Organisationen müssen den KI-Vorschriften entsprechen, durchsetzbare Gesetze mit klaren Konsequenzen bei Nichtbefolgung. Aber warum sollten Organisationen Standards für die KI-Governance übernehmen?
•
•
11 Minuten Lesezeit
Themen
Die KI-Revolution
Obwohl KI nichts Neues ist (Alan Turings wegweisende Arbeit über Rechenmaschinen und Intelligenz wurde erstmals 1950 veröffentlicht), haben wir in den letzten Jahren ein exponentielles Wachstum sowohl bei den Fähigkeiten der KI als auch bei ihrer Akzeptanz erlebt. Der Grund dafür liegt auf der Hand: Innovative KI-Technologien haben praktisch jede Branche revolutioniert, vom Gesundheitswesen über Finanzdienstleistungen bis hin zu Kreativbranchen.
Die jüngsten Fortschritte in der generativen KI – mit der Veröffentlichung von Modellen wie GPT-4 von Open AI, Gemini von Google und Llama von Meta – haben diesen Trend nur noch beschleunigt, da diese Technologien immer breiter zugänglich werden. Doch mit dem erleichterten Zugang steigen auch die Risiken: unter anderem Deepfakes und Fehlinformationen, algorithmische Voreingenommenheit und Diskriminierung sowie Bedenken hinsichtlich der Sicherheit und des Datenschutzes.
Die Bedeutung von Standards
Neue Technologien, die das Potenzial haben, unser Leben grundlegend zu verändern, bergen auch ein hohes Risiko. Wenn wir auf die Geschichte zurückblicken und versuchen zu analysieren, wie verschiedene Technologien so tief in unser modernes Leben integriert wurden, zeichnet sich ein Muster ab. Um echtes Vertrauen in diese neuen Systeme aufzubauen, wurden Standards etabliert – entweder durch Regulierung oder durch Marktkonventionen.
Beispielsweise veränderte die Erfindung kommerzieller Stromnetze in den 1880er Jahren die Gesellschaft grundlegend und ermöglichte eine Steigerung der Produktivität, Effizienz und des Wirtschaftswachstums. Allerdings setzte Elektrizität die Menschen auch Gefahren wie Stromschlägen und Bränden aus, die zu Verletzungen und Todesfällen führten. Um die Jahrhundertwende wurden die ersten Richtlinien zur elektrischen Sicherheit im Vereinigten Königreich eingeführt, um die Risiken dieser neuen Technologie zu beherrschen und Unfälle zu vermeiden. Darauf folgte eine Reihe von Elektrizitätsstandards, die sicherstellten, dass Installationen ordnungsgemäß ausgeführt und gewartet wurden, um Brandrisiken zu vermeiden. Die Standardisierung der Stromversorgung und -installation ermöglichte die flächendeckende Nutzung von Elektrizität – bis Ende der 1930er Jahre besaßen zwei Drittel der britischen Haushalte einen Stromanschluss, verglichen mit nur 6 % im Jahr 1919.
Ein jüngeres Beispiel betrifft die Informationssicherheit. Die Expansion des Internets in den vergangenen 30 Jahren hat eine florierende Technologiebranche hervorgebracht und die Art und Weise, wie Unternehmen geführt und Dienstleistungen angeboten werden, erfolgreich revolutioniert. Dennoch hat das Internet neben anderen Risiken auch zu einer explosionsartigen Zunahme von Cyberkriminalität geführt. Die Bedrohungen reichen von Phishing-Angriffen über schwerwiegende Datenpannen bis hin zu Cyber-Terrorismus, wobei neue Arten der Cyberkriminalität regelmäßig Schlagzeilen machen.
Als Reaktion auf diese Risiken wurden Standards für die Informationssecurity entwickelt. Der Standard ISO/IEC 27001 bietet Organisationen „Leitlinien für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems“. Obwohl ISO/IEC 27001 ein Standard und keine gesetzliche Vorschrift ist, hat er sich in Branchen, die auf Informationssysteme angewiesen sind oder digitale Aufzeichnungen führen, weitgehend durchgesetzt und wird dort vorausgesetzt.
Es gibt unzählige weitere Beispiele – von Autos und Flugzeugen bis hin zu Lebensmittelsicherheit und Medizinprodukten. Im Laufe der Zeit haben Standards stets den Rahmen für die sichere Einführung innovativer Technologien geboten. Sie ermöglichten deren Entfaltung, während gleichzeitig an der Minderung und Bewältigung ihrer Risiken gearbeitet wurde. Warum sollte die Entwicklung der KI anders sein?
Welche Vorteile bieten Standards im Bereich der KI?
Standards haben daher das Potenzial, sicherzustellen, dass KI die gleichen positiven Auswirkungen auf die Welt hat wie andere transformative Technologien in der Vergangenheit. Um die Wirksamkeit dieser Standards zu gewährleisten, müssen wir jedoch zunächst die Arten von Risiken betrachten, die sie mindern sollen. Einige der wichtigsten Aspekte haben wir nachfolgend aufgeführt.
1. Minderung von Voreingenommenheit, Diskriminierung oder Schäden für Einzelpersonen
KI-Systeme nutzen enorme Datenmengen, um Entscheidungen zu treffen, die Menschen in einer Vielzahl von Bereichen betreffen – von der Personalrekrutierung über die Kreditvergabe bis hin zur strafrechtlichen Strafzumessung, dem Einwanderungswesen und der Bereitstellung von Sozialleistungen. Algorithmen werden auf Datensätzen trainiert, aus denen sie lernen, wie die korrekten Ergebnisse aussehen sollten. Der Einsatz von KI kann die Entscheidungsfindung beschleunigen, sodass beispielsweise Behörden im gleichen Zeitraum mehr Asyl- oder Leistungsanträge bearbeiten können, was Rückstände abbaut und die Zufriedenheit mit deren Dienstleistungen erhöht.
Untersuchungen haben jedoch gezeigt, dass Algorithmen manchmal menschliche Vorurteile reproduzieren oder verstärken, insbesondere gegenüber Minderheiten. Eine Untersuchung des Guardian aus dem Jahr 2023 fand Belege dafür, dass einige Tools der britischen Regierung diskriminierende Ergebnisse lieferten, was dazu führte, dass Dutzenden von Menschen grundlos die Sozialleistungen entzogen wurden. Voreingenommenheit und Diskriminierung setzen Organisationen enormen Reputationsrisiken sowie kostspieligen Gerichtsverfahren aus.
Standards ermöglichen es Organisationen, potenzielle algorithmische Voreingenommenheit frühzeitig zu erkennen und zu kennzeichnen, sodass sie korrigiert werden kann, bevor Schaden entsteht. Beispielsweise enthalten das NIST AI Risk Management Framework und ISO 42001 (beide werden im Folgenden näher erläutert) Anforderungen zur Bewertung des Risikos von Voreingenommenheit und zur Überprüfung der Qualität der verwendeten Datensätze. Eine typische Anforderung ist eine anfängliche Risikobewertung, die sich auf das dem Kontext des KI-Systems inhärente Risiko von Voreingenommenheit konzentriert, d. h. auf historische oder strukturelle Benachteiligungen bestimmter demografischer Gruppen, die die Algorithmen reproduzieren könnten.
2. Erhöhte Transparenz und Rechenschaftspflicht
Menschen sollten verstehen, wie, wann und zu welchen Zwecken ein KI-System eingesetzt wird. Dies sollte in einer Sprache erklärt werden, die für ein breites Spektrum von Stakeholdern verständlich ist. Leider ist Nutzern nicht immer bewusst, dass eine Entscheidung von einem KI-System getroffen wurde (beispielsweise die Bewilligung eines Kreditantrags). Selbst wenn ihnen der Einsatz von KI bekannt ist, fehlen meist hinreichende Informationen darüber, wie das System zu dieser Entscheidung gelangt ist.
Da KI-Systeme mit einem hohen Maß an Autonomie arbeiten, können sie Entscheidungen auf eine Weise treffen, die von den Entwicklern weder beabsichtigt noch vorhergesehen wurde. Rechenschaftspflicht ist hierbei der entscheidende Faktor, da sie helfen kann, Risiken frühzeitig zu erkennen – etwa durch Zuverlässigkeitsprüfungen wie Folgeabschätzungen. Standards stellen sicher, dass Einzelpersonen und Organisationen die Verantwortung für die Handlungen und Entscheidungen von KI-Systemen übernehmen und dass stets ein Mensch die Kontrolle behält.
Standards verlangen von Organisationen oft, Informationen über ihre KI-Systeme zu dokumentieren, einschließlich Datenquellen, Anwendungsfällen, Entscheidungsprozessen, Leistungsbenchmarks und potenzieller Einschränkungen. Diese Informationen sind unerlässlich, um die Funktionsweise und Leistungsfähigkeit der Algorithmen zu verstehen und zu kommunizieren. Viele Standards erhöhen die Transparenz, indem sie eine Produktkennzeichnung fördern, die den Nutzer darauf aufmerksam macht, dass er mit einem KI-System interagiert. Der Leitfaden für KI-Richtlinien von Enzai bietet wertvolle Ratschläge zur Implementierung von Transparenz- und Rechenschaftsmaßnahmen über den gesamten Lebenszyklus eines KI-Systems hinweg.
3. Verbessertes Risikomanagement
KI bietet großartige Chancen, birgt jedoch auch viele Risiken. Hierzu gehören beispielsweise das Risiko von Halluzinationen (wenn große Sprachmodelle Falschinformationen generieren), Verletzungen des geistigen Eigentums und Datenschutzverletzungen. Ein effektives Risikomanagement verringert die Wahrscheinlichkeit negativer Auswirkungen, hilft Organisationen, Vertrauen bei Stakeholdern aufzubauen, und schützt eine gute Reputation.
Risikoregister und Risikobewertungen, die in Governance-Standards für KI üblich sind, ermöglichen es Organisationen, mit KI-Technologien verbundene Risiken zu identifizieren, zu bewerten und zu mindern.
4. Erhöhte Sicherheit und Zuverlässigkeit
Da KI-Systeme in vielen kritischen Bereichen eingesetzt werden – das Gesundheitswesen, die nationale Sicherheit und die Infrastruktur sind nur einige Beispiele –, besteht ein dringender Bedarf an Zuverlässigkeit und Sicherheit. Die KI-Systeme sollten technisch sicher sein, wie vorgesehen funktionieren und widerstandsfähig gegenüber Sicherheitsbedrohungen wie Cyberangriffen sein. Nach Angaben des National Institute of Standards and Technology (NIST) können „Angreifer KI-Systeme absichtlich manipulieren oder sogar ‚vergiften‘, um Fehlfunktionen hervorzurufen“.
Durch die Festlegung von Kriterien für Leistung, Genauigkeit, Skalierbarkeit und Resilienz können Organisationen robuste und zuverlässige KI-Systeme entwickeln, die Angriffen besser standhalten und diese frühzeitig erkennen, falls sie dennoch auftreten.
5. Einhaltung von Gesetzen und Vorschriften
Organisationen müssen die relevanten Gesetze und Vorschriften zur Nutzung von KI-Technologien einhalten. Obwohl neue Gesetze eingeführt werden, die sich gezielt mit KI-Risiken befassen, wie das KI-Gesetz der EU (EU AI Act), darf die bestehende Gesetzgebung nicht einfach ignoriert werden, nur weil ein Produkt oder eine Dienstleistung eine KI-Komponente enthält. Datenschutzgesetze, Verbraucherschutzvorschriften, Antidiskriminierungsgesetze und branchenspezifische Regelungen sind bereits in Kraft. Eine Nichteinhaltung kann zu rechtlichen Schritten, Bußgeldern, Strafen und Reputationsschäden führen.
Standards sind zwar nicht im gleichen Maße verpflichtend wie gesetzliche Vorschriften, sie erleichtern jedoch die Einhaltung bestehender Regelungen und stellen gleichzeitig sicher, dass Organisationen bewährte Verfahren in ihrem jeweiligen Bereich anwenden. KI-spezifische Standards können Aspekte wie Leistungskennzahlen, Risikobewertungen, Analysen von Anwendungsfällen und viele andere Maßnahmen abdecken, um ein effektives Risikomanagement zu gewährleisten und eine nachvollziehbare Dokumentation der Entscheidungsfindung zu erstellen.
6. Gestärktes öffentliches Vertrauen
Ein gestärktes öffentliches Vertrauen kann zu einer besseren Akzeptanz und höheren Nutzungsraten von KI-Technologien sowie zu engeren Beziehungen zu Stakeholdern und einem Wettbewerbsvorteil am Markt führen, da die Öffentlichkeit ethische Aspekte und Vertrauenswürdigkeit schätzt. Damit KI die nötige Reichweite erzielt und die positive Kraft in der Welt entfalten kann, die wir uns alle wünschen, muss sie das Vertrauen der Öffentlichkeit gewinnen. Die Etablierung hoher Standards bei der Entwicklung, Bereitstellung und Nutzung dieser Technologie kann dies ermöglichen.
Standards und Rahmenwerke für die KI-Governance
Glücklicherweise steht im KI-Bereich mittlerweile eine Reihe unterschiedlicher Standards zur Verfügung, die Organisationen dabei helfen können, die oben genannten Risiken zu bewältigen. Einige der weltweit führenden Standardisierungsgremien, darunter das National Institute for Standards in Technology (NIST), das Institute of Electrical and Electronics Engineers (IEEE) und die Internationale Organisation für Normung (ISO), haben kürzlich Rahmenwerke veröffentlicht, die Organisationen nutzen können, um hohe Standards für ihre KI-Programme zu etablieren.
Nachfolgend haben wir einen kurzen Überblick über einige dieser Rahmenwerke zusammengestellt.
ISO/IEC JTC 1/SC 42
Die ISO hat zusammen mit der Internationalen Elektrotechnischen Kommission (IEC) eine gemeinsame technische Arbeitsgruppe zur Entwicklung von KI-Standards eingerichtet, was in der Veröffentlichung der ISO 42001 mündete. Diese Standards, die es Organisationen ermöglichen, ein effektives KI-Managementsystem (AIMS) einzuführen, decken verschiedene Aspekte der KI ab, darunter Terminologie, ethische Erwägungen und Evaluierungsmethoden.
Das Team arbeitet derzeit an einem neuen Standard – ISO 42006. Dieser wird Leitlinien für Auditoren enthalten, um effektiv zu messen, wie konform einzelne Organisationen mit den Anforderungen der ISO 42001 sind. Dieser Auditierungsprozess wird es Organisationen ermöglichen, regelmäßige Zertifizierungen über ihre Konformität zu erhalten (ähnlich dem zuvor ausführlicher beschriebenen Prozess zur Informationssicherheit nach ISO 27001).
Hinweis: Enzai war eine der ersten Organisationen weltweit, die ein umfassendes KI-Managementsystem in vollständiger Übereinstimmung mit den Anforderungen der ISO 42001 angeboten hat.
NIST AI Risk Management Framework
Das National Institute of Standards and Technology (NIST) in den USA hat ein Risikomanagement-Rahmenwerk speziell für KI-Systeme entwickelt. Dieses Rahmenwerk bietet Leitlinien zur Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit KI-Technologien und ist in vier Kernfunktionen der KI-Governance unterteilt: (1) Regeln (Govern); (2) Zuordnen (Map); (3) Messen (Measure); und (4) Steuern (Manage). Viele Organisationen in Nordamerika haben das NIST AI Risk Management Framework als ihren Leitstern gewählt.
Wir haben einen Blogbeitrag verfasst, der die Anforderungen des NIST AI RMF näher erläutert – siehe hier. Unsere Lösung zur KI-Governance stellt sicher, dass Organisationen in voller Übereinstimmung mit diesen Anforderungen agieren können.
OECD-KI-Prinzipien
Einer der bedeutendsten frühen Versuche, eine Basis für hohe Standards im KI-Bereich zu schaffen, ging von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) aus. Die OECD hat im Mai 2019 eine Reihe praktischer und flexibler Prinzipien für eine verantwortungsvolle Entwicklung und Nutzung von KI verabschiedet (deren Definition von KI seither weitgehend in den endgültigen Text des KI-Gesetzes der EU übernommen wurde). Die KI-Prinzipien der OECD umfassen wertebasierte Grundsätze wie Transparenz, Fairness und Rechenschaftspflicht sowie Empfehlungen für politische Entscheidungsträger.
Über diese Prinzipien hinaus bietet das AI Policy Observatory der OECD einen Katalog von Tools und Metriken, die Organisationen bei der Entwicklung und Nutzung vertrauenswürdiger KI unterstützen sollen, darunter auch die KI-Governance-Plattform von Enzai.
„Me-We-It“ der World Ethical Data Foundation (WEDF): Ein offener Standard
Der offene Standard der WEDF ist ein kostenloses, interaktives Online-Forum, das drei Ziele verfolgt: (1) Beratung für die Entwicklung einer ethischeren KI, um der Branche zu einem Neustart auf einem gesunden Fundament zu verhelfen; (2) Unterstützung der Öffentlichkeit beim Verständnis des Entwicklungsprozesses von KI-Systemen; und (3) Schaffung eines Raums, in dem die Öffentlichkeit der KI- und Data-Science-Gemeinschaft frei Fragen stellen kann.
Das Rahmenwerk ist in die drei Bereiche „Me“ (Ich), „We“ (Wir) und „It“ (Es) unterteilt. Die WEDF beschreibt diese wie folgt: „Me“ umfasst „die Fragen, die sich jeder Einzelne, der an der KI arbeitet, vor Arbeitsbeginn und während des Prozesses selbst stellen sollte“. „We“ steht für „die Fragen, die sich die Gruppe selbst stellen sollte – insbesondere, um die erforderliche Diversität zu definieren, damit menschliche Voreingenommenheit so weit wie möglich reduziert wird“. „It“ bezeichnet „die Fragen, die wir Einzelnen und der Gruppe stellen sollten, da sie sich auf das erstellte Modell und die Auswirkungen beziehen, die es auf unsere Welt haben kann“.
Einführung von KI-Governance-Standards
Wenn Ihre Organisation KI-Governance-Standards implementieren oder bestehende Praktiken verbessern möchte, fällt der Anfang oft schwer. Unsere „Start Fast“-Methode bietet Ihnen in drei einfachen Schritten alles, was Sie benötigen: (1) Erstellen oder Auswählen von Richtlinien und Bewertungen; (2) Aufbau Ihres KI-Registers; und (3) Beginn Ihrer Bewertungen. Die Enzai-Plattform bietet gebrauchsfertige Richtlinien und Bewertungsrahmen, damit Sie erstklassige Standards etablieren können, mit den Sie sich von Ihren Mitbewerbern abheben.
Wenn Sie mehr darüber erfahren möchten, wie Enzai Ihre Organisation bei der Einführung von KI-Governance-Standards und der Einhaltung künftiger Vorschriften unterstützen kann, kontaktieren Sie uns noch heute.
Enzai ist die führende Plattform für KI-Enterprise-Governance, die speziell dafür entwickelt wurde, Organisationen beim Übergang von abstrakten Richtlinien zur operativen Aufsicht zu unterstützen. Unsere Plattform für KI-Risikomanagement bietet die spezialisierte Infrastruktur, die für die Verwaltung von agentenbasierter KI-Governance, die Führung eines umfassenden KI-Inventars und die Gewährleistung der Konformität mit dem EU-KI-Gesetz erforderlich ist. Durch die Automatisierung komplexer Workflows ermöglicht Enzai es Unternehmen, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig die Übereinstimmung mit globalen Standards wie ISO 42001 und NIST zu wahren.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.