Wir verwenden auf unserer Website Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Um Ihnen ein komfortables Online-Erlebnis zu ermöglichen und unsere Kommunikation zu verbessern, klicken Sie auf „ALLE AKZEPTIEREN“. Damit stimmen Sie der Verarbeitung und der Weitergabe Ihrer Daten an unsere Partner für soziale Medien, Werbung und Analysen zu. Sie können Ihre Einwilligungen jederzeit in den Einstellungen widerrufen.
Datenschutzerklärung | Impressum
Datenschutz-Einstellungen

Künstliche Intelligenz: ISO 42001 sichert die Potenziale

25. Nov. 2024 Audit

Die europäische KI-Verordnung für den vertrauenswürdigen Einsatz von Künstlicher Intelligenz (KI) ist seit 1. August 2024 in Kraft. Unternehmen müssen bis August 2026 die Anforderungen erfüllen. Die speziell auf KI ausgelegte neue Norm ISO 42001:2023 bietet bereits einen umfassenden Rahmen für den sicheren Einsatz von KI-Systemen in der Wertschöpfungskette.

Daten sind nie statisch. Dass Maschinen allerdings Muster in Daten autonom erkennen und daraus selbstständig für Aufgabestellungen neue Inhalte erzeugen können, ist eine neue Dimension der Skalierbarkeit in der Datenverarbeitung. Geoffrey Hinton, einer der diesjährigen Nobelpreisträger für Physik, vergleicht das maschinelle Lernen deshalb mit der Industriellen Revolution. Aus seiner Entdeckung der künstlichen neuronalen Netze in den 80-iger Jahren entstehen heute die Anwendungen generativer Künstlicher Intelligenz (KI) wie ChatGPT. Geoffrey Hinton warnt allerdings eindringlich vor den Risiken: „Wir haben keine Erfahrung mit Dingen, die intelligenter sind als die Menschheit.“
Laut OECD-Bericht zur Künstlichen Intelligenz in Deutschland nutzen 2023 etwa 12 Prozent der Unternehmen mindestens ein KI-System, was über dem EU-Durchschnitt von 8 Prozent liege. Mehr als ein Drittel der Großunternehmen setze bereits KI-Technologien ein. Bei den mittleren und kleineren Unternehmen sei dies bei 16 bzw. 10 Prozent der Fall. Viele Unternehmen hätten zwar ein steigendes Interesse an KI-Produkten, allerdings würden vielerorts die Bedenken noch überwiegen, insbesondere hinsichtlich den Themen Risikoeinschätzung, Datenschutz, sozialer Diskriminierung, Governance und Transparenz.

Europäische KI-Verordnung

Um die KI-Landschaft in Europa zu stärken, ist am 1. August 2024 die Verordnung über künstliche Intelligenz (KI-Verordnung bzw. AI-Act) in Kraft getreten. Nach Umsetzung in nationales Recht, werden die meisten Vorgaben ab 2. August 2026 gelten, diejenigen für hochkritische Anwendungen möglicherweise schon 2025. Der Rechtsrahmen ist weltweit erstmalig, weil er sich auf den vertrauenswürdigen Umgang mit KI-Systemen bezieht, bevor sie in Verkehr gebracht werden. Im Mittelpunkt steht die Einhaltung von Grundrechten, Sicherheitsaspekten und ethischen Grundsätze.
Die Verordnung baut auf einem dreistufigen Risikoansatz auf, um Fälschungen, Manipulationen und soziale Ausgrenzungen durch KI zu vermeiden. Unterschieden wird zwischen Systemen mit geringem Risiko, hohem Risiko und einem hochkritischen Risiko. Besonders risikoreiche KI-Systeme werden strikt als nicht annehmbar eingestuft und entsprechende Anwendungen grundsätzlich verboten.
    Minimales Risiko haben beispielsweise KI-gestützte Spamfilter, Produktempfehlungen, Sprach- oder Textumwandlungen für Übersetzungen, Büroorganisation oder Videospiele. Weil hier Nutzer und Nutzerinnen fehlerhafte Inhalte prinzipiell selbst erkennen oder korrigieren können, verlangt die KI-Verordnung keine speziellen Sorgfaltspflichten, die über die gängigen Regeln der IT- und Informationssicherheit hinausgehen. Doch wird auf die freiwillige Einführung von Verhaltenskodizes hingewiesen.
    Nutzerinnen und Nutzer müssen insgesamt deutlich erkennen können, dass sie mit KI-Systemen interagieren. Dies betrifft sämtliche durch KI erzeugte, synthetische Audio-, Video-, Text- und Bildinhalte in den verschiedenen Risikoklassen. Folglich verlangt die KI-Verordnung umfangreiche Transparenz- und Kennzeichnungspflichten, wenn beispielsweise Chatbots für Informationen im Kundenservice reale Daten mit maschinell erzeugten Marktinformationen oder Prognosen kombinieren.
    Bei Nichtbeachtung können mit der Verordnung beträchtliche Geldstrafen auf Unternehmen zukommen: Bis zu 7 Prozent des weltweiten Jahresumsatzes bei Verstößen mit verbotenen KI-Anwendungen, bis zu 3 Prozent bei Verstößen gegen andere Verpflichtungen und bis zu 1,5 Prozent bei der Übermittlung von Falsch-Informationen.

    Grenzen der KI-Verordnung

    Auch wenn sich die Transparenz-Anforderungen des AI-Act vor allem auf risikoreiche Anwendungen beziehen, kann jedoch auch der Einsatz von zunächst als weniger riskant eingestuften Systemen kritische Folge haben. KI-Anwendungen haben durch ihre maschinell lernende assoziative Datenverarbeitung und das Aufsuchen versteckter Datenelemente in den künstlichen neuralen Netze per se eine inhärente Intransparenz. Wissenschaftler weisen darauf hin, dass es technisch nicht möglich ist, den einen „tatsächlichen“ Entscheidungsgrund herauszufinden, wenn generierte Inhalte aus unterschiedlichen, dynamischen Kontexten stammen. Folglich haben auch nachträgliche Erklärungen oder nachträgliche Rückverfolgungen ihre Grenzen. Daher ist der Risiko- und Qualitätsrahmen früh, bereits am Ursprung der Datenbereitstellung anzusetzen.
    Am Anfang eines erfolgreichen und sicher eingesetzten KI-Systems steht die Frage, wie durch ein qualitätsgesichertes Training die Daten auch in der Wertschöpfungskette beherrschbar bleiben und bei voreiligen Ergebnissen interveniert werden kann. Dies betrifft auch ethische Aspekte. Beispiel: Sollten kulturelle Vorurteile bereits die Datenauswahl beeinflussen, werden sich diese Merkmale auch beim Training der Maschine und in den aufsetzenden Algorithmen fortsetzen.

    AI-Managementsystem nach ISO 42001:2023

    Mit der Verbreitung von KI geraten Unternehmen zunehmend in ein Spannungsfeld zwischen den teilweisen kritischen Risiken für das Geschäftsmodell und den vielfachen Möglichkeiten zur Effizienz- und Produktivitätssteigerung. Einen erprobten Lösungsweg bieten Managementsysteme mit aktiv gesteuerten Prozessen zur fortlaufenden Risikobewertung- und Risikominderung durch Transparenz, Genauigkeit und geregelte Verantwortlichkeiten. Gerade bei dem Einsatz der Künstlichen Intelligenz zeigt sich, dass Anwendungen häufig nach einem Bottom-up-Prinzip erprobt werden. Auch wenn KI-Initiative zunächst experimentell in einzelnen Unternehmensfunktionen eingesetzt werden, können die immanenten KI-Risiken dennoch in die gesamte Organisation diffundieren. Folglich ist die Zentralisierung der Qualitätsprozesse (Top-Down-Prinzip) wichtig. Hier setzt die im Dezember 2023 veröffentlichte ISO-Normenfamilie 4200x an. Sie bietet einen umfassenden Prüfrahmen, der speziell am Einsatz von KI-Technologien ausgerichtet ist.
    Im Unterschied zur KI-Verordnung bezieht die Norm nicht nur die kritischen, besonders risikoreichen KI-Systeme ein, sondern jedwede Anwendung auf allen Ebenen der Wertschöpfung. Somit können Unternehmen durch ein etabliertes AI-Managementsystem (AIMS) verhindern, dass einzelne Teams mit KI-gestützten Pilot-Anwendungen experimentieren, in Arbeitsabläufe integrieren, ohne dass die Qualität und Herkunft der verwendeten Daten und die resultierenden Wirkungen für den gesamten Unternehmenskontext bewertet wurden.
    Die aktuelle Version ISO 42001:2023 orientiert sich an der High Level-Struktur der bewährten Managementsysteme anderer weltweit etablierter Standards wie beispielsweise der ISO 27001 zur Informationssicherheit. So basiert auch das AIMS auf den Abschnitten: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung, Verbesserung. Die Struktur der Norm ermöglicht es, den gesamten Lebenszyklus eines KI-Produkts abzudecken: von der Datengewinnung und dem Training der Daten, über das Lieferantenmanagement bis hin zur Außerbetriebnahme.

    Wettbewerbsvorteile

    In der fortschreitenden digitalen Transformation können sich die nach ISO/IEC 42001:2023 zertifizierten Unternehmen als verantwortungsbewusste Anbieter positionieren. Weil der Standard nicht auf Risikoklassen, sondern auf das gesamte organisatorische Umfeld ausgelegt ist, bleiben auch solche als zunächst unkritisch eingestuften KI-Systeme unter Beobachtung. Das AIMS stimmt alle relevanten ethischen und rechtlichen Aspekte mit der technischen Datenanalytik ab und bewertet diese. Das Ergebnis ist eine nachvollziehbare Dokumentation als belastbare Grundlage für die Leistungsbewertung. Diese fortlaufende Verbesserung und Qualitätssicherung ist wesentlich, um KI sicher und produktivitätssteigernd zu integrieren sowie die potenziellen Betriebs- und Haftungsrisiken zu minimieren. In einer sich rasant entwickelnden KI-Landschaft sind das wichtige Wettbewerbsfaktoren.
    Alle Artikel anzeigen