In letzter Zeit ist der Einsatz von Künstlicher Intelligenz (abgekürzt KI, englisch: artificial intelligence, abgekürzt AI) stark angestiegen. Es gibt kaum noch ein neues Produkt, bei dem diese Buchstaben nicht als verkaufsförderndes Argument verwendet werden: die Verwendung von KI verspricht neue Potenziale für Produktivität, Kreativität und Effizienz.

Wie beim Einsatz jeder neuen Technologie birgt diese aber auch bisher unbekannte oder zumindest wenig beachtete Risiken. Zum Umgang mit diesen ist in der Europäischen Union die „Verordnung über Künstliche Intelligenz“  („KI-Verordnung“ im folgenden „AI Act“) verabschiedet worden, wir berichteten. In Kap. 3, Abschnitt 1 des AI Acts werden Hochrisiko-KI-Systeme identifiziert, die das „Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen“ bergen. Für diese werden gem. Abschnitt 2 ebd. Anforderungen zur Umsetzung von Sicherungsmaßnahmen aufgestellt. Dazu gehört u. a. das Risikomanagement gem. Art. 9 sowie die Gewährleistung von Cybersicherheit nach Art. 15.

Über diese gesetzlichen Anforderungen für Hochrisiko-IT-Systeme hinaus besteht aber für jede Organisation ein Eigeninteresse im Sinne der üblichen Informationssicherheits-Anforderungen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit aller von ihr verarbeiteten Informationen (vgl. dazu ISO/IEC 27001:2022, „Information security, cybersecurity and privacy protection — Information security management systems — Requirements”). Diese Anforderungen schließen die Betrachtung aller informationsverarbeitenden Systeme ein, damit inhärent auch KI-Systeme. Dabei ist es im ersten Schritt unerheblich, ob es sich dabei um Hochrisiko-KI-Systeme im Sinne der o. a. Verordnung handelt oder „nur“ um „normale“ KI-Systeme.

Es stellt sich daher die Frage, wie die eigenen sowie die neuen gesetzlichen Anforderungen an KI-Systeme und deren Risikomanagement umgesetzt werden können. Dies sollte möglichst strukturiert und effizient erfolgen. Dazu kann man sich vorhandener Standards bedienen, die sich idealerweise in vorhandene Methoden der Organisation wie bestehende Managementsysteme einbetten lassen. Im Folgenden werden verschiedene Rahmenwerke vorgestellt, die dieses Potenzial haben.

Deutschland

Zurzeit gibt es aus Deutschland keinen dedizierten Management-Ansatz spezifisch für KI-Systeme. Das BSI hat als Ergänzung zum C5-Standard, geregelt sind hier „Mindestanforderungen an sicheres Cloud Computing“ , den „Kriterienkatalog für KI-Cloud-Dienste – AIC4“ definiert. Dieser „spezifiziert Mindestanforderungen an die sichere Verwendung von Methoden des maschinellen Lernens in Cloud-Diensten“, lässt sich also nur begrenzt auf den eigenen Betrieb von KI-Systemen anwenden. Darüber hinaus ist kein Management-Framework und kein Risikobehandlungsprozess enthalten. Die identifizierten Gefährdungen und Maßnahmen können grundsätzlich in einem eigenen Managementsystem berücksichtigt werden, beispielweise nach ISO/IEC 27001 oder IT-Grundschutz, müssen aber um eine individualisierte Betrachtung und Bewertung ergänzt werden.

ISO 42001

Die internationalen Standardisierungsorganisationen ISO und IEC haben die gemeinsame Norm ISO/IEC 42001:2023-12 verabschiedet. Diese trägt den Titel „Information technology – Artificial intelligence – Managementsystem“  und definiert den Aufbau und Betrieb eines Managementsystems für Künstliche Intelligenz, also ein AIMS (englisch) oder KIMS (deutsch).

Ausdrücklich werden darin keine Sicherheitsziele/Gewährleistungsziele genannt, sondern diese sind individuell festzulegen. Darüber hinaus definiert die Norm, welche Kriterien diese Ziele erfüllen müssen. Damit bietet diese Norm die Flexibilität, die jeweils einschlägigen Regelungen zu adressieren und umzusetzen.

Die enthaltenen Vorgaben zum Risikomanagement umfassen neben der bereits aus der Norm ISO/IEC 27001 bekannten Informationssicherheitsrisikobeurteilung und Informationssicherheitsrisikobehandlung zusätzlich die Anforderung eines „AI system impact assessment“, bieten damit also den Rahmen, die Anforderungen des AI Acts umzusetzen. Im normativen Annex A werden in neun Bereichen 38 Maßnahmen („Controls“) zur Behandlung von AI-basierten Risiken aufgeführt.

Im Gegensatz zur ISO/IEC 27001, bei der Umsetzungshinweise in ein separates, informatives Dokument ISO/IEC 27002 ausgelagert sind, werden bereits im Text der ISO/IEC 42001 als Annex B Umsetzungshinweise („Implementation Guidance for AI controls“) gegeben, die aber hier statt nur als informativ jedoch als normativ gekennzeichnet sind. Dies überrascht und eröffnet Potenzial für unterschiedliche Interpretation in Zertifizierungsaudits. Zur Ausgestaltung der Risikoanalyse finden sich dann im informativen Annex C Listen von elf möglichen Sicherheitszielen und sieben Gefährdungen. Diese sind dabei nicht vorgegeben, sondern könnten im Hinblick auf den AI Act und seine Schutzziele auch ohne weiteres angepasst werden.

Die ISO/IEC 42001 folgt der „Harmonized Structure“  für Managementsysteme der ISO. Damit hat ein KIMS/AIMS nach dieser Norm nicht nur denselben Aufbau wie ein ISMS nach der ISO/IEC 27001, sondern kann auch mit diesem integriert werden. Wird also bereits ein ISMS nach ISO/IEC 27001 betrieben, können die Methoden und Inhalte der ISO/IEC 42001 angewendet werden, um als Bestandteil des ISMS eingearbeitet zu werden. Dies kann den Mehraufwand für die Etablierung eines KIMS erheblich reduzieren.

NIST AI 600-1

Das US-amerikanische „National Institute of Standards and Technology“ (NIST) hat den Standard NIST AI 100-1 „Artificial Intelligence Risk Management Framework“ (abgekürzt AI RMF) aufgestellt. Das AI RMF definiert ein Modell für das Verständnis von KI-Systemen, definiert Sicherheitsziele und eine Vorgehensweise zur Governance und zum Risikomanagement von KI-Systemen, das so genannte „AI RMF Core“-Modell mit vier Funktionen: Govern, Map, Measure und Manage.

Die Funktion „Map“ entspricht dabei grob Kapitel 4 eines ISMS resp. AISMS gemäß ISO/IEC 27001 resp. 42001, also dem Verständnis des Kontextes und des Anwendens dessen auf das Managementsystem einschließlich der Identifikation von Risiken gemäß Kapitel 6 ebd. Die Funktion „Measure“ entspricht in etwa dem Risikomanagement mit Analyse und Bewertung, die Funktion „Manage“ dem Ableiten von Risikobehandlungsmaßnahmen sowie deren Nachverfolgung. Die Funktion „Govern“ ist eine Querschnittsfunktion zu den drei anderen Funktionen. Zur Unterstützung der Nutzung des AI RMF wird online ein Playbook angeboten.

Die Anwendung des AI RMF erfolgt in Szenario-spezifischen Profilen, den „AI RMF Profiles“. Ein solches für generative AI ist der Standard NIST AI 600-1 „Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile“. Darin werden zwölf spezifische Risiken identifiziert, die in ihrer Zusammenstellung ungewöhnlich wirken, aber sich direkt auf die initiierende „Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence“ zurückführen lassen. Das Profil befindet sich noch im Entwicklungsstadium, die Ziele können sich deshalb noch ändern. In den vier genannten Funktionen des AI RMF Core werden anschließend auf 52 Seiten Controls (Maßnahmen im Sinne der ISO/IEC 27001 bzw. 42001) zur Begrenzung von Risiken aufgestellt.

Zusammenfassung

Es bestehen standardisierte Ansätze zur Risikoidentifikation und Ableitung von Maßnahmen in Bezug auf KI-Systeme. Diese Risikobehandlung kann Teil eines dedizierte Risikomanagementrahmenwerks für KI-Systeme sein oder Bestandteil einer vorhandenen Managementsystemlandschaft. Die Anwendung der vorhandenen Ergebnisse und Methoden der betrachteten KI-Systeme auf die Vorgaben des AI Acts muss durch eine Organisation individuell untersucht und angepasst werden.

Angesichts der rasanten Entwicklung im Bereich Künstlicher Intelligenz und deren Anwendung auf Geschäftsprozesse können Anpassungen der Standards und neue Methoden und Rahmenwerke erwartet werden.

Hier finden Sie alle Beiträge unserer AI Act- Reihe.