Resilient gegen KI oder resilienter durch KI?

Wie Künstliche Intelligenz bei der Umsetzung von regulatorischen Anforderungen unterstützt

Das Rennen zwischen Hase und Igel – pardon, Regulatorik (z. B. EU-KI-Verordnung DORA oder Digital Operational Resilience Act) und KI-Einsatz – lässt sich mit den Dopingskandalen im Radsport der frühen 2000er Jahre vergleichen. Damals war das Doping, wie heute die KI, den Dopingkontrollen, sprich der Regulatorik, immer einen Schritt voraus.

Bei Künstlicher Intelligenz gibt es jedoch einen entscheidenden Unterschied zum Radsport: KI selbst kann eingesetzt werden, um regulatorische Anforderungen – sei es die EU-KI-Verordnung oder die NIS2-Richtlinie – zu erfüllen und damit die Resilienz von Unternehmen zu erhöhen. Unsere These: Unternehmen werden durch den Einsatz von KI resilienter und sollten sich daher nicht resilient, sprich ablehnend, gegenüber KI zu positionieren. Mit dem gezielten Einsatz von KI können regulatorische Anforderungen einfacher, besser und/oder schneller umgesetzt und gleichzeitig Gefahren mitigiert werden, die die EU-KI-Verordnung in der Anwendung von KI sieht.

Beispiele für KI-Anwendungsfälle aus den Bereichen Cyber Security & Risk Management sowie Human Ressources (HR) sollen aufzeigen, wie dies in der Praxis umgesetzt werden kann.

Beispiel 1: Hohe Risiken im Cyber Security & Risk Management

Einer der von Regulatorik am stärksten betroffene Bereiche ist Cyber Security & Risk Management. IT- und KI-Systeme müssen durch Maßnahmen wie Verschlüsselung, regelmäßige (Sicherheits-)Updates/Patches und Überwachung von Zugriffen vor Manipulation und unbefugten Nutzung geschützt werden. Regulatorische Anforderungen legen beispielsweise die Sicherstellung der Datenintegrität, die Gewährleistung des Datenschutzes sowie grundlegende Standards hinsichtlich der Robustheit von Applikationen (z. B. NIS2, BSIG, DSGVO, etc.) fest.

Viele der in der Cyber Security einsetzbaren KI-Systeme fallen in der EU-KI-Verordnung in die Kategorie der Hochrisiko-KI-Systeme. Dazu gehören insbesondere Systeme, die zur Bedrohungserkennung, Angriffsprävention oder Zugriffsverwaltung eingesetzt werden und erhebliche Auswirkungen auf die IT-Sicherheit haben können. Beispiele dafür sind sowohl KI-gestützte Intrusion-Detection-Systeme, die Netzwerkverkehr analysieren, um Cyberangriffe frühzeitig zu erkennen, als auch automatisierte Schwachstellen-Scans, die potenzielle Sicherheitslücken in IT-Systemen identifizieren. Ein weiteres Beispiel sind KI-basierte Authentifizierungs- und Identifikationssysteme, etwa zur Gesichtserkennung oder Anomalieerkennung bei Login- ersuchen. Ein Fehlverhalten solcher Systemtypen kann, neben unbeabsichtigten Betriebsunterbrechungen, Verstöße gegen die genannten regulatorischen Anforderungen verursachen.

Beispiel 2: Auch HR-IT-Systeme sind hochreguliert

Neben Cyber Security & Risk Management gibt es viele weitere Bereiche, die stark von Regulatorik betroffen sind. Einer davon ist HR. Auch wenn dieser international nicht auf dem gleichen regulatorischen Level standardisiert ist wie der Bereich Cyber Security & Risk Management, unterliegt er durch verschiedene gesetzliche Vorschriften wie dem Arbeitsrecht (z. B. Kündigungsschutz, Arbeitszeitgesetze), Antidiskriminierung (z. B. AGG in 24 Deutschland) oder durch Datenschutzgesetze (z. B. DSGVO) einer starken Normierung. Auch die EU-KI-Verordnung beschäftigt sich intensiv mit der Regulierung des KI-Einsatzes im Bereich HR.

Ähnlich wie bei Cyber Security fallen viele der im HR-Bereich einsetzbaren KI-Systeme in der EU-KI-Verordnung in die Kategorie der Hochrisiko-KI-Systeme. Das sind beispielsweise Systeme, die in verschiedenen HR-Szenarien – z. B. Einstellung, Entlassung, Leistungsbewertung – eine potenzielle Gefahr hinsichtlich Diskriminierung/Bias bergen. Existierende KI-Systeme, die man hier anführen könnte, wären beispielsweise automatisierte Bewerberauswahl, KI-gestützte Vorstellungsgespräche mit Sprachanalyse und Mimik-Interpretation oder automatisierte Entscheidungssysteme für Beförderungen oder Entlassungen. Auch hier, wie im Bereich Cyber Security, besteht bei Fehlverhalten solcher Systemtypen eine konkrete Gefahr von Verstößen gegen die genannten Vorschriften.

Risikomanagement als Prämisse

Die EU-KI-Verordnung adressiert Hochrisiko-KI-Systeme durch spezielle regulatorische Anforderungen, um Sicherheitsrisiken und Grundrechtsverletzungen zu vermeiden. Dazu gehört die Verpflichtung zur Implementierung eines umfassenden und iterativen Risikomanagementsystems, das über den gesamten Lebenszyklus einer Anwendung kontinuierlich potenzielle Risiken für IT-Sicherheit, Datenschutz und Grundrechte identifiziert, Risikoanalysen und Evaluierungen vorschreibt sowie gezielte Gegenmaßnahmen ergreift (Art. 9, §1-2 DORA-VO). Besonders hohe Anforderungen werden an die Robustheit und Cybersicherheit der KI-Systeme gestellt. Hersteller solcher Systeme müssen sicherstellen, dass ihre Modelle gegen Angriffe wie Datenvergiftungen oder adversarielle Manipulationen geschützt sind (Art. 15, §5 DORA-VO). Zudem gibt es strenge Vorgaben zur Datenqualität, insbesondere hinsichtlich Trainings-, Validierungs- und Testdatensätzen, die aktiv auf Bias untersucht werden müssen (Art. 10, §2 DORA-VO). Transparenz- und Dokumentationspflichten sind ebenfalls von grundlegender Bedeutung, einschließlich der Nachvollziehbarkeit von KI- ntscheidungen sowie der lückenlosen Aufzeichnung relevanter Ereignisse über den gesamten Lebenszyklus der KI-Systeme, um Rückverfolgbarkeit zu gewährleisten (Art. 12, §1-2 DORA-VO). Diese kontinuierliche Überprüfung der Modelle soll unter anderem sicherstellen, dass keine neuen Sicherheitslücken entstehen.

Regulatorische Anforderungen umsetzen mit KI

Genau hier, also beim Risikomanagement über den gesamten Lebenszyklus, können KI-Systeme ansetzen und unterstützen. KI-gestützte Systeme helfen dabei, Auditprozesse effizient zu gestalten oder z.B. im Entwicklungsprozess der Modelle die Analyse, Bewertung und das Vorschlagen von Risikomitigationsmaßnahmen (z. B. potenzieller Diskriminierungsrisiken) zu automatisieren. Ein anderer Anwendungsbereich sind Bias-Detection-Tools, die große Datensätze analysieren und über statistische Tests Bias in Trainings-, Test- oder Validierungsdatensätzen aufdecken. Des Weiteren können für die Dokumentationspflicht KI-gestützte, automatisierte Dokumentationsassistenten oder Nachvollziehbarkeitstools zum Einsatz kommen, die die Dokumentation beschleunigen sowie Inkonsistenzen und Schwachstellen erkennen. KI-Systeme können zudem dazu beitragen, andere Modelle gegen Datenvergiftung oder adversarielle Manipulationen zu schützen, indem durch automatisch simulierte Angriffe Sicherheitslücken frühzeitig identifiziert werden.

Die vorgestellten Beispiele für KI-Anwendungen in den Bereichen Cyber Security & Risk Management sowie Human Resources (HR) zeigen, wie der Einsatz von KI einen entscheidenden Mehrwert zur Resilienzsteigerung bei der Erfüllung regulatorischer Anforderungen beitragen kann. Neben der Vereinfachung, Verbesserung und/oder Beschleunigung der Anforderungserfüllung, lassen sich insbesondere auch die in der EU-KI-Verordnung als Hochrisiko-KI-Systeme klassifizierten Systeme besser handhaben. Der Erfolg setzt eine holistische Risikoanalyse bzw. Folgeabschätzungen zu jedem (Hochrisiko-) KI-Anwendungsfall voraus, um die spezifischen Gefahren zu ermitteln und zu bewerten, ob diese durch den Einsatz anderer spezialisierter KI-Anwendungen effektiv reduziert werden können.

Mehr davon? Fordere hier den Mindsetter an!

Resilient gegen KI oder resilienter durch KI?

Beispiel 1: Hohe Risiken im Cyber Security & Risk Management

Beispiel 2: Auch HR-IT-Systeme sind hochreguliert

Risikomanagement als Prämisse

Regulatorische Anforderungen umsetzen mit KI

Kontakt

Kontakt

Links

Wir sind Teilnehmer der Allianz für Cybersicherheit