Wie KI den Softwareeinkauf verändert

Entwicklung einer erfolgreichen Strategie zur Minimierung von KI-Risiken

Ein kurzer Moment – und plötzlich ist Künstliche Intelligenz überall. Unternehmen setzen generative KI (GenAI) ein, um ihren Kunden rund um die Uhr Support zu bieten, individuelle Produktempfehlungen auszusprechen, Software schneller zu entwickeln, Inhalte fürs Marketing zu erstellen und vieles mehr.

Künstliche Intelligenz ist heute genauso bahnbrechend wie der Computer, als er erstmals Einzug in die Geschäftswelt hielt. Unternehmen, die nicht auf KI setzen, laufen Gefahr, schnell den Anschluss zu verlieren.

CIOs und CISOs stehen daher unter enormem Druck, KI-Initiativen zu starten. Von ihnen wird erwartet, dass sie neue KI-basierte Softwarelösungen einführen und den Mitarbeitenden Zugang zu KI-Tools ermöglichen. Gleichzeitig wissen diese IT-Führungskräfte, dass KI neue Risiken mit sich bringt. Viele implementieren rasch Richtlinien und Schutzmaßnahmen, um sensible Informationen zu schützen, Schatten-KI zu verhindern und die Gefahr der Verbreitung von Fehlinformationen zu reduzieren.

Während die IT-Führungskräfte versuchen, das richtige Gleichgewicht zwischen der Nutzung von KI und ihrer Kontrolle zu finden, müssen sie ihre Prozesse für den Softwareeinkauf und -verlängerungen anpassen. Wenn Softwarebeschaffung bislang einem Spiel glich, dann ändert KI nun die Spielregeln. Wer nach den alten Regeln spielt, bringt seine Organisation in Gefahr. Um dieses Risiko zu verringern, müssen CIOs und CISOs die Softwarevereinbarungen, die Anwendungsarchitekturen und die Softwareanbieter selbst genauer unter die Lupe nehmen.

Herausforderung Nr. 1: Software-Vereinbarungen müssen sich ändern

Da Softwareanbieter zunehmend KI in ihre Produkte integrieren, müssen CIOs und CISOs ihre Vorgehensweise bei Softwareverlängerungen überdenken. Für bereits erworbene Software wurde in der Regel ein Master Services Agreement (MSA) unterzeichnet – inklusive bestimmter Vertragsbedingungen. Einige dieser Begriffe sind jedoch mit anderen Dokumenten verlinkt. Wird die Software aktualisiert, können Anbieter die Inhalte dieser verlinkten Dokumente ändern – oft ohne gesonderten Hinweis. Wer die MSAs nicht regelmäßig überprüft, läuft Gefahr, solche Änderungen zu übersehen.

Das Problem dabei: Neue KI-Funktionen, die in bestehende Anwendungen integriert werden, können im Widerspruch zu Ihren KI- und Data Governance-Richtlinien stehen. Im Wettlauf um KI-gestützte Software können die Anbieter Ihrer bestehenden Software Ihre Richtlinien – und Ihre Sicherheit – gefährden.

Herausforderung Nr. 2: Mehrmandantenfähigkeit und Modellerstellung

Bei der Bewertung von SaaS-Lösungen bin ich immer darauf bedacht, zu verstehen, wie die Anbieter mit Mehrmandantenfähigkeit umgehen. Genauer gesagt möchte ich wissen, was sie mit meinen Daten machen würden. Werden meine Daten völlig von den anderen getrennt sein?

Da Anbieter zunehmend KI in ihre Produkte integrieren, ergeben sich zusätzliche Sicherheitsrisiken im Hinblick auf den Umgang mit Daten. Viele Anbieter hosten ihre KI-Dienste nicht selbst, sondern betreiben sie in einer Public Cloud. Und dieser Cloud-Anbieter schützt die Daten möglicherweise nicht angemessen.

Zweitens verwenden Softwareanbieter wahrscheinlich ihre Kundendaten, um ihr KI-Modell zu trainieren, unabhängig davon, wo sich dieses Modell befindet. Natürlich erwarte ich, dass meine Softwareanbieter Experten darin sind, wie KI ihren Kunden in ihrem jeweiligen Fachgebiet einen Mehrwert bieten kann Wenn ein Anbieter zum Beispiel eine KI-gestützte Anwendung für den Personalbereich entwickelt, möchte ich, dass er in diesem Bereich weltweit führend ist. Und der beste Anbieter ist derjenige, der über die meisten Daten zum Trainieren seines Modells verfügt.

Ich möchte jedoch nicht, dass meine sensiblen Daten für das Training von Modellen verwendet werden. Einige Anbieter kombinieren möglicherweise absichtlich Daten von mehreren Kundinnen und Kunden, um ihre Modelle zu trainieren. Aber bevor ich eine Software anschaffe, muss ich zumindest davon überzeugt sein, dass alle meine Daten vollständig anonymisiert werden, bevor sie zum Training des Modells eines Anbieters verwendet werden.

Herausforderung Nr. 3: Die (mangelnde) Langlebigkeit von KI-Anbietern

Im KI-Markt fühlt es sich an, als würde jeden Tag ein neues Team in die Profiliga einsteigen – so schnell entstehen neue Anbieter für KI-Software. Jenseits der großen, fest etablierten Tech-Konzerne, die laufend neue KI-Funktionen präsentieren, wuchern KI-Startups in rasantem Tempo, spezialisiert auf nichts anderes als KI-Tools. Wenn selbst OpenAI inzwischen wie ein alter Hase wirkt, wird klar, wie rasant sich dieser Markt entwickelt.

Ich bewerte diese neuen Anbieter nach ähnlichen Kriterien wie klassische Softwarehersteller. Ich möchte zum Beispiel wissen, wie diese Anbieter meine Daten schützen und von ihren Kundendaten trennen.

Gleichzeitig mache ich mir große Sorgen um die Langlebigkeit dieser Anbieter. KI-Unternehmen entstehen und verschwinden sehr schnell. Bevor ich Software von einem Startup kaufe, will ich wissen, ob dieses Unternehmen in ein paar Jahren überhaupt noch existiert – und was mit meinen Daten passiert, falls es übernommen wird oder in Insolvenz geht.

Strategien für den Wandel im Softwareeinkauf

Der Fehler liegt hier in der Annahme, dass bestimmte Bereiche Ihrer IT-Landschaft unverändert bleiben. Aber nichts wird so bleiben, wie es ist. Künstliche Intelligenz verändert alles – sogar die Software, die Sie längst gekauft und seit Jahren im Einsatz haben. Wenn Sie also bestehende Lizenzen verlängern oder neue KI-Tools anschaffen, müssen sich auch Ihre Einkaufsprozesse anpassen. Diese sechs Best Practices werden maßgeblich sein:

1. Überwachen Sie sich ändernde MSAs
   Im Zeitalter der KI erfordern Softwareverlängerungen deutlich mehr Sorgfalt. Führen Sie zunächst ein Gespräch mit Ihren wichtigsten Anbietern, die KI implementieren. Stellen Sie gezielt Fragen: Wie gehen Sie mit meinen Daten um? Werden sie in der gleichen Umgebung gespeichert wie die Kundendaten Ihrer anderen Kunden?
   
   Wenn Sie die Lizenzen für bereits gekaufte Software erneuern, erfassen und überprüfen Sie die aktualisierten Bedingungen, die in den MSAs mit einem Hyperlink verlinkt sind. Stellen Sie sicher, dass neu eingeführte Begriffe nicht im Widerspruch zu Ihren KI- und Data Governance-Richtlinien stehen.
   
   Bei einigen Ihrer bestehenden Anwendungen haben Sie sich möglicherweise die Vereinbarungen noch nie angesehen. Vielleicht haben Sie mit einer kleinen Testimplementierung begonnen und sich damals keine Gedanken gemacht. Wenn Sie die Bereitstellung jedoch erweitern und zu einem Enterprise-Vertrag wechseln, sollten Sie die Zeit für diese Überprüfung investieren. Sie könnten eine Richtlinie festlegen, die eine Prüfung der Geschäftsbedingungen vorschreibt, wenn die Größe der Softwareimplementierung einen bestimmten Schwellenwert erreicht.
   
   Diese direkte Auseinandersetzung mit Anbietern und die Prüfung aktualisierter MSA-Bedingungen kann erhebliche Ressourcen binden – besonders in Unternehmen mit Hunderten von SaaS-Anwendungen. Um die Sicherheit zu gewährleisten, ist es jedoch entscheidend, über die sich entwickelnden Vereinbarungen auf dem Laufenden zu bleiben.

2. Fragen Sie gezielt nach dem Datenschutz
   Es reicht nicht aus, nur zu verstehen, wie Daten gespeichert und verwaltet werden – fragen Sie auch, wie sie geschützt werden. Manche Softwareanbieter betreiben für jeden Kunden eine separate Instanz ihrer Anwendung und sichern diese umfassend mit modernen App-Sicherheitsdiensten ab.Andere Anbieter wiederum nutzen eine zentrale Datenbank für alle Kunden – ein mögliches Warnsignal. Wenn sie jedoch nachweisen können, dass sensible Daten ausreichend verschlüsselt oder tokenisiert werden, sodass kein Risiko für eine Offenlegung besteht, kann der Einsatz dieser Software dennoch vertretbar sein.

3. Bewerten Sie die Prioritäten der Anbieter
   Gerade bei neuen Anbietern mit KI-Tools lohnt es sich, deren strategische Ausrichtung genau zu prüfen – nur so lässt sich feststellen, ob sie langfristig zu Ihrem Unternehmen passen. Nehmen wir an, Sie nutzen bereits Software eines Start-ups, die in der Vergangenheit Probleme bereitet hat. Nun erfahren Sie, dass das Unternehmen eine neue Finanzierungsrunde abgeschlossen hat. Fragen Sie gezielt nach: Wie soll dieses Kapital eingesetzt werden? Lautet die Antwort „Vertrieb“ statt „Engineering“, sollten Sie sich nach Alternativen umsehen.

4. Vergleichen Sie die Erfahrungen innerhalb Ihrer Community
   Eine Möglichkeit, den Aufwand bei der Prüfung von MSAs und der Bewertung neuer Anbieter zu reduzieren, ist der Austausch mit anderen IT-Führungskräften. Fragen Sie Ihre Peers: Welche Trends bei Vertragsklauseln beobachten Sie? Und: Können Sie mit diesen Veränderungen leben?
   
   Suchen Sie auch nach Einschätzungen zu den reinen KI-Anbieter, die Sie in Betracht ziehen. Fragen Sie andere Führungskräfte: Wie sicher sind Sie sich, dass Ihre Daten geschützt bleiben, wenn dieses Unternehmen insolvent wird?

5. Seien Sie bereit, auch Nein zu sagen
   Die Risiken, die KI-basierte Software mit sich bringt, sind oft schwer genau zu bemessen. Daher sollten Sie – ob bei einer Verlängerung oder bei der Einführung neuer Anwendungen – stets prüfen, wie wohl Sie sich mit einem Risiko fühlen, das sich nicht präzise messen lässt.
   
   In einigen Fällen könnten Sie zu dem Schluss kommen, dass das potenzielle Risiko den potenziellen Nutzen übersteigt. Dann ist es legitim, sich von einer Software zu trennen, die durch KI-Funktionen ein inakzeptables Risiko darstellt. Oder Sie entscheiden sich gegen eine neue KI-Anwendung, weil Sie der Datensicherheit oder der Zukunft des Anbieters nicht trauen.
   
   Es gibt auch einen Mittelweg. Beobachten Sie erst die Entwicklung des Anbieters, oder lassen Sie ihn den Mehrwert anhand eines eingeschränkten Funktionsumfangs oder eines kontrollierten Datensatzes unter Beweis stellen.

6. Ziehen Sie es in Betracht, zu entwickeln statt zu kaufen
   Viele SaaS-Anbieter mit KI-gestützten Produkten möchten ein breites Spektrum von Kunden erreichen. Folglich entwickeln sie ihre Produkte für den kleinsten gemeinsamen Nenner dieser potenziellen Kunden.
   
   Als CISO möchte ich jedoch eine Software, mit der mein Unternehmen wirklich zufrieden ist. Ich möchte zum Beispiel KI-Tools verwenden, die die kognitive Belastung meiner Mitarbeitenden verringern und ihnen ermöglichen, produktiver und effizienter im Unternehmen zu arbeiten. Diese Tools sollten auf meine Daten zurückgreifen und dann dazu beitragen, dass mein gesamtes Unternehmen besser funktioniert. Das Problem ist, dass es schwierig ist, Standardsoftware zu finden, die genau die Anforderungen meines Unternehmens erfüllt.
   
   In manchen Fällen ist es also sinnvoller, ein Produkt zu entwickeln als zu kaufen. Wenn Sie Funktionen entwickeln können, die Ihrem Unternehmen zugutekommen und einen Wettbewerbswert bieten, während Sie gleichzeitig das Risiko minimieren, ist die Entwicklung möglicherweise der bessere Weg. Die richtige Entwicklerplattform kann dazu beitragen, die Erstellung dieser KI-Anwendungen zu beschleunigen.

Softwareeinkauf neu denken: KI verändert die Spielregeln

Wir alle verspüren den Druck, KI einzuführen und unsere Unternehmen grundlegend zu verändern. Softwareanbieter möchten diese Transformationen erleichtern und integrieren rasch neue KI-Funktionen in ihre Produkte. Daher müssen diejenigen unter uns, die für den Softwareeinkauf verantwortlich sind, wachsam bleiben. Es ist, als würden sich die Regeln für den Softwareeinkauf ändern. Und heute müssen wir sorgfältiger bewerten, wie sich Softwareinnovationen auf die Sicherheit auswirken.

Nicht jede Anwendung bietet genügend Mehrwert, um das damit verbundene Risiko zu rechtfertigen. In diesen Fällen könnte die Entwicklung von KI-Apps der richtige Ansatz sein. Die Entwicklungsplattform von Cloudflare kann dazu beitragen, den Prozess der Entwicklung und Bereitstellung von KI-Anwendungen zu optimieren. Mit Cloudflare Workers AI können Sie KI-Anwendungen an der Edge, nahe am Nutzenden, entwickeln und ausführen. Unterdessen bietet AI Gateway Einblick in und Kontrolle darüber, wie Menschen KI-Apps nutzen.

Selbst wenn Sie mit bestimmter Unternehmenssoftware lediglich den Status quo aufrechterhalten wollen, sollten Sie sich bewusst machen: KI-Funktionalitäten werden vermutlich auch in diesen bewährten Legacy-Anwendungen auftauchen – und das wird Ihren Einkaufsprozess verändern. Wer auf diese massive KI-Disruption im Softwareeinkauf vorbereitet ist, kann Risiken besser steuern und fundierte Entscheidungen treffen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Vertiefung des Themas:

Erfahren Sie im E-Book „Sicherer Umgang mit KI: Ein Leitfaden zur Entwicklung einer skalierbaren KI-Strategie für CISO“ mehr darüber, wie KI die Arbeitsweise von Unternehmen verändert und wie Sie sie intelligent und sicher nutzen können.

Autor

Mike Hamilton – @mike-hamilton-us
CIO, Cloudflare

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• KI-Funktionen werden zunehmend stillschweigend in bestehende Vertragsvereinbarungen integriert

• 6 Best Practices, die Sie beim Kauf oder der Verlängerung von Software berücksichtigen sollten

• Wie Sie die Einhaltung von KI- und Data Governance-Richtlinien sicherstellen

Verwandte Ressourcen

• Sicherer Umgang mit KI

• KI-Governance erfordert Data Governance

• Wie lässt sich KI sicher nutzen?