Warum KI Governance benötigt
Für fast alle Unternehmen ist künstliche Intelligenz (KI) derzeit ein aktuelles Thema. Nun gilt es, die vielversprechenden Vorteile zu testen und zu nutzen. Mit KI sind jedoch potenzielle Herausforderungen und Risiken verbunden, die für eine sichere, verantwortungsvolle, zuverlässige und ethische Entwicklung, Anwendung und Nutzung bewältigt werden müssen. Hier kommt die ISO/IEC 42001, ein internationaler Standard für Managementsysteme für künstliche Intelligenz, als anerkannte Leitlinie für die Entwicklung und Bereitstellung vertrauenswürdiger KI-Lösungen ins Spiel.
Obwohl es KI schon seit einiger Zeit gibt, wurde sie bis vor kurzem nicht wirklich enthusiastisch angenommen. Eine kürzlich von DNV durchgeführte ViewPoint-Umfrage ergab, dass ein erheblicher Teil der Unternehmen (58 Prozent) noch keine KI-Technologien implementiert hat und insgesamt mehr als 70 Prozent der befragten Unternehmen als Einsteiger in Bezug auf KI bezeichnet werden können. Die Zahlen verdeutlichen, dass KI für die Mehrheit noch keine strategische Priorität hat.
Viele der Unternehmen, die an der Umfrage teilgenommen haben, mögen in Bezug auf KI Einsteiger sein, es sind aber etablierte Unternehmen denen die Notwendigkeit oder die Vorteile von Governance nicht unbekannt ist. Sie haben bereits ein Managementsystem eingeführt, das mindestens einer ISO-Norm entspricht, wie z. B. ISO 9001 (Qualität), ISO 14001 (Umwelt) oder ISO/IEC 27001 (Informationssicherheit). Allerdings haben insbesondere diejenigen, die sich noch in einem sehr frühen Stadium befinden, noch nicht erkannt, dass derselbe Ansatz auch in Bezug auf KI angewendet werden muss.
Der wachsende Bedarf an Governance
Unternehmen, die wir als „Einsteiger“ in Bezug auf KI bezeichnen, konzentrieren sich in erster Linie auf den Einsatz von KI zur Steigerung der Effizienz und zur Verbesserung interner Prozesse. Dies ist ein üblicher erster Schritt, da Lösungen wie Copilot und ChatGPT und deren Implementierung relativ unkompliziert sind. Mit zunehmender Reife der Unternehmen geht jedoch tendenziell eine Verlagerung hin zu externen, komplexeren KI-Initiativen einher, die darauf abzielen, Einnahmen zu generieren und neue Geschäftsmöglichkeiten zu erschließen. Mit dem Fortschritt geht ein erhöhter Bedarf an strukturierter Governance einher, um Risiken bestmöglich zu kontrollieren und eine sichere, zuverlässige und ethische Entwicklung, Implementierung und Anwendung von KI zu gewährleisten.
Die Regulierung im Bereich KI nimmt zu und Unternehmen müssen die Einhaltung von Vorschriften nachweisen. Darüber hinaus besteht eine inhärente Skepsis seitens der Nutzer, die eine Vertrauenslücke schafft, die es zu überbrücken gilt. Um einer Technologie vertrauen und sie nutzen zu können, müssen wir verstehen, wie sie funktioniert, und in der Lage sein, ihre Sicherheit, Zuverlässigkeit und Transparenz zu beurteilen. Dieses Thema wird in einem Bericht des AI Assurance Club vom März 2024 mit dem Titel AI Governance and Assurance Global Trends 2023-24 hervorgehoben. Der Bericht beschreibt globale Trends und die Entwicklung der Gesetzgebung auf der ganzen Welt. Zum Thema Vertrauen heißt es in dem Bericht: „Im Zentrum des KI-Governance-Puzzles steht das Thema Vertrauen. Da KI-Systeme immer stärker in unser Leben integriert werden – in die Infrastruktur, in Geschäftsprozesse, in öffentliche Dienstleistungen oder in Konsumgüter – müssen die Nutzer darauf vertrauen können, dass die Systeme stets wie vorgesehen funktionieren, ohne Schaden zu verursachen.”
Überbrückung der Vertrauenslücke
Die Vertrauenslücke bezieht sich auf den potenziellen Mangel an Vertrauen und Transparenz über die KI-gestützten Produkte und/oder Dienstleistungen einer Organisation. Wenn beispielsweise ein Krankenhaus KI-gestützte Diagnosen verwendet, kann ich als Patient dann darauf vertrauen, dass diese genauso gut oder sogar besser sind als die Beurteilung durch den Arzt allein? Um die Vertrauenslücke zu überbrücken, bevor KI-Systeme zu komplex und autonom werden, ist eine starke Governance erforderlich.
Der Aufbau von Vertrauen ist ein zentrales Merkmal aller ISO-Standards für Managementsysteme, daher sollte es nicht überraschen, dass derselbe Ansatz auch auf KI angewendet werden kann. Die ViewPoint-Umfrage ergab, dass die meisten Unternehmen, die bei der Entwicklung und Implementierung von KI führend sind, bereits die Einführung eines KI-Managementsystems in Betracht ziehen, um eine adäquate Governance sicherzustellen, und dass sie die ISO/IEC 42001 bereits kennen.
Es gibt bereits mehrere KI-Rahmenwerke und ergänzende Standards, darunter das NIST-AI Risk Management Framework, die ISO/IEC 23894 KI-Leitlinien für Risikomanagement, die ISO/IEC 5338 Lebenszyklusprozesse für KI-Systeme und die ISO/IEC TS 25058. Im Dezember 2023 führte die ISO mit der ISO/IEC 42001 einen Managementsystemstandard für künstliche Intelligenz (AIMS) ein. Dies ist der erste zertifizierbare internationale Standard, der einen soliden Ansatz für das Management der KI-Chancen und -Risiken in einer Organisation bietet. Dieser Standard ermöglicht es Unternehmen, zusätzliche Maßnahmen zu ergreifen, um das Vertrauen zu stärken. Die Einhaltung wird durch ein Zertifikat nachgewiesen, das eine unabhängige externe Zertifizierungsstelle wie DNV ausstellt. Zudem basiert der Standard auf der Harmonized Structure (HS) der ISO und kann so leicht in andere Managementsysteme integriert werden.
Die ISO/IEC 42001 basiert auf derselben Harmonized-Structure wie andere ISO-Managementsysteme, sodass die Struktur für Unternehmen, die bereits ein Managementsystem eingeführt haben, vertraut ist. Gemäß der „Plan-Do-Check-Act“-Methode umfasst ISO/IEC 42001 Anforderungen und Leitlinien für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung des KI-Managementsystems. Da alle Befragten der ViewPoint-Umfrage Cybersicherheit als Hauptbedrohung für ihre KI-Implementierung nannten, kann die Integration in ein ISO/IEC 27001-konformes Informationssicherheits-Managementsystem von großem Nutzen sein.
Vertrauen aufbauen
Die Norm ISO/IEC 42001 wird zweifellos noch an Bedeutung gewinnen, da immer mehr Länder KI-Vorschriften einführen. In den USA und China gibt es bereits Vorschriften und Richtlinien. In Europa ist kürzlich das weltweit erste umfassende KI-Gesetz, der EU AI ACT, in Kraft getreten. Das Gesetz zielt darauf ab, die sichere, vertrauenswürdige und ethische Entwicklung von KI-Systemen zu fördern und sicherzustellen. Um die Einhaltung von Vorschriften und Gesetzen zu gewährleisten und Vertrauen aufzubauen, wird die Einführung von Corporate Governance zu einem zentralen Aspekt.
Der Aufbau einer zentralen Kernfunktion über Teamgrenzen hinweg, die KI-Technologien, Anwendungsfälle und Anbieter kennt und versteht, ist von zentraler Bedeutung, um die KI-Governance sicherzustellen. Darüber hinaus wird es aufgrund des sich ständig weiterentwickelnden Bereichs der KI und seines sich wandelnden regulatorischen Umfelds notwendig sein, dass ein benannter Governance-Ausschuss und die Interessengruppen das KI-Governance-Programm regelmäßig überprüfen und aktualisieren. Hierin liegt ein weiterer Vorteil der Implementierung eines ISO/IEC 42001-konformen Managementsystems und dessen Zertifizierung.
Ein strukturierter Ansatz für die Governance und verantwortungsvolle Nutzung von KI kann letztlich ein Wettbewerbsvorteil sein und jedem Unternehmen dabei helfen, internen und externen Interessengruppen zu zeigen, dass das Unternehmen über einen soliden Ansatz zum Schutz der Nutzer und zur fortlaufenden Verbesserung verfügt. Ein zertifiziertes Managementsystem zeigt das Engagement und die Maßnahmen, die ein Unternehmen täglich ergreift, um eine sichere, zuverlässige und ethische Entwicklung, Implementierung und Nutzung von KI in seinen Prozessen und Produkt- und Dienstleistungsangeboten zu gewährleisten.
