Eine Übersicht über den NIST AI RMF und die erforderlichen Schritte zur Sicherstellung der Einhaltung der KI-Governance-Richtlinien.
•
•
7 Minuten Lesezeit
Themen
Da künstliche Intelligenz in den Branchen allgegenwärtig wird, steigen auch die Risiken, die mit KI-Systemen verbunden sind. Von voreingenommenen Algorithmen bis hin zu Datenschutzbedenken müssen Unternehmen proaktiv KI-Risiken managen, um Vertrauen bei den Stakeholdern zu erhalten und das volle Potenzial dieser transformativen Technologie auszuschöpfen. Glücklicherweise gibt es etablierte Best Practices, die dabei helfen - eine der wichtigsten ist das AI Risk Management Framework (der „AI RMF“) des National Institute of Standards and Technology (NIST). NIST, eine Agentur des US-Handelsministeriums, veröffentlichte den AI RMF im Januar 2023, und er hat sich schnell zu einem der führenden Standardrahmenwerke entwickelt, um sicherzustellen, dass KI verantwortungsvoll und vertrauenswürdig ist.
Obwohl die Einhaltung freiwillig ist, haben wir festgestellt, dass eine zunehmende Anzahl von Organisationen (insbesondere in den USA) den AI RMF übernommen hat, wenn sie ihr KI-Programm aufbauen. In diesem Blog: (1) geben wir einen Überblick über den AI RMF; (2) geben wir einige Ratschläge dazu, ob Sie den AI RMF übernehmen sollten; und (3) falls Sie ihn übernehmen sollten, geben wir einige praktische Tipps, um dies zu ermöglichen.
Ein Überblick über den AI RMF
Der AI RMF gilt für ‚AI-Akteure‘, die entweder Unternehmen oder Einzelpersonen definiert sind, die eine aktive Rolle bei der Gestaltung, Entwicklung und/oder Nutzung von KI-Systemen spielen. Daher sollten Sie, wenn Ihr Unternehmen KI einsetzt oder Sie persönlich an KI-Arbeitsströmen beteiligt sind, die Anforderungen des Rahmenwerks einhalten, um die Einhaltung sicherzustellen.
Der AI RMF kann in zwei breite Abschnitte unterteilt werden, „Grundlageninformationen“ und „Kern und Profile“. Die Anforderungen jedes dieser Abschnitte sind unten aufgeführt.
Grundlageninformationen
Grundlageninformationen beschäftigen sich mit den potenziellen Risiken und Schäden der KI-Nutzung. Unternehmen, die die Richtlinien einhalten, müssen Prozesse zur Nachverfolgung und Messung von Risiken einrichten, sobald diese auftreten, diese priorisieren und das Gesamtrisiko-Toleranzniveau der Organisation bewerten. Ziel ist es, eine verantwortungsvolle KI-Nutzung sicherzustellen, indem ein robustes und proaktives Risikomanagementverfahren implementiert wird.
Kern und Profile
Kern und Profile, der zweite Teil des NIST-Rahmenwerks, konzentriert sich darauf, wie ein solches System in die Praxis umgesetzt werden kann. Hier skizziert NIST die vier Kernfunktionen eines entwickelten Risikomanagementsystems. Diese sind:
Steuern - eine Kultur des Risikomanagements innerhalb eines Unternehmens schaffen;
Kartieren - die Prozesse zum Identifizieren von Risiken und potenziellen Risiken der KI-Nutzung aufbauen;
Messen - die potenziellen Auswirkungen dieser Risiken auf relevante Stakeholder bewerten; und
Verwalten - Risiko-Behandlungs- und Risiko-Minderungstätigkeiten annehmen.
Schließlich legt der AI RMF die ‚Profile‘-Methode fest, um das Risiko in einem spezifischen Anwendungsfall innerhalb des übergreifenden Risikomanagementprogramms zu bestimmen und zu bewerten. Zum Beispiel würde ein KI-System, das HR-Teams dabei hilft, Bewerber-CVs zu sortieren, ein Profil darstellen, das Sie in Ihrem breiteren KI-Risikomanagementprogramm steuern, kartieren, messen und verwalten sollten.
Sollten Sie den NIST AI RMF übernehmen?
Während das NIST-Rahmenwerk ein freiwilliger Standard ist, im Gegensatz zu rechtlich bindenden Vorschriften wie dem EU-AI-Gesetz, gibt es klare Vorteile, die sich aus der Anstrengung ergeben, die Einhaltung sicherzustellen:
Verstehen Sie die Risiken Ihres KI-Systems: Fast alle Unternehmen nutzen KI zumindest in einigen ihrer Funktionen. Dennoch sind sich viele Risikoexperten innerhalb dieser Firmen der tatsächlichen Risiken, die entstehen, nicht bewusst. Die Einhaltung des RMF wird diese aufdecken und es den Teams ermöglichen, sie zu mildern.
Vertrauen in Ihre KI aufbauen: Einer der Kernpunkte des Rahmenwerks ist die Notwendigkeit, dass Unternehmen Vertrauen unter ihren Stakeholdern aufbauen, das oft fehlt, wenn es um KI geht. Die Einhaltung dieses Standards ist ein Gütesiegel einer renommierten Organisation dafür, dass Ihr KI-Einsatz verantwortungsvoll und vertrauenswürdig ist.
Steigern Sie die KI-Nutzung, um Produktivität und Gewinn zu erhöhen: Viele Unternehmen sehen die beeindruckenden Vorteile, die KI mit sich bringen kann, jedoch scheuen sie davor zurück, die Nutzung zu maximieren aufgrund unklarer Risiken und Sorgen über Rechenschaftspflicht. Die Einhaltung des NIST-Rahmenwerks kann diese Ängste lindern, die Nutzung von KI erhöhen und zu gesteigerter Produktivität und Gewinn in einem Unternehmen führen.
Trotz dieser starken Gründe für die Einhaltung des NIST-Rahmenwerks gibt es Situationen, in denen es möglicherweise nicht sinnvoll ist, dass Unternehmen nach der Einhaltung streben:
Manche anderen Rahmenwerke sind präskriptiver: der NIST AI RMF ist ein hilfreicher Leitfaden zum Management von KI-Risiken, er lässt jedoch viele Interpretationsarbeit für Organisationen offen, um die Anforderungen auf ihr eigenes Unternehmen anzuwenden. Da sich dieser Bereich schnell weiterentwickelt hat, sind seit der Veröffentlichung des AI RMF viele andere Standards und Vorschriften entstanden. Einige von ihnen, wie ISO 42001, sind präskriptiver angelegt und (nach unserer Erfahrung) leichter zu übernehmen. Außerdem wird der NIST AI RMF allein keine Konformität mit der aufkommenden KI-Regulierungslandschaft (wie dem EU KI-Gesetz) oder industriespezifischen Richtlinien (wie SR 11-7 und die UK PRA-Regeln zum Modellrisikomanagement) sicherstellen.
Unternehmen, die keine KI nutzen: Wenn die einzige Nutzung von KI in Ihrem Unternehmen darin besteht, dass ein gelegentlicher Mitarbeiter ein öffentliches LLM, wie Chat GPT oder Claude, verwendet, um eine E-Mail zu polieren, könnte es sich nicht lohnen, das Rahmenwerk einzuhalten. Hier könnte es sinnvoller sein, ein leichtgewichtiges Governance-Rahmenwerk anzunehmen, indem eine KI-Richtlinie festgelegt wird, die regelt, wie die Menschen in Ihrer Organisation mit diesen Werkzeugen interagieren.
Weitergehende Maßnahmen
Obwohl die NIST-Richtlinien immer freiwillig bleiben werden, erwarten wir, dass ihre Nutzung seitens der Unternehmen von dem bereits erreichten erheblichen Niveau aus weiter zunimmt. Tatsächlich wird es für große Unternehmen, die KI-Lösungen umfassend einsetzen, wahrscheinlich so sein, dass die Einhaltung des NIST (oder anderer vergleichbarer/robusterer Standards wie ISO 42001) fast eine Voraussetzung von Seiten der Stakeholder wird, zu denen Mitarbeiter, Kunden und Aktionäre zählen.
Wir haben einige praktische Tipps unten dargelegt, die Sie zum Start mit dem NIST AI RMF verwenden können.
Sichern Sie sich die Zustimmung der Führung: Stellen Sie sicher, dass die Führungsspitze die Bedeutung des KI-Risikomanagements versteht und die Übernahme des NIST AI RMF unterstützt. Ihre Unterstützung wird entscheidend für die Zuweisung von Ressourcen und das Vorantreiben der Einhaltung in der gesamten Organisation sein.
Errichten Sie eine KI-Governance-Struktur: Bilden Sie ein funktionsübergreifendes KI-Governance-Komitee oder weisen Sie Rollen und Verantwortlichkeiten zur Überwachung der Rahmenwerkumsetzung zu. Dies kann Vertreter aus den Bereichen IT, Recht, Risikomanagement, Ethik und den relevanten Geschäftseinheiten umfassen.
Erstellen Sie ein KI-Inventar: Katalogisieren Sie alle KI-Systeme und -Projekte Ihrer Organisation, einschließlich derjenigen, die sich in der Entwicklung befinden, um einen umfassenden Überblick über Ihre KI-Landschaft zu erhalten. Dies wird Ihnen helfen, Ihre Risikobewertungsbemühungen zu priorisieren.
Bewerten Sie die Risiken jedes KI-Systems: Führen Sie für jedes KI-System oder jeden Anwendungsfall eine gründliche Risikobewertung durch, die Datenschutz, Sicherheit, Fairness, Transparenz und andere Schlüsselfelder beinhaltet, die im NIST AI RMF definiert sind. Verwenden Sie die „Profile“-Methodik, um die Einschätzung auf jeden spezifischen Kontext zuzuschneiden.
Entwickeln Sie Risikominderungspläne: Basierend auf den Ergebnissen der Risikobewertung, erstellen Sie umsetzbare Pläne zur Minderung der identifizierten Risiken für jedes KI-System. Dies kann technische Maßnahmen (z.B. Bias-Tests, Sicherheitskontrollen) sowie organisatorische Maßnahmen (z.B. Richtlinien, Schulungen) beinhalten.
Integrieren Sie es in bestehende Risikomanagementprozesse: Richten Sie das KI-Risikomanagement an Ihrem allgemeinen Risikomanagementrahmenwerk und den Prozessen Ihrer Organisation aus. Dies wird helfen, einen konsistenten, integrierten Ansatz zu gewährleisten und Silos zu vermeiden.
Involvieren Sie Stakeholder: Binden Sie relevante Stakeholder, wie Endnutzer, Kunden und Regulierungsbehörden, in den Bewertungs- und Minderungssprozess ein, soweit dies angemessen ist. Holen Sie deren Feedback ein und kommunizieren Sie transparent über Ihre KI-Risikomanagementbemühungen, um Vertrauen zu schaffen.
Kontinuierlich überwachen und neu bewerten: KI-Risikomanagement ist ein fortlaufender Prozess. Überwachen Sie KI-Systeme kontinuierlich auf neu auftretende Risiken und bewerten Sie regelmäßig Risikoprofile neu, während sich die Technologie, Anwendungsfälle und die Regulierungslandschaft weiterentwickeln.
Anbieten von KI-Ethik-Schulungen: Bilden Sie Mitarbeiter, die in die Entwicklung und den Einsatz von KI involviert sind, in KI-Ethik-Prinzipien und den Anforderungen des NIST AI RMF aus. Dies wird helfen, verantwortungsvolle KI-Praktiken in die Unternehmenskultur einzubetten.
Nutzung von KI-Governance-Tools: Erwägen Sie die Verwendung von KI-Governance-Plattformen, wie Enzai, um Aspekte des KI-Risikomanagements zu rationalisieren und zu automatisieren. Diese Werkzeuge können Ihnen dabei helfen, Systeme effizient gegen den NIST AI RMF und andere Standards zu bewerten, Risikominderungsmaßnahmen zu verfolgen und Prüfungsspuren zu erzeugen.
Denken Sie daran, die Übernahme des NIST AI RMF ist eine Reise. Beginnen Sie mit Ihren höchstpriorisierten KI-Systemen und erweitern Sie den Umfang Ihrer Risikomanagementbemühungen nach und nach. Überprüfen und verfeinern Sie regelmäßig Ihren Ansatz basierend auf gemachten Erfahrungen und sich entwickelnden Best Practices.
Klicken Sie hier, um eine Demo zu buchen und mehr darüber zu erfahren, wie Ihr Unternehmen mit den AI-Governance-Technologien von Enzai das NIST AI Risk Management Framework einhalten kann.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.