zielgenau auswählen. Außerdem lassen sich Kosten senken und so die Margen und EBIT steigern. Eine aktuelle Studie des Oxford College of Procurement & Supply geht von Kosteneinsparungen in Höhe von 40 Prozent aus.
Allerdings wissen von denen, die ständig über KI sprechen, nur wenige, worauf sie sich eigentlich einlassen. Sie versuchen häufig, alles zugleich umzusetzen, verlieren den Überblick und büßen stattdessen eher Effizienz ein, statt sie zu gewinnen. Vor allem aber beschäftigen sich viele Unternehmen nicht oder zumindest nicht ausreichend mit der essenziellen Frage, welche Art von KI-Anwendungen ihnen tatsächlich am schnellsten und besten weiterhelfen könnte.
Nur jeder Dritte hat eine Strategie
Von den 400 Teilnehmern an einem Workshop von Ivalua verfügen etwa zwei Drittel der Unternehmen nicht einmal über eine rudimentäre KI-Strategie. Zudem sind sich die wenigsten der Risiken bewusst, die KI-Anwendungen mit sich bringen. Insbesondere auf dem Auge der Informationssicherheit sind die allermeisten buchstäblich blind. Zudem fehlt häufig eine abteilungsübergreifende Strategie, so dass das Rad unter Umständen mehrfach erfunden werden wird.
Das kürzlich verabschiedete europäische KI-Gesetz (AI Act) hat den meisten Verantwortlichen erstmals vor Augen geführt, dass KI nicht in „Wildwest“-Manier umgesetzt werden darf. Es gibt sowohl technische als auch ethische Regeln, die eingehalten werden sollten. Diese beginnen bei einem sauberen Umgang mit den verwendeten Daten, erstrecken sich über Informationssicherheit sowie Respekt für die Privatsphäre und reichen bis hin zur Wahrung von Menschenrechten. Dies bedeutet, dass beim Einsatz von KI Compliance-Risiken bestehen, die zu teuren Verstößen gegen die EU-Richtlinien führen können, wenn nicht von Beginn an ausreichende Sicherheitsmaßnahmen ergriffen werden.
Was bedeutet Generative KI und LLM?
Die jüngste Entwicklung der KI-Technik, die Generative KI (im Fachjargon: „GenAI“), basiert auf großen Sprachmodellen, englisch: Large Language Models oder LLMs. Die meisten technisch Interessierten haben davon gehört, meist im Zusammenhang mit dem von OpenAI entwickelten Chatbot ChatGPT. Das KI-System ermöglicht die Erstellung spezifischer Texte ohne großen Aufwand für unterschiedlichste Verwendungen. Zudem kann es existierenden Content „verstehen“, verdichten oder strukturiert auswerten. Vor allem in der Kommunikation mit Kunden und Lieferanten kann ein solches System dem Unternehmen viel Aufwand sparen, indem es Standardprozesse in einem Bruchteil der vorher nötigen Zeit abarbeitet.
Das Sprachmodell GPT gilt nach wie vor als eines der ersten seiner Art, ist jedoch längst nicht mehr das einzige. Es existiert bereits eine ganze Reihe konkurrierender Modelle, darunter Titan von Amazon und Luminous von Aleph Alpha. Sie werden für unterschiedliche Zwecke genutzt, unter anderem für das Erstellen von Grafiken und Bildern. Einige Modelle sind in der Lage, vorausschauende Analysen (Predictive Analysis) auf Basis historischer Daten durchzuführen. Außerdem können sie aus beobachteten Ereignissen die Wahrscheinlichkeit für künftige Entwicklungen ableiten.
Large Language Modelle auf dem Prüfstand
Ein LLM lernt ständig dazu, indem es mit immer mehr Daten gefüttert – im Fachjargon: „trainiert“ – wird. Auf Basis der erhaltenen Informationen werden automatisch Texte und Bilder erzeugt. Um Sicherheits- und Ethikfragen kümmert es sich erst einmal nicht. Es liegt also an den Nutzern, die ihr präferiertes LLM auf Informationssicherheit oder Compliance zu prüfen. Gleiches gilt für Unternehmen, die entsprechende LLMs betreiben und ihren Kunden zur Verfügung stellen.
Immer mehr Organisationen lassen die von ihnen verwendeten LLMs durch ihre IT-, Security- und Compliance-Abteilungen auf Risiken untersuchen und für den Betrieb freigeben. Dies geht aus einer nicht repräsentativen Umfrage unter Teilnehmern eines Ivalua-Workshops hervor. Demnach beschäftigen sich etwa 15 Prozent der teilnehmenden Unternehmen damit, eigene Standards für den Einsatz von LLMs zu definieren.
Doch bei Weitem nicht jedes Unternehmen verfügt jedoch über die personellen Kapazitäten für derartige Risikoanalysen. Einer der ersten Dienstleister ist der TÜV Süd beziehungsweise eine seiner Tochtergesellschaften. Deren Geschäftsmodell besteht darin, zu prüfen, ob KI-Komponenten in Unternehmenssystemen im Einklang mit den aktuellen Compliance-Regulierungen stehen. Zudem werden die erforderlichen Klauseln in die Verträge mit den Softwarelieferanten eingebaut, damit ein rechtssicherer Betrieb möglich ist. Es ist davon auszugehen, dass weitere Dienstleister in diesem Bereich folgen werden.
Interne Auseinandersetzungen vorprogrammiert
Die Frage nach dem geeigneten LLM liefert viel Stoff für interne Auseinandersetzungen zwischen den Unternehmensbereichen. Deshalb muss klar geregelt sein, dass die prüfende Instanz, also beispielsweise die IT, das letzte Wort hat. Folgende Konstellationen sind denkbar:
● In den meisten Unternehmen kommen unterschiedliche Anwendungen mit KI-Komponenten zum Einsatz, die möglicherweise nicht dasselbe Sprachmodell verwenden. Es muss geklärt werden, welche Systeme beibehalten werden, welche Anwendungen ausgetauscht werden müssen und welche Auswirkungen dies auf die Auswahl KI-unterstützter Softwarelösungen hat.
- Sollte nur ein LLM den internen Test bestehen, muss sichergestellt werden, dass es für alle Anwendungsgebiete einsetzbar ist.
- Ein weiteres Szenario ist, dass sich aus Sicht der Compliance und Informationssicherheit kein einziger Testkandidat für den Unternehmenseinsatz eignet. In diesem Fall muss entweder ein vorhandenes Modell angepasst – oder gleich ein neues entwickelt werden. Wie sich im erwähnten Workshop herausstellte, haben tatsächlich fünf Prozent der Unternehmen begonnen, ein individuelles LLM zu entwickeln. Dies ist umso erstaunlicher, als ein solches Projekt mit einem sieben- bis achtstelligen Euro-Betrag zu Buche schlagen dürfte.
Flexibilität ist der Schlüssel
Die meisten KI-unterstützten Geschäftsanwendungen geben den Nutzern ein bestimmtes LLM vor. Welches das ist, richtet sich nach der Art der Anwendung, dem jeweiligen State-of-Art der Technik oder nach den Vorlieben der Entwickler. Wenn jedoch die hauseigenen Security- und Compliance-Experten das integrierte Modell als unzureichend erachten, haben Unternehmen, die keine Regelverstöße begehen wollen, ein Problem. Dieses Risiko wird noch größer, wenn Unternehmen das integrierte Modell dennoch einsetzen oder Lösungen nicht prüfen lassen – sei es aus Unkenntnis oder internem Handlungsdruck. Werden die Regeln des AI Act nicht eingehalten, stehen sogar empfindliche Strafzahlungen im Raum.
Deshalb ist es grundsätzlich sinnvoll, bei der Entscheidung für KI-gestützte Geschäftsanwendungen auf die Möglichkeit zum Austausch des verwendeten LLM zu achten. Der Vorteil liegt auf der Hand: Eine Fachabteilung wie der Einkauf kann Entscheidungen für die Softwareanschaffung deutlich unabhängiger treffen und ein von der Compliance- und IT-Abteilung freigegebenes LLM in die Lösung integrieren.
Erste Schritte zu einer LLM-Strategie
Eine gut durchdachte KI-Strategie ist für Unternehmen im Grunde ein Muss. Sicher geht es bei der Implementierung auch darum, vorn mit dabei zu sein. Doch der Preis dafür darf nicht Planlosigkeit sein. Projekte, die sich mit „heißen“ Themen wie GenAI beschäftigen, sollten sogar besonders sorgfältig organisiert werden, weil genau hier auch die größten Risiken lauern.
Schritt eins besteht darin, sinnvolle Anwendungsfälle zu definieren. Zweitens ist eine umfangreiche und saubere Datenbasis erforderlich. Diese darf nur kontrolliert auf externe Daten zugreifen, sollte ausschließlich mit eigenen Daten trainiert werden und keine unternehmenseigenen Daten an Dritte weitergeben. Es besteht nicht nur die Gefahr, dass Datenschutzregeln unterlaufen werden. Vielmehr geht es auch darum, möglichst relevante Ergebnisse zu erzielen. Ein Beispiel hierfür ist die Nutzung von Informationen aus fremden Unternehmen für eine optimale Warengruppenstrategie im eigenen Betrieb. Diese passt selbst bei gleichen Branchenzugehörigkeit nur bedingt zu den eigenen Anforderungen.
Bei Lösungen von außen ist deshalb darauf zu achten, dass sie für jeden Anwender eine eigene Instanz verwenden. Wenn Dutzende von Kunden dieselbe Instanz nutzen, wird die „Data Ownership“ ad absurdum geführt. Nur wenn die eigenen Daten separat von denen anderer Unternehmen gehalten werden, können die Anwender sicher sein, dass ihre Modelle mit relevanten Informationen gefüttert und die Ergebnisse nicht verfälscht werden.
Schließlich sollte bei allen KI-unterstützten Systemen die Möglichkeit einer Endkontrolle durch Menschen vorgesehen werden – denn am Ende müssen sie die getroffenen Entscheidungen auch verantworten (können).
Fazit: Sorgfalt schlägt Geschwindigkeit
Die Einhaltung von Sicherheits- und Compliance-Richtlinien ist für den Einsatz von KI-Anwendungen von entscheidender Bedeutung – auch im Einkauf. Die Auswahl eines geeigneten LLM sollte daher mit Bedacht erfolgen. Die zentrale Frage ist, welches Modell nicht nur funktional zum Unternehmen passt, sondern auch unter den kritischen Augen von Compliance- und IT-Security-Verantwortlichen bestehen kann. Das Ziel muss es sein, dass Unternehmen unter Einhaltung gesetzlicher Vorschriften die Vorteile der generativen KI nutzen und ausbauen können, ohne dabei Sicherheit zu vernachlässigen. Erst wenn diese Voraussetzungen erfüllt sind, kann der Einkauf von den Effizienzvorteilen Künstlicher Intelligenz profitieren.
Bild: IvaluaJan-Hendrik Sohn
Vice President DACH und CEE bei Ivalua
