EU AI Act: Peter Sandkuijl kommentiert KI-Gesetz aus IT-Security-Sicht

KI-Gesetz soll Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen

[datensicherheit.de, 15.03.2024] „Das EU-Parlament hat beschlossen, dem EU AI Act zuzustimmen, daher lohnt sich ein Blick auf die Aspekte der IT-Sicherheit, denn die rasante Verbreitung von KI (Künstliche Intelligenz), insbesondere von generativer KI (GenKI), hat große Chancen, aber auch erhebliche Risiken mit sich gebracht“, kommentiert Peter Sandkuijl, „VP EMEA Engineering und Evangelist“ bei Check Point Software Technologies. Das KI-Gesetz solle nun Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen, zum Beispiel: automatisch jedes Gesicht in einem Raum zu erkennen und die Emotionen, den Gesichtsausdruck und die Abstammung zu analysieren. Es gehe somit nicht darum, Innovationen zu ersticken, sondern einen Rechtsrahmen zu schaffen, „der mit demokratischen Werten in Einklang steht und die Rechte der EU-Bürger schützt“, so Sandkuijl.

Foto: Check Point

Peter Sandkuijl: KI als eine gute Kraft sollte von ethischen Erwägungen und gesellschaftlichem Konsens getragen werden

Erstes Gesetz seiner Art gegen KI-Anwendungen, welche gegen Menschenrechte verstoßen oder Vorurteile aufrechterhalten

Sandkuijl betont: „Dies ist das erste Gesetz seiner Art, welches die Gefahr von KI-Anwendungen, die gegen die Menschenrechte verstoßen oder Vorurteile aufrechterhalten, verringern soll. Ob es sich um das Scannen von Lebensläufen mit geschlechtsspezifischen Vorurteilen handelt, um die allgegenwärtige Überwachung des Öffentlichen Raums durch KI-gesteuerte Kameras oder um die Analyse medizinischer Daten, die sich auf die Krankenversicherung auswirkt – mit dem nun beschlossenen Gesetz sollen klare Grenzen für den Einsatz von KI gesetzt werden, so dass Anbieter und Entwickler einige Leitlinien und Leitplanken haben.“ Damit würden die Verteidiger in der Lage sein, die Grenzen zu erkennen und diejenigen, die dagegen verstoßen, mit den Instrumenten der Strafverfolgung zu bestrafen. Das Augenmerk werde zunächst auf den ersten höheren Geldstrafen liegen, danach gehe es weiter.

Transparenz schon im KI-Trainingsprozess werde als zentraler Grundsatz angesehen, insbesondere im Hinblick auf generative KI. So sollten potenzielle Verzerrungen und KI-Fehler aufgedeckt werden, „bevor sie als Wahrheit umherschwirren, denn auch eine KI muss nicht immer korrekt sein – im Gegenteil: Sie macht mehr Fehler, als man derzeit jeder Technologie zugestehen würden“. Darum werde Transparenz zu einem entscheidenden Instrument, um ihre Unzulänglichkeiten zu mildern.

EU-KI-Gesetz hat vielfältige Auswirkungen auf IT-Sicherheit

Derzeit prüften Gerichte das Gesetz, um es zu erproben und Präzedenzfälle für künftige Straftäter zu schaffen. Sicherheitsexperten müssten sich darüber im Klaren sein, dass dieser Prozess des Aushandelns einige Zeit in Anspruch nehmen werde, „was vielleicht sogar hilfreich ist, aber nicht das Ziel darstellt“. Vielmehr habe das EU-KI-Gesetz mehrere Auswirkungen auf die IT-Sicherheit:

Strengere Entwicklungs- und Bereitstellungsrichtlinien:
Entwickler und Betreiber von KI-Modellen müssten sich an strenge Richtlinien halten, um zu gewährleisten, „dass die Systeme unter dem Aspekt des Security by Design entwickelt werden“. Dies bedeutet laut Sandkuijl, dass Maßnahmen zur IT-Sicherheit von Anfang an einbezogen werden, der Schwerpunkt auf sicherer Kodierung liegt und feststeht, dass KI-Systeme vor Angriffen geschützt sind.

Erhöhte Transparenz:
Das Gesetz schreibe Transparenz bei KI-Operationen vor, insbesondere bei riskanten KI-Anwendungen. Dies könnte bedeuten, dass detailliertere Angaben zu den Daten gemacht werden müssten, „die für das Training von KI-Systemen verwendet werden, zu den Entscheidungsprozessen der KI und zu den Maßnahmen, die zur Gewährleistung von Datenschutz und Sicherheit ergriffen werden“. Transparenz helfe, um Schwachstellen zu erkennen und Bedrohungen zu schwächen.

Verbesserter Datenschutz:
KI-Systeme griffen häufig auf umfangreiche Datensätze zurück, deshalb erfordere die „Data Governance“ des Gesetzes verstärkte Datenschutzmaßnahmen. Dazu gehöre die Gewährleistung der Integrität und Vertraulichkeit personenbezogener Daten, „ein Kernaspekt der IT-Sicherheit ohnehin“.

Rechenschaftspflicht bei KI-Sicherheitsvorfällen:
Die Bestimmungen des Gesetzes würden sich wahrscheinlich darauf erstrecken, Organisationen für Sicherheitsverletzungen im Zusammenhang mit KI-Systemen zur Rechenschaft zu ziehen. „Dies könnte bedeuten, dass strengere Protokolle für die Reaktion auf Vorfälle erstellt werden und dass KI-Systeme über robuste Mechanismen zur Erkennung von und Reaktion auf Zwischenfälle verfügen müssen.“

Abschwächung von Vorurteilen und Diskriminierung:
„Indem das Gesetz die Risiken von Voreingenommenheit und Diskriminierung in KI-Systemen angeht, trägt es indirekt zur IT-Sicherheit bei, denn Schwachstellen von Systemen, die gerecht und unvoreingenommen sind, werden weniger wahrscheinlich ausgenutzt.“ Sandkuijl führt weiter aus: „Wenn sichergestellt wird, dass KI-Systeme auf repräsentativen Datensätzen trainiert werden, kann das Risiko von Angriffen, die voreingenommene Entscheidungsprozesse ausnutzen, verringert werden.“

Zertifizierung und Compliance-Auditierungen:
KI-Systeme mit hohem Risiko müssten strengen Tests und Zertifizierungen unterzogen werden, „um sicherzustellen, dass sie die EU-Standards für IT-Sicherheit erfüllen“. Durch Compliance-Audits werde außerdem sichergestellt, „dass KI-Systeme diese Standards während ihres gesamten Lebenszykluses kontinuierlich einhalten“.

Verhinderung des böswilligen KI-Einsatzes:
Das Gesetz solle außerdem verhindern, „dass der Einsatz von KI für böswillige Zwecke offen möglich ist, wie zur Erstellung von Deepfakes oder zur Automatisierung von Cyber-Angriffen“. Durch die Regulierung bestimmter Verwendungszwecke von KI trage das Gesetz zu einer umfassenderen IT-Sicherheitsstrategie bei, „die das Risiko verringert, dass KI als Werkzeug für virtuelle Kriegsführung und Kriminalität eingesetzt wird“.

Forschung und Zusammenarbeit:
Das Gesetz könnte die Forschung und Zusammenarbeit auf dem Gebiet der KI und der IT-Sicherheit anregen und die Entwicklung neuer Technologien wie auch Strategien zum Schutz von KI-Systemen vor neuen Bedrohungen fördern.

Einführung von GenKI zeigt, dass Gesetzgebung kaum Schritt halten kann

Die Einführung von GenKI zeige, dass die Gesetzgebung nicht Schritt halten könne. Diese Technologie sei so wirkmächtig, dass sie gravierende Auswirkungen auf Branchen, Volkswirtschaften und Regierungen haben werde. „Die Hoffnung, die in das EU-KI-Gesetz gelegt wird, lautet, dass es als Katalysator für eine breite gesellschaftliche Diskussionen dient und die Beteiligten dazu anregen soll, nicht nur die Möglichkeiten der Technologie, sondern auch ihre Auswirkungen zu bedenken.“

Durch die Festlegung klarer Leitlinien und die Förderung eines kontinuierlichen Dialogs werde der Weg für eine Zukunft geebnet, in der KI als eine „gute Kraft“ dienen könne. Sie sollte von ethischen Erwägungen und gesellschaftlichem Konsens getragen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 14.03.2024
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung / Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

datensicherheit.de, 28.02.2024
KI trifft in Deutschland auf verunsicherte Bürger / KI-Modelle benötigen Vielzahl von Daten zum Training