Interview: Wie es um die Compliance bei KI steht

Warum ist Transparenz bei KI-basierten Anwendungen so wichtig? Kann man den Grund darin sehen, dass KI in zunehmend sensiblen und kritischen Bereichen zur Anwendung kommt?
Marc Fliehe: KI kommt zunehmend auch in sicherheitskritischen Bereichen wie Medizintechnik, Fahrzeugen oder industriellen Anlagen zum Einsatz. Ein KI-System darf in diesen Bereichen keine Blackbox sein. Es muss nachvollziehbar sein, wie die Entscheidungen oder Ergebnisse einer KI-Anwendung zustande kommen. Transparenz ist auch für Verbraucher und professionelle Nutzer wichtig. Sie sollten wissen, in welchen Produkten oder Anwendungen Künstliche Intelligenz steckt.

Sind sich die Unternehmen der Bedeutung von Transparenz und Compliance bei KI bereits bewusst genug?
Es herrscht noch viel Verunsicherung, da es noch keine umfassende Regulierung gibt. Umfragen zeigen, dass Unternehmen auf KI-Entwicklungen verzichten, weil sie beispielsweise Probleme mit dem Datenschutz fürchten. Auf der anderen Seite kommen immer wieder KI-Systeme auf den Markt, die zum Beispiel bestimmte Bevölkerungsgruppen benachteiligen.

Welche Compliance-Forderungen für KI bestehen für deutsche Unternehmen schon oder sind gerade in der Entwicklung?
Es gibt grundlegende rechtliche Vorgaben für digitale Anwendungen, die unabhängig von der verwendeten Technologie gelten, zum Beispiel die Datenschutz-Grundverordnung. Darüber hinaus ist KI in vielen Fällen Teil eines Produkts, zum Beispiel eines Fahrzeugs oder eines Medizinprodukts. Hier gelten innerhalb der EU sektorspezifische Regelungen, um die Sicherheit der jeweiligen Produkte zu gewährleisten. Weitere rechtliche Anforderungen für Künstliche Intelligenz sind in Europa mit dem „AI Act“ gerade in Arbeit.

Compliant zu sein, heißt aber auch, die eigenen Anforderungen oder die Anforderungen der Kunden an ein KI-System zu erfüllen. Das können ethische Anforderungen sein, zum Beispiel, dass eine KI keine Menschen aufgrund ihrer Herkunft, Alter, Geschlecht oder anderer Merkmale benachteiligen darf.

Wie kann ein Unternehmen erkennen, ob eine KI die notwendige Compliance erfüllt?Anbieter von KI-Anwendungen in sicherheitskritischen Bereichen müssen ihre Prozesse auf unterschiedlichen Ebenen im Blick behalten. Das gilt unter anderem für die Entwicklung des KI-Modells, das Datenmanagement oder die Cybersicherheit. Auf allen Stufen braucht es Qualitätskontrollen. Verbrauchern oder Business-Kunden helfen unabhängige Zertifizierungen, wenn sie sich nicht allein auf die Aussagen des Anbieters verlassen wollen.

Gibt es bereits Werkzeuge für Unternehmen, die bei einer Prüfung der Transparenz und Compliance von KI helfen können?Zunächst muss geprüft werden, welche Anforderungen an eine KI-Anwendung überhaupt gelten. Ein Spam-Filter für E-Mails wird auch in Zukunft anders behandelt werden als ein autonom fahrendes Auto. Im nächsten Schritt wird überprüft, ob ein KI-System die Anforderungen einhält. Hier gibt es auch schon einige technische Tools, die bei der Bewertung helfen können.

Welche Rolle spielt hier eine KI-Zertifizierung?
KI-Zertifizierungen durch unabhängige Dritte sind ein gutes Instrument, um die Einhaltung rechtlicher Vorgaben zu überprüfen. Eine Zertifizierung dokumentiert die Prüfung und setzt nach innen und außen ein Zeichen, dass das KI-System bestimmte Anforderungen einhält.

Wo stehen wir aktuell bei der Frage nach KI-Zertifizierung? Wann sind erste KI-Zertifikate zu erwarten?
Die Zertifizierung von KI-Anwendungen ist ein sehr dynamisches Feld. Es gibt bereits die ersten Ansätze und Angebote von Prüforganisationen. Weitere Zertifizierungen werden aktuell entwickelt. Gerade die Anbieter von KI-Anwendungen sollten sich aber schon jetzt damit auseinandersetzen.

Worauf sollten Unternehmen achten, wenn ihnen Compliance-Nachweise für KI zum Beispiel von Service-Providern vorgelegt werden?
Grundsätzlich gilt: Von unabhängigen Prüforganisationen ausgestellte Zertifizierungen oder Compliance-Nachweise sind immer besser als reine Selbsterklärungen der Hersteller. Hier gilt der alte Grundsatz: Vertrauen ist gut, Kontrolle ist besser.


Marc Fliehe

ist Leiter Digitalisierung und Cybersecurity beim TÜV-Verband. Zuvor war der Security-Experte

Oliver Schonschek

Recent Posts

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

14 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

14 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

16 Stunden ago

Microsoft Edge erhält neue Sicherheitsfunktion für “unbekannte” Websites

Der Browser wendet beim Besuch bestimmter Websites automatisch strengere Sicherheitsregeln an. Nutzer müssen den erweiterten…

22 Stunden ago

August-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücke

Sie ist eigentlich schon seit Dezember 2019 bekannt. Eine weitere Zero-Day-Lücke wird bisher nicht aktiv…

24 Stunden ago

Microsoft warnt vor möglichem Datenverlust bei Windows-Systemen mit aktuellen CPUs

Betroffen sind Windows-Rechner, die den Befehlssatz VAES unterstützen. Ein Update reduziert vorübergehend die Leistung AES-basierter…

2 Tagen ago