KI-Einsatz? Ja, aber mit Fairplay dank der Norm ISO/IEC 420017 | 05 | 25

Ob in Smart Devices wie Handys, in Haushaltsgeräten, Industrieanlagen oder Medizintechnik – KI ist heute überall. Sie soll dem Nutzer Zeit sparen, Ergebnisse verbessern oder gar neue Möglichkeiten eröffnen. Der Einsatz von KI kann aber auch Probleme in Bezug auf Vertraulichkeit schaffen und Risiken für Daten und sogar für Leib und Leben ergeben. Für die Nutzung sollten klare Regeln gelten und Organisationen dazu auch die nötigen Richtlinien und Prozesse festlegen. Vor allem ist bei der Nutzung die Klärung von Fragen zu vier Themenkreisen relevant:

1. Entwicklung: Wie wird die KI technisch implementiert? Welche Lerndaten werden generiert, erneuert, wann und wie verwendet? Wird Open Source verwendet? Kann es Verzerrungen der Ergebnisse geben?
2. Betrieb: Wie werden KI-Lösungen betrieben und über die Laufzeit mit Blick auf Kundenanforderungen und interne Bedarfe gesteuert?
3. Rechtssicherheit: Welche Gesetze sind betroffen? Was ist einzuhalten? Wird die KI-Verordnung heranzuziehen sein? Sind Produkthaftungsprobleme zu erwarten?
4. Organisation: Welche Normen sind relevant? Wie werden der Aufbau und der Erhalt von KI-Kompetenz erfolgen? Wie wird das Risikomanagement auf die Laufzeit gesteuert? Wer kümmert sich wie um Informationssicherheit und Datenschutz?

EU-Regulatorik für Künstliche Intelligenz

In vollem Bewusstsein der möglichen Folgen der KI-Nutzung hat die EU eine KI-Verordnung (Englisch: AI-Act) erlassen, die mehr Klarheit in die Bedingungen der Nutzung sowie deren Grenzen bringen soll. Ziel der neuen Vorschriften ist es, vertrauenswürdige KI in Europa und darüber hinaus zu fördern. Sie sollen sicherstellen, dass KI-Systeme die Grundrechte, die Sicherheit und die ethischen Grundsätze achten sowie die Risiken sehr leistungsfähiger und wirkungsvoller KI-Modelle bewerten und wo erforderlich eingrenzen. Die KI-Verordnung soll interne Forschungs- und Entwicklungsaktivitäten nicht verbieten. Es geht vielmehr darum, Leitplanken für eine gesellschaftlich wünschenswerte KI bereit zu stellen.

Die Gesetzgebung verfolgt einen risikobasierten Ansatz mit vier Stufen. Die Folgen aus der Einstufung reichen von der Freien Nutzung bis zum Verbot, hier ein Überblick:

Unakzeptable Systeme
Sie sind verboten, da sie als eindeutige Bedrohung für die Sicherheit, den Lebensunterhalt und die Rechte von Menschen angesehen werden.

Hochrisiko-Systeme
Diese Systeme setzen KI-Technologie beispielsweise in kritischen Infrastrukturen (Verkehr, Gesundheitswesen, Trinkwasser) ein. Hier können das Leben und die Gesundheit der Bürger gefährdet sein. Sie unterliegen strengen Verpflichtungen, bevor sie auf den Markt gebracht werden können. Hier muss unter anderem auf angemessenes Risikomanagement geachtet werden. Eine hohe Qualität der Datensätze ist nötig. Eine Protokollierung der Tätigkeiten zur Gewährleistung der Rückverfolgbarkeit der Ergebnisse ist ebenso erforderlich, wie ausführliche Unterlagen, die alle erforderlichen Informationen über das System und seinen Zweck enthalten. Die Nutzung unterliegt der Genehmigung durch eine gerichtliche oder andere unabhängige Stelle. Genehmigte Lösungen dürfen das „CE“-Zeichen verwenden.

Systeme mit begrenzten Risiken
Diese Systeme haben geringe, vertretbare Risiken. Das KI-Gesetz führt daher Transparenzverpflichtungen ein, um sicherzustellen, dass Menschen über die KI-Nutzung informiert werden und einschätzen können, ob sie mit einer KI zu tun haben oder nicht.

Systeme mit geringem Risiko
Diese bergen keine wesentlichen Gefahren und können frei verwendet werden.

Zusammenfassend kann gesagt werden, dass aus den vier Klassen die „Hochrisiko-Klasse“ den meisten Aufwand verursachen wird. Diese soll daher auch hier im Fokus stehen.

Hilfestellung durch eine neue Norm

Mit der ISO/IEC 42001:2023-12 steht eine Managementsystemnorm für KI-Systeme zur Verfügung. Sie kann in der Praxis als Grundlage dienen, um KI zu entwickeln, zu betreiben und bereitzustellen. Zudem unterstützt die Norm Organisationen bei der Umsetzung der Regulatorik im Managementsystem, insbesondere für die Abbildung des Risikomanagements. Sie folgt der „Harmonized Structure“ und kann in einem integrierten Managementsystem eingegliedert werden, um die Effizienz und Handhabung des Gesamtsystems zu fördern. Je nach Risiko ist es ratsam, die Norm so bald wie möglich zu implementieren und die Grundlagen für eine Zertifizierung zu schaffen. Damit belegen Organisationen zu einem gewissen Teil auch die Einhaltung der Anforderungen aus dem AI-Act.

Auf Basis der ISO 42006 wird die Zertifizierung der ISO/IEC 42001 möglich sein. Beispielsweise sind heute schon Teile von Amazon Web Services (AWS) auf Basis des Normentwurfs zur ISO/IEC 42006 zertifiziert.

Was ist nun für jedes Unternehmen nötig?

Die neue Technologie ist schon auf jedermanns Schreibtisch. Daher ist es für ALLE heute schon wichtig, einige Spielregeln zu beachten und Maßnahmen zu ergreifen:

1. Festlegung einer KI-Strategie für das Unternehmen (ALLE)
2. Erstellung von Richtlinien für die KI-Nutzung und Kommunikation im Unternehmen (ALLE)
3. Prüfung der Nutzungsarten der KI für die vier Gruppen gemäß KI-Verordnung (ALLE)
4. Aufbau von KI-Kompetenz (nach Bedarf)
5. Risikobasierte Maßnahmen ergreifen (Außerbetriebnahme, Organisation, Kommunikation) (falls relevant)
6. Aufbau eines Risikomanagementrahmens (Nur Hochrisiko-Systeme) auf Basis ISO 42001 mit allen nötigen Komponenten
7. Abgleich der Normeninhalte mit den nötigen Anforderungen aus der KI-Verordnung und Beseitigung vorhandener Lücken

Normgebung und Regulatorik wirken wechselseitig. Der AI-Act setzt den regulatorischen Rahmen und die ISO/IEC 42001 stellt die Basis für ein Managementsystem, das Risiken rechtskonform bewertet und steuert.

Fazit

Die KI ist da, es führt kein Weg mehr zurück. Es geht darum, aus der KI den größtmöglichen Nutzen zu ziehen und Risiken zu begrenzen. In der praktischen Anwendung helfen sich die Norm ISO/IEC 42001 und die Regulatorik gegenseitig, der Aufwand sinkt. Und wenn die KI in einem zertifizierten Rahmen genutzt wird, ist das auch ein Marketingargument. Nicht zu unterschätzen ist auch der Nutzen softwarebasierter Lösungen für die Implementierung und Aufrechterhaltung von Managementsystemen. Auch ISO/IEC 42001 wird bei einigen Anbietern Einzug halten. Das erleichtert die Einbindung in ein integriertes Managementsystem zusätzlich. Je nach Bedeutung von KI für das Geschäftsmodell oder den Auftrag einer Organisation lohnt sich daher die Beschäftigung mit der KI-Managementnorm.

Über den Autor: Klaus Kilvinger

Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.