Neue globale KI-Richtlinie

Der Bereich der Künstlichen Intelligenz (KI) nimmt weiter an Fahrt auf. Erst kürzlich haben die G7-Länder Leitlinien für KI festgelegt. Auf EU-Ebene wird unter Hochdruck auf die Schaffung einer KI-Verordnung hingearbeitet. Nun haben 18 Staaten eine neue globale KI-Richtlinie unterzeichnet und am 27.11.2023 veröffentlicht. Im Gegensatz zu der geplanten KI-Verordnung hat die Richtlinie allerdings keinerlei bindenden Charakter.

„Secure by design“-Richtlinie unterzeichnet von 18 Ländern

In einer gemeinsamen Initiative haben Deutschland und 17 weitere Länder – darunter auch die USA und Großbritannien – eine bahnbrechende Richtlinie für die Entwicklung von KI unterzeichnet. Ziel ist es, KI-Systeme bereits während ihrer Entstehung sicher zu gestalten. Lindy Cameron, CEO des britischen National Cyber Security Centres (NCSC), hält diesen Schritt für notwendig, um der rasanten Entwicklung von KI nachzukommen. Nur so könne man globale Risiken richtig einschätzen und passende Strategien zu deren Eindämmung entwickeln.

Sicherheit als oberste Priorität bei KI-Entwicklung

Als erste globale KI-Richtlinie, um sichere KI-Entwicklung zu gewährleisten, bezeichnet die britische Regierung die neue Vereinbarung. Die Richtlinie solle Entwickler-Unternehmen dabei unterstützen, informierte Entscheidungen für die Schaffung sicherer KI-Systeme zu treffen. Der „secure by design“ Ansatz bedeute, dass der Sicherheitsaspekt den gesamten Entwicklungs-, Einführungs- und Betriebsprozess bestimmen und sich die Unternehmer hieran orientieren sollen.

Keine Unterscheidung von KI-Arten

Die von Großbritannien veröffentlichte Vereinbarung legt Wert darauf, dass KI-Anwendungen, unabhängig von ihrer Art, sicher sind. Neben den KI-Systemen selbst, gilt die Richtlinie deswegen auch für Produkte, die KI nur verwenden, nicht aber selbst entwickelt haben. Das wird damit begründet, dass informierte Entscheidungen in Bezug auf Cybersicherheit ebenso für Anwendungen getroffen werden müssen, die auf bereits bestehenden KI-Modellen basieren. Im Umkehrschluss bedeute das aber auch, dass gleichsam Entwickler kleinerer KI-Dienste verantwortlich sind.

Richtlinieninhalt: Vier Sicherheitsbereiche

Die neuen Regelungen lassen sich in vier Hauptbereiche unterteilen.

Entwurfsphase

Zum einen soll sichergestellt werden, dass KI-Systeme sicher designt werden. Dafür müssen betroffene Unternehmen zunächst ihre Mitarbeiter über Gefahren und Risiken aufgeklären. Dann soll das System angepasst an die Risiken unter Abwägung der Vor- und Nachteile für Sicherheitsaspekte entworfen werden.

Entwicklungsphase

Zudem muss auch in der anschließenden Entwicklungsphase dieser Aspekt beachtet werden. Werden für die Entwicklung andere KI-Systeme verwendet, muss ihre Sicherheit analysiert und überwacht werden. Im nächsten Schritt muss jeder weitere Vorgang, der bei der KI-Entwicklung vorgenommen wird, dokumentiert, verwaltet und auf Risiken geprüft werden.

Bereitstellungsphase

Im Rahmen der Bereitstellungphase sollen die KI-Unternehmen zunächst Cybersicherheitsmaßnahmen implementieren. Daneben müssen auch Prozesse für das Vorgehen in einem Sicherheitsvorfall festgelegt werden. Zudem dürfen Betreiber das System für die öffentliche Nutzung erst bereitstellen, nach sorgfältiger Prüfung. Nach Veröffentlichung müssen die Nutzer bei der sachgemäßen Verwendung des Produkts unterstützt werden. Dazu gehört auch das sie Leitlinien in die Hand bekommen, die ihnen zeigen, welche Beschränkungen und rechtlichen Vorgaben sie einhalten müssen.

Betrieb und Wartung

Zuletzt sind Risiken auch nach der Bereitstellung kontinuierlich zu minimieren. Das beinhaltet eine ununterbrochene Systemüberwachung, Kontrolle von Missbrauchsfällen, regelmäßige Updates und eine Berichterstattung.

Verhaltenskodex statt Innovationsbremse

Passend zu den aktuellen Hemmnissen bei der Schaffung der europäischen KI-Verordnung, haben die KI-Richtlinien keine Bindungswirkung. Vielmehr sollen sie Unternehmen als Orientierung und Empfehlung für eine sichere KI-Entwicklung dienen. Das auch Deutschland und Frankreich diesen Ansatz unterstützen überrascht vor dem Hintergrund nicht, dass sie mit Hinblick auf die KI-Verordnung sich in einem Positionspapier für eine verpflichtende Selbstregulierung statt einer strengen Regulierung einsetzen.

Fazit

Die globale Unterzeichnung einer neuen KI-Richtlinie ist zweifellos ein Schritt in Richtung Sicherheit im KI-Bereich. Es bleibt jedoch die Frage, ob nicht-bindende Empfehlungen ausreichen, um die wachsenden Herausforderungen im KI-Bereich zu bewältigen. Während auf EU-Ebene weiterhin Verhandlungen über die KI-Verordnung stattfinden, zeigen Länder wie Deutschland, Frankreich und Italien eine Zurückhaltung gegenüber verpflichtenden Regulierungen für Basismodelle. Die Debatte um die Sicherheit von KI-Systemen wird zweifellos weitergehen.