Eine Übersicht über den NIST AI RMF und die erforderlichen Schritte zur Sicherstellung der Einhaltung der KI-Governance-Richtlinien.
•
•
7 Minuten Lesezeit
Themen
Da künstliche Intelligenz branchenübergreifend allgegenwärtig wird, nehmen auch die mit KI-Systemen verbundenen Risiken zu. Von verzerrten Algorithmen bis hin zu Bedenken hinsichtlich des Datenschutzes müssen Unternehmen KI-Risiken proaktiv steuern, um das Vertrauen der Stakeholder zu erhalten und das volle Potenzial dieser transformativen Technologie zu erschließen. Glücklicherweise gibt es etablierte Best Practices, die dabei helfen – eine der wichtigsten ist das AI Risk Management Framework des National Institute of Standards and Technology (NIST) (das „AI RMF“). NIST, eine Behörde des US-Handelsministeriums, veröffentlichte das AI RMF im Januar 2023, und es hat sich rasch zu einem der führenden Frameworks für Standards entwickelt, um sicherzustellen, dass KI verantwortungsvoll und vertrauenswürdig ist.
Obwohl die Einhaltung freiwillig ist, haben wir festgestellt, dass eine wachsende Zahl von Organisationen (insbesondere in den USA) das AI RMF beim Aufbau ihrer KI-Programme übernommen hat. In diesem Blog stellen wir: (1) einen Überblick über das AI RMF vor; (2) geben Hinweise dazu, ob Sie das AI RMF übernehmen sollten; und (3) erläutern, falls Sie es übernehmen sollten, einige praktische Tipps, um dies zu ermöglichen.
Ein Überblick über das AI RMF
Das AI RMF gilt für „AI Actors“, also Unternehmen oder Einzelpersonen, die eine aktive Rolle beim Entwurf, der Entwicklung und/oder der Nutzung von KI-Systemen spielen. Wenn Ihr Unternehmen also KI einsetzt oder Sie persönlich an KI-Workstreams beteiligt sind, sollten Sie die Anforderungen des Frameworks einhalten, um die Compliance sicherzustellen.
Das AI RMF lässt sich in zwei große Bereiche unterteilen: „Foundational Information“ und „Core and Profiles“. Die Anforderungen der jeweiligen Bereiche sind nachfolgend dargestellt.
Foundational Information
Foundational Information befasst sich mit den potenziellen Risiken und Schäden der Nutzung von KI. Unternehmen, die die Leitlinien einhalten, müssen Prozesse einführen, um Risiken zu erfassen und zu messen, sobald sie entstehen, diese zu priorisieren und das allgemeine Risikotoleranzniveau der Organisation zu bewerten. Ziel ist es, den verantwortungsvollen Einsatz von KI durch einen robusten und proaktiven Risikomanagementprozess sicherzustellen.
Core and Profiles
Core and Profiles, der zweite Teil des NIST-Frameworks, konzentriert sich darauf, wie ein solches System in die Praxis umgesetzt wird. Hier definiert NIST die vier Kernfunktionen eines ausgereiften Risikomanagementsystems. Diese sind:
Govern – eine Risikomanagementkultur im Unternehmen schaffen;
Map – die Prozesse aufbauen, um die Risiken und potenziellen Risiken der KI-Nutzung zu identifizieren;
Measure – die potenziellen Auswirkungen dieser Risiken auf relevante Stakeholder bewerten; und
Manage – Maßnahmen zur Risikobehandlung und Risikominderung ergreifen.
Schließlich definiert das AI RMF die „Profiles“-Methode zur Festlegung und Bewertung von Risiken in einem spezifischen Anwendungsfall innerhalb des übergeordneten Risikomanagementprogramms. Beispielsweise würde ein KI-System, das HR-Teams beim Sortieren von Bewerbungsunterlagen unterstützt, ein Profile darstellen, das Sie innerhalb Ihres umfassenderen KI-Risikomanagementprogramms steuern, zuordnen, messen und verwalten sollten.
Sollten Sie das NIST AI RMF einführen?
Obwohl das Framework von NIST ein freiwilliger Standard ist – anders als rechtsverbindliche Vorschriften wie der EU AI Act – gibt es klare Vorteile, den für die Einhaltung erforderlichen Aufwand zu investieren:
Die mit Ihrer KI verbundenen Risiken verstehen: Fast alle Unternehmen nutzen KI inzwischen in zumindest einigen Bereichen. Dennoch sind vielen Risikoverantwortlichen in diesen Unternehmen die tatsächlichen Risiken, die dadurch entstehen, nicht bewusst. Die Einhaltung des RMF macht diese Risiken sichtbar und ermöglicht es den Teams, ihnen entgegenzuwirken.
Vertrauen in Ihre KI aufbauen: Einer der Grundgedanken des Frameworks ist die Notwendigkeit für Unternehmen, Vertrauen bei ihren Stakeholdern aufzubauen, was im Zusammenhang mit KI häufig fehlt. Die Einhaltung dieses Standards ist ein externes Gütesiegel einer renommierten Organisation, das bestätigt, dass Ihr KI-Einsatz verantwortungsvoll und vertrauenswürdig ist.
Die KI-Nutzung steigern, um Produktivität und Profit zu erhöhen: Viele Unternehmen erkennen die beeindruckenden Vorteile, die KI bieten kann, scheuen sich jedoch, ihre Nutzung aufgrund unklarer Risiken und Bedenken hinsichtlich der Verantwortlichkeit zu maximieren. Die Einhaltung des NIST-Frameworks kann diese Bedenken mindern, den KI-Einsatz erhöhen und zu gesteigerter Produktivität und höherem Profit im Unternehmen führen.
Trotz dieser starken Gründe für die Einhaltung des NIST-Frameworks gibt es Situationen, in denen es für Unternehmen möglicherweise nicht sinnvoll ist, Compliance anzustreben:
Einige andere Frameworks sind stärker vorgegeben: Das NIST AI RMF ist ein hilfreicher Leitfaden für das KI-Risikomanagement, lässt Organisationen jedoch viel Interpretations- und Umsetzungsaufwand. Dieser Bereich entwickelt sich schnell, und seit der Veröffentlichung des AI RMF sind zahlreiche weitere Standards und Vorschriften entstanden. Einige davon, wie ISO 42001, sind stärker vorgegeben und nach unserer Erfahrung einfacher zu übernehmen. Darüber hinaus stellt das NIST AI RMF für sich allein noch keine Compliance mit der sich entwickelnden KI-Regulierungslandschaft sicher (etwa dem EU AI Act) und auch nicht mit branchenspezifischen Leitlinien (etwa SR 11-7 und den PRA-Regeln des Vereinigten Königreichs zum Modellrisikomanagement).
Unternehmen, die keine KI einsetzen: Wenn der einzige KI-Einsatz in Ihrer Organisation darin besteht, dass gelegentlich Mitarbeitende ein öffentliches LLM wie Chat GPT oder Claude verwenden, um eine E-Mail zu überarbeiten, kann es sich möglicherweise nicht lohnen, das Framework einzuhalten. In diesem Fall kann es sinnvoller sein, ein leichtgewichtiges Governance-Framework einzuführen und eine KI-Richtlinie zu etablieren, die regelt, wie die Mitarbeitenden in Ihrer Organisation mit diesen Tools interagieren.
Der nächste Schritt
Obwohl die NIST-Leitlinien stets freiwillig bleiben werden, gehen wir davon aus, dass ihre Einführung durch Unternehmen weiter zunehmen wird – zusätzlich zu dem bereits erreichten hohen Niveau. Insbesondere für große Unternehmen, die KI-Lösungen umfassend einsetzen, wird die Einhaltung von NIST (oder anderer ähnlich beziehungsweise noch robusterer Standards wie ISO 42001) wahrscheinlich nahezu zu einer Erwartung seitens Stakeholdern wie Mitarbeitenden, Kunden und Aktionären werden.
Nachfolgend haben wir einige praktische Tipps zusammengestellt, die Ihnen den Einstieg in das NIST AI RMF erleichtern können.
Rückhalt auf Vorstandsebene sichern: Stellen Sie sicher, dass das obere Management die Bedeutung des KI-Risikomanagements versteht und die Einführung des NIST AI RMF unterstützt. Dessen Rückhalt ist entscheidend, um Ressourcen bereitzustellen und die unternehmensweite Einhaltung voranzutreiben.
Eine KI-Governance-Struktur einrichten: Bilden Sie ein bereichsübergreifendes KI-Governance-Komitee oder definieren Sie Rollen und Verantwortlichkeiten für die Überwachung der Umsetzung des Frameworks. Dies kann Vertreter aus IT, Recht, Risikomanagement, Ethik und relevanten Geschäftsbereichen umfassen.
Ein KI-Inventar erstellen: Erfassen Sie sämtliche KI-Systeme und -Projekte Ihrer Organisation, einschließlich derjenigen in Entwicklung, um einen umfassenden Überblick über Ihre KI-Landschaft zu erhalten. Dies hilft Ihnen, Prioritäten bei den Risikobewertungsmaßnahmen zu setzen.
Risiken für jedes KI-System bewerten: Führen Sie für jedes KI-System bzw. jeden Anwendungsfall eine gründliche Risikobewertung durch, die Datenschutz, Sicherheit, Fairness, Transparenz und weitere zentrale Bereiche umfasst, die im NIST AI RMF beschrieben sind. Verwenden Sie die „Profiles“-Methodik, um die Bewertung an den jeweiligen Kontext anzupassen.
Pläne zur Risikominderung entwickeln: Erstellen Sie auf Grundlage der Ergebnisse der Risikobewertung umsetzbare Pläne, um die identifizierten Risiken für jedes KI-System zu mindern. Dies kann technische Maßnahmen (z. B. Bias-Tests, Sicherheitskontrollen) ebenso umfassen wie organisatorische Maßnahmen (z. B. Richtlinien, Schulungen).
In bestehende Risikomanagementprozesse integrieren: Stimmen Sie das KI-Risikomanagement auf das unternehmensweite Risikomanagement-Framework und die entsprechenden Prozesse ab. So stellen Sie einen konsistenten, integrierten Ansatz sicher und vermeiden Silos.
Stakeholder einbinden: Beziehen Sie relevante Stakeholder wie Endnutzer, Kunden und Aufsichtsbehörden nach Bedarf in den Risikobewertungs- und Minderungsprozess ein. Holen Sie Feedback ein und kommunizieren Sie transparent über Ihre KI-Risikomanagementmaßnahmen, um Vertrauen aufzubauen.
Kontinuierlich überwachen und neu bewerten: KI-Risikomanagement ist ein fortlaufender Prozess. Überwachen Sie KI-Systeme kontinuierlich auf neue Risiken und bewerten Sie Risikoprofile regelmäßig neu, wenn sich Technologie, Anwendungsfälle und regulatorische Rahmenbedingungen weiterentwickeln.
Schulungen zu KI-Ethik anbieten: Schulen Sie Mitarbeitende, die an der Entwicklung und Bereitstellung von KI beteiligt sind, in den Grundsätzen der KI-Ethik und den Anforderungen des NIST AI RMF. So verankern Sie verantwortungsvolle KI-Praktiken in der Unternehmenskultur.
KI-Governance-Tools nutzen: Ziehen Sie den Einsatz von KI-Governance-Plattformen wie Enzai in Betracht, um Aspekte des KI-Risikomanagements zu optimieren und zu automatisieren. Diese Tools helfen Ihnen dabei, Systeme effizient anhand des NIST AI RMF und anderer Standards zu bewerten, Risikominderungsmaßnahmen nachzuverfolgen und Audit-Trails zu generieren.
Denken Sie daran: Die Einführung des NIST AI RMF ist ein Weg. Beginnen Sie mit Ihren KI-Systemen mit der höchsten Priorität und erweitern Sie den Umfang Ihrer Risikomanagementmaßnahmen im Laufe der Zeit schrittweise. Überprüfen und verfeinern Sie Ihren Ansatz regelmäßig auf Grundlage der gewonnenen Erkenntnisse und sich weiterentwickelnder Best Practices.
Klicken Sie hier, um eine Demo zu buchen und mehr darüber zu erfahren, wie Ihr Unternehmen mit den KI-Governance-Technologien von Enzai das NIST AI Risk Management Framework einhalten kann.
Enzai ist die führende Plattform für Enterprise-KI-Governance, die speziell dafür entwickelt wurde, Unternehmen den Übergang von abstrakter Richtlinie zu operativer Aufsicht zu ermöglichen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu führen und die Compliance mit dem EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows befähigt Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST aufrechtzuerhalten.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.