KI-Projekte gewinnen in vielen Unternehmen an Tempo, während Transparenz und Datenkontrolle nicht Schritt halten. Eine aktuelle Veeam-Studie zeigt, dass zahlreiche Entscheider Datensouveränität zwar als wichtig einstufen, bei der Umsetzung jedoch andere Prioritäten setzen. Besonders bei KI-Workflows entstehen dadurch neue Risiken.

Die Einführung von KI-Systemen entwickelt sich in vielen Unternehmen schneller als die zugehörigen Prozesse für Datenmanagement und Governance. Das geht aus einer aktuellen Studie von Veeam Software hervor. Demnach betrachten 99 Prozent der befragten Führungskräfte Datenhoheit als wichtig. Dennoch geben 72,5 Prozent an, die Einführung von KI höher zu priorisieren als den Aufbau entsprechender Datenkontrollen.

Tim Pfälzer, VeeamTim Pfälzer, General Manager und Senior Vice President EMEA bei Veeam, sieht Unternehmen dabei in einem Zielkonflikt: »Viele stehen jetzt vor einem entscheidenden Dilemma: Entweder sie setzen KI zügig ein, ohne ihre Daten vollständig zu verstehen, zu schützen und zu verwalten, oder sie verlangsamen den Fortschritt, um die Anforderungen an die Datenhoheit zu erfüllen.

Besonders deutlich zeigt sich dies bei KI-Workflows. Rund 40 Prozent der Befragten bezeichnen Daten, die für KI-Anwendungen und Analysen genutzt werden, als ihren größten operativen blinden Fleck.

Andre Troskie, EMEA Field CISO bei Veeam, warnt vor den Folgen mangelnder Transparenz: »Wenn man nicht sehen kann, wohin die Daten fließen, wer darauf zugreifen kann und was KI-Systeme damit machen, hat man keine Kontrolle. Und ohne Kontrolle wird KI schnell zu einem Risiko auf Vorstandsebene.«

Anzeige

Transparenz hält mit der KI-Einführung nicht Schritt

Bereits im früheren »Data & AI Trust Gap Report« hatte Veeam auf eine wachsende Diskrepanz zwischen KI-Nutzung und deren Verwaltung hingewiesen. Während 88 Prozent der Unternehmen KI-Agenten einsetzen, fühlen sich lediglich sieben Prozent vollständig auf deren Steuerung vorbereitet.

Die aktuelle Untersuchung zeigt, dass sich dieses Problem in der gesamten EMEA-Region fortsetzt. Zwar unterscheiden sich die regionalen Schwerpunkte, die fehlende Transparenz über Datenflüsse und Datenbestände zieht sich jedoch durch alle untersuchten Märkte.

Deutsche Unternehmen priorisieren Geschwindigkeit

Besonders ausgeprägt ist der Zielkonflikt in Deutschland. Hier versuchen Unternehmen, Anforderungen an Datenschutz, Datensouveränität und Innovationsfähigkeit miteinander zu vereinbaren. Wenn Prioritäten gesetzt werden müssen, gewinnt jedoch häufig die Geschwindigkeit der KI-Einführung.

82 Prozent der befragten deutschen Führungskräfte geben an, die Beschleunigung von KI-Projekten höher zu bewerten als den Aufbau zusätzlicher Datenkontrollen.

Im Vereinigten Königreich steht dagegen die Vermeidung von Datenverletzungen im Vordergrund. Französische Unternehmen legen besonderen Wert auf den Schutz geistigen Eigentums. Unternehmen im Nahen Osten und Afrika gelten als weiter fortgeschritten bei der Umsetzung von Datensouveränität, berichten jedoch zugleich von einer hohen Abhängigkeit von externen Anbietern und Lieferketten.

Compliance bleibt der wichtigste Auslöser für Maßnahmen

Die Studie zeigt zudem, dass Maßnahmen zur Datensouveränität häufig erst durch regulatorische Anforderungen oder interne Prüfungen angestoßen werden. Als wichtigste Motive nennen die Befragten die Verringerung des Risikos von Datenschutzverletzungen sowie den Wunsch nach einer stärkeren Kontrolle über eigene Daten.

Während etablierte Regelwerke wie die DSGVO von vielen Unternehmen als gut verständlich eingestuft werden, besteht bei neueren Vorgaben wie dem EU-AI-Act weiterhin Unsicherheit. Dies könnte die bestehende Governance-Lücke zusätzlich vergrößern.

Cloud, KI und Schatten-IT verursachen neue blinde Flecken

Neben KI-Workflows identifizieren Unternehmen weitere Bereiche mit eingeschränkter Transparenz. Dazu zählen öffentliche Cloud-Umgebungen, grenzüberschreitende Datenströme sowie die Einbindung von Drittanbietern.

Auch Schatten-IT bleibt ein Thema: »Alarmierenderweise berichten 32 Prozent von erheblichen Herausforderungen im Zusammenhang mit Schatten-IT, bei der Systeme völlig außerhalb der IT-Governance bereitgestellt werden«, erklärt Troskie.

Anmerkung der Redaktion:

Karl Fröhlich, speicherguide.deDie Studie benennt viele richtige Punkte, überrascht in der Grundaussage aber kaum. Dass KI-Projekte in vielen Unternehmen schneller voranschreiten als Datenmanagement, Governance und Compliance, ist bereits seit längerem sichtbar. Die genannten Schwachstellen bei KI-Workflows, Cloud-Diensten, Datenflüssen und Drittanbietern gehören für viele IT-Abteilungen längst zum Alltag.

Gleichzeitig ist der Absender einzuordnen: Veeam argumentiert nachvollziehbar für mehr Datensouveränität, Transparenz und Kontrolle, bleibt aber ein US-amerikanischer Anbieter. Damit gelten auch hier die bekannten Fragen rund um US-Rechtszugriffe, etwa durch den Cloud Act. Europäische Datenspeicherung, DSGVO-Konformität und technische Schutzmaßnahmen können Risiken reduzieren, ersetzen aber keine vollständige Prüfung der Anbieter-, Vertrags- und Betriebsstruktur.

Für IT-Leiter folgt daraus: Die Studie liefert gute Argumente für mehr Datenkontrolle, entbindet aber nicht von einer nüchternen Anbieterbewertung. Datensouveränität hängt nicht nur davon ab, wo Daten liegen, sondern auch davon, wer Zugriff ermöglichen könnte, welche Rechtsordnung gilt, wie Schlüssel verwaltet werden und wie realistisch ein späterer Wechsel des Anbieters ist.