KI-Compliance – Wissen ist die halbe Miete

KI-Gesetz der EU

Das KI-Gesetz der EU basiert auf einem risikobasierten Ansatz zur Regulierung von KI-Systemen. Es teilt diese in vier Kategorien ein: minimales Risiko, allgemeine Zwecke, hohes Risiko und verboten. Das Gesetz listet acht verbotene Anwendungsfälle von KI auf. Dazu gehören Systeme, die manipulative oder ausbeuterische Techniken einsetzen, Social Scoring und Predictive Policing. Auch die Erstellung von Datenbanken zur Gesichtserkennung, die Erkennung von Emotionen bei Mitarbeitern oder Studenten sowie die Nutzung biometrischer Daten zur Erfassung sensibler personenbezogener Informationen (gemäß DSGVO) sind untersagt. Darüber hinaus verbietet das Gesetz biometrische Echtzeit-Identifikationssysteme in öffentlichen Räumen zu Strafverfolgungszwecken.

 

Für Unternehmen ist es entscheidend, zwischen verbotenen und Hochrisikosystemen zu unterscheiden. Der erste Schritt besteht jedoch darin, zu analysieren, wie KI in den eigenen Geschäftsprozessen sinnvoll eingesetzt werden kann.

 

Schatten-KI aufdecken

Die Inventarisierung und Verwaltung von IT-Ressourcen ist eine zentrale Aufgabe für Unternehmen. Neben den genehmigten Apps und Cloud-Diensten nutzen Mitarbeiter jedoch häufig weitere, nicht verwaltete Anwendungen, die oft KI-Funktionen enthalten. Ein Cloud Access Security Broker (CASB) kann solche Apps und Dienste im IT-Ökosystem identifizieren und nach Kriterien wie der Verwendung von KI kategorisieren. Sobald alle KI-Systeme erfasst sind, zeigt die Analyse der Datenflüsse, welche Informationen von welchen KI-Anwendungen verarbeitet werden.

 

Diese Erkenntnisse helfen CISOs und IT-Administratoren, fundierte Entscheidungen über den Einsatz oder die Deaktivierung bestimmter Anwendungen zu treffen. Richtlinien zur Verhinderung von Datenverlust (DLP) unterstützen Unternehmen dabei, vertrauliche Daten zu kennzeichnen und zu kontrollieren, ob KI-Systeme darauf zugreifen. Zudem können DLP-Richtlinien KI-generierte Inhalte identifizieren. Lösungen wie Cloud Security Posture Management (CSPM) und SaaS Security Posture Management (SSPM) überwachen die Konfiguration von KI-Ressourcen. Sie verhindern sogenannte „Konfigurationsdrift“ und stellen sicher, dass KI-gestützte Anwendungen und Dienste innerhalb der vorgegebenen Parameter genutzt werden.

 

Schutz von Mitarbeitern, Kunden und der Öffentlichkeit  

Einige verbotene KI-Anwendungen betreffen Arbeitgeber besonders stark. Dazu gehören die Verbote der Emotionserkennung, des Social Scoring und der Nutzung biometrischer Daten zur Erfassung sensibler persönlicher Informationen. DLP-Richtlinien helfen, sensible Daten im Sinne der DSGVO zu identifizieren – selbst wenn diese Daten von einem KI-System generiert wurden.

 

Die Emotionserkennung unterscheidet sich von herkömmlichen Sentiment-Analyse-Tools, die seit Langem eingesetzt werden, um die Arbeitsmoral oder die Reaktion der Mitarbeiter auf Unternehmensentscheidungen zu messen. Während Sentiment-Analyse positive oder negative Reaktionen erkennt, geht die Emotionserkennung deutlich weiter. Sie identifiziert ein breiteres Spektrum spezifischer Emotionen und birgt daher ein höheres Risiko für manipulative oder ausbeuterische Anwendungen.

 

Überwachungstools wie User and Entity Behaviour Analytics (UEBA) nutzen KI, um Muster normalen Nutzerverhaltens zu erstellen. So können Abweichungen erkannt werden, die auf eine Gefährdung hindeuten. Einige UEBA-Lösungen weisen Benutzern auch in Echtzeit einen Risikowert zu, der auf ihrer Nutzung von IT-Ressourcen basiert. Dieser Wert dient dazu, Zugriffsrechte dynamisch anzupassen oder Mitarbeiter auf zusätzliche Schulungen zu Unternehmensrichtlinien hinzuweisen.

 

Das Gesetz verbietet Social Scoring, jedoch nur unter bestimmten Bedingungen. Es ist untersagt, wenn die Bewertung einer Person in einem anderen Kontext als dem ursprünglichen Erhebungszweck verwendet wird und dieser Person Schaden zufügt. Auch Bewertungen, die unverhältnismäßig zum Verhalten einer Person sind, fallen unter das Verbot. UEBA-Lösungen hingegen bleiben erlaubt, da sie Risikobewertungen nur innerhalb des IT-Ökosystems eines Unternehmens anwenden. Diese Bewertungen dienen dazu, Vorsichtsmaßnahmen oder Disziplinarmaßnahmen im Rahmen der Nutzung von IT-Ressourcen umzusetzen.

 

Unternehmen sollten den Einsatz innovativer UEBA-Tools prüfen, um die Einhaltung von KI-Vorschriften zu gewährleisten. Solche Tools analysieren die Interaktionen der Nutzer mit KI-Systemen und helfen dabei, unbefugte oder schädliche Aktivitäten zu erkennen und zu verhindern.

 

Social Scoring birgt hingegen ein höheres Risiko für negative Auswirkungen auf Kunden. Besonders in sensiblen Branchen wie dem Finanzwesen oder bei der Weitergabe KI-generierter Daten an Partnerunternehmen kann dies problematisch werden. Hier zeigt sich die Bedeutung von DLP-Richtlinien, die KI-generierte Daten kennzeichnen und Datenflüsse zwischen Anwendungen nachverfolgen.

 

Unternehmen müssen außerdem sicherstellen, dass KI keine Inhalte produziert, die als manipulativ oder ausbeuterisch interpretiert werden könnten. Social-Media-Plattformen etwa haften zwar nicht für nutzergenerierte Inhalte, können aber haftbar gemacht werden, wenn KI-Algorithmen gefährliche Inhalte fördern – insbesondere, wenn diese Kinder oder andere schutzbedürftige Gruppen ansprechen.

 

Neben der Einführung technischer Schutzmaßnahmen sollten Unternehmen ihre Mitarbeiter im ethischen Umgang mit KI schulen. Gleichzeitig müssen sie sich vor neuen Angriffsmethoden wie Prompt Injection schützen. Kriminelle nutzen diese Technik, um KI-Systeme dazu zu bringen, schädliche Aktionen auszuführen oder sensible Daten preiszugeben. Moderne Schutzsoftware kann solche Bedrohungen erkennen und eindämmen, sodass Unternehmen KI sicher und im Einklang mit gesetzlichen Vorgaben einsetzen können.

Weitere Artikel