Mit der Verabschiedung des Artificial Intelligence Act der Europäischen Union und den aktuellen rasanten Entwicklungen im Bereich der generativen KI ist die Debatte über die ethische Umsetzung der Technologie schnell in den Fokus des Tech-Ökosystems gerückt. Das EU-KI-Gesetz soll Standards für Anbieter setzen, die ein Produkt oder eine Dienstleistung auf KI-Basis anbieten. Es soll zudem aber auch das Gefühl von Kontrolle und sicherer Regulierung vermitteln. Angesichts des bevorstehenden Cyber Resilience Act der EU wird erwartet, dass das KI-Gesetz weiterentwickelt wird, um spezifische Cybersicherheitskontrollen für KI-Systeme aufzunehmen. Daher ist die Fragestellung, wie eine Regulierung aussehen kann, die Innovationen fördert und gleichzeitig ethische und Sicherheitsstandards gewährleistet, heute wichtiger denn je.
Ethische und Sicherheitsstandards für KI-Anwendungen
KI entwickelt sich rasant und es ist sowohl Aufgabe der Industrie wie auch der Politik, dafür zu sorgen, dass die Technologie verantwortungsvoll eingesetzt wird. Um sicherzustellen, dass dabei der Mensch immer im Mittelpunkt steht, braucht es einen Rechtsrahmen, der ein Gleichgewicht zwischen Schutz und Innovation in der Industrie herstellt. Das KI-Gesetz der EU ist daher ein notwendiger erster Schritt, um eine Governance-Struktur für ethische und sichere Implementierungen von KI-Anwendungen zu schaffen.
Pauschale Verbote sind nicht die Lösung. Tatsächlich gibt es Fallstudien, in denen Verbote Unternehmen eher geschadet als genutzt haben, vor allem in strategischer und innovativer Hinsicht. Dies wird deutlich, wenn man sich die außerordentlichen Fortschritte ansieht, die in der Pharmaindustrie während der Covid-Pandemie durch beschleunigte Test- und Zulassungsverfahren für die Vermarktung neuer Produkte erzielt wurden. Unternehmen sollten sich nicht blind auf eine Technologie einlassen, ohne sich vorher zu vergewissern, dass diese zu ihnen passt. Umfassende Risikobewertungen und die Einhaltung strenger Verfahren, mit entsprechenden Schulungsmaßnahmen, sind unerlässlich, um sicherzustellen, dass Mitarbeitende diese bahnbrechenden Technologien optimal nutzen und gleichzeitig den Datenschutz aufrechterhalten können.
Ein effektiver Umgang mit Cyber-Sicherheitsrisiken von KI-Systemen
In seiner derzeitigen Form ist das KI-Recht der EU eher unflexibel. Es besteht die Gefahr, dass eine KI-Anwendung mit böswilliger Absicht eingesetzt wird, ohne dass es einen Mechanismus gibt, um sie als hochriskant einzustufen. Unternehmen sind gefährdet, wenn sie sich bei der Klassifizierung von Daten oder Protokollen ausschließlich auf KI verlassen. Ein Security Operations Center (SOC), das sich bei der Klassifizierung von Warnmeldungen ausschließlich auf KI verlässt, könnte zum Ziel böswilliger Akteure werden, die Szenarien entwickeln, um die fehlende menschliche Kontrolle automatisch auszunutzen. Dies ist beunruhigend, da wir in der Vergangenheit gesehen haben, wie Bedrohungsakteure KI für effektive und raffinierte Cyber-Angriffe durch Phishing eingesetzt haben. Um die Cybersicherheitsrisiken von KI-Systemen zu mindern, sollten weitere Leitlinien für die Nutzendengemeinschaft aufgenommen werden, damit diese von den bestehenden KI-Standards profitieren kann.
Es gibt also wichtige Elemente der Cyberresilienz, die bei der Weiterentwicklung der KI-Gesetzgebung der EU berücksichtigt werden sollten. Die KI-Landschaft entwickelt sich sehr dynamisch und die Tools, die allen Akteuren zur Verfügung stehen, werden immer ausgefeilter. Daher müssen Vorschriften erlassen werden, die spezifische Sicherheitskontrollen für KI-Systeme festlegen. Dabei ist es wesentlich, den Umfang des Einsatzes von KI bei Cybersicherheitsoperationen zu definieren und menschliche Kontrollen bei automatisierten KI-Prozessen vorzuschreiben. Die Integration von Tools Dritter in die täglichen Prozesse birgt immer ein gewisses Risiko. Während es unbestreitbar ist, dass KI-Tools mehr Autonomie und Produktivität bieten, insbesondere bei der Ausführung einfacher, wiederholbarer Aufgaben, stellt sich die Frage, welche Bedingungen erfüllt sein müssen, damit diese Vorteile tatsächlich ausgeschöpft werden können. Das KI-Gesetz der EU ist einerseits wichtig, um den Einsatz von KI auf breiter Basis zu regulieren, andererseits müssen sich die Unternehmen der internen Nutzung von KI-Tools bewusst sein, die hochsensible Informationen benötigen, um eine Funktion zu erfüllen.
Genau wie bei der Weitergabe sensibler Daten an Dritte (zum Beispiel Wirtschaftsprüfer und externe Dienstleister), müssen auch für generative KI-Tools wie ChatGPT strenge Kontrollen, Richtlinien und Schutzverfahren eingeführt werden. Die Landschaft rund um Datenschutz und KI ähnelt dem Wilden Westen, in dem Unternehmen mit unregulierten und ungesteuerten Tools interagieren, die keine Verantwortung dafür übernehmen, wie sensible Daten verarbeitet und weitergegeben werden. Daher muss – zumindest kurzfristig, bis eine solide Gesetzgebung Unternehmen und Einzelpersonen schützen kann – die Wachsamkeit in Bezug auf den Datenschutz und die Sicherheit im Vordergrund der Entscheidungsfindung stehen, wenn vertrauliche oder private sensible Daten in diese Tools eingespeist werden.
Sicherheitsmaßnahmen für Organisationen bis zur Umsetzung des Gesetzes
Organisationen sollten dem Risiko böswilliger Ausnutzung von KI-Tools begegnen, indem sie sicherstellen, dass ihre Systeme sicher sind. Zu diesem Zweck sollten sie prüfen, ob ihre E-Mail- und Endpoint-Sicherheitslösungen maschinelle Lernfunktionen nutzen, um den bestmöglichen Schutz zu erzielen. KI schafft neue Angriffsflächen für Akteure, die je nach Absicht missbraucht werden können. Daher kann die Implementierung spezifischer Cybersicherheitskontrollen, wie z. B. eine verstärkte Sicherheitsüberwachung von ML- und KI-Systemen, die Widerstandsfähigkeit und Zuverlässigkeit ihrer Anwendungen garantieren. Darüber hinaus hat MITRE ein neues Framework namens ATLAS veröffentlicht, das die Taktiken und Techniken beschreibt, die von Angreifern verwendet werden, um ML-Systeme zu kompromittieren. Dies ist eine wertvolle Ressource für Unternehmen, um ihre Sicherheitskontrollen, Richtlinien und die Sichtbarkeit dieser Angriffsvektoren zu überprüfen.
Fabien Rech ist Senior Vice President und General Manager EMEA bei Trellix.
