KI? or not to be! - marim consult ist jetzt Partner der Project ConsultProject Consult
  • Risiken der AI

Wie können Unternehmen die Chancen der KI nutzen und dabei die Risiken meistern? Hier sind ein paar pragmatische Ansatzpunkte

Sep. 2024 – Markus J Neuhaus ist Mitglied in der ISACA Fachgruppe Artificial Intelligence und der Kommission Internet und Digitales des BVMW.

Künstliche Intelligenz (KI) verändert die Geschäftswelt – und das in rasantem Tempo. Überall wird gelobt, wie gut sich KI einsetzen lässt. Und wer nicht mitzieht, verliert. Aber wie bei allen neuen Technologien gibt es auch hier Risiken. Die sollte man nicht ignorieren, sondern realistisch einschätzen und pragmatisch lösen.

Wie bewertet man als Unternehmen individuell die potenziellen Risiken einer KI? Und wie klassifiziert man diese? Gilt vielleicht der Grundsatz: Was als Risiko nicht abgesichert werden kann, wird eben versichert? Oder bleibt das Unternehmen auf den Restrisiken sitzen? Was kann ein Unternehmen tun, um Restrisiken zu beherrschen – erst recht, wenn diese nicht auf den ersten Blick zu erkennen sind? 

Vorab: Kein Versicherungsunternehmen wird eine allgemeine Police für den Einsatz von KI anbieten. KI-Tools sind heute einfach, überall und für jedermann mit wenig Aufwand einsetzbar. Der rechtskonforme Zugriff auf fremde Daten ist dabei aber nicht immer gewährleistet und viele rechtliche Fragen sind trotz EU Artificial Intelligence Act noch ungeklärt. Ein Versicherungsunternehmen hat daher keine überschaubare Kalkulationsgrundlage für diese Risiken – oder müsste die Deckung so stark einschränken, dass kein effektiver Schutz für ein Unternehmen besteht.

Das Unternehmen muss sich selbst mit den Risiken auseinandersetzen und diese nach Möglichkeit minimieren. Es muss im Rahmen eines unternehmensweiten KI-Strategieprozesses einen eigenen KI-Risikoprozess entwickeln und etablieren. Dabei gibt es viel zu beachten: Es muss festgelegt werden, wer welche Daten mit welchen Werkzeugen wie auswerten und mit wem kommunizieren darf. Alle klassischen W-Fragen müssen gestellt und im Team beantwortet werden. Und diese Voraussetzungen sind als Teil des KI-Strategieprozesses nicht statisch, sondern unterliegen einer regelmäßigen Anpassung – und sie sind vielfältiger, als man auf den ersten Blick vermuten würde. Dies zwingt auch dazu, den KI-Risikoprozess kontinuierlich weiterzuentwickeln und im Unternehmen zu verankern.

Die ersten am Markt zu findenden Quick Checks AI erweisen sich in der Praxis als unzureichend, da sie entweder zu allgemein sind und somit die individuellen Anforderungen eines Unternehmens hinsichtlich der Einschätzung von Risiken auf Basis der jeweiligen Rahmenbedingungen nicht erfüllen. Folglich ist die Entwicklung eines eigenen Vorgehens zur Risikoeinschätzung unumgänglich.

Als Basis bietet es sich an, die wichtigsten Fragen der Europäischen Kommission durchzuarbeiten, die diese im Rahmen des EU AI Acts zu Regulation der KI beantwortet hat. Diese Übersicht zeigt nicht nur den beschriebenen Umgang mit bekannten Phänomenen wie Halluzinationen, sondern auch die Betrachtung versteckter Risiken und Schwachstellen im Datenschutz, der Compliance, der Bedrohungen der Cybersicherheit und der Gefahr der Voreingenommenheit bei der Entscheidungsfindung.

KI-gestützte Entscheidungen müssen z.B. auch ethische Aspekte berücksichtigen. Die Kombination aus mangelnder Transparenz und Verlässlichkeit, voreingenommenen Bewertungen und unkoordiniertem Einsatz von KI-Tools führen zu Ergebnissen, die nicht unmittelbar logisch bewertbar und daher mit Vorsicht zu genießen sind. Dies bedeutet zunächst auch einen deutlich erhöhten Betreuungsaufwand für die übrigen Mitarbeiterinnen und Mitarbeiter des Unternehmens – gerade bei der Einführung von KI.

Die Chancen und Vorteile des Einsatzes von KI werden zunichte gemacht, wenn interne Daten von ungeschulten Mitarbeitern über beliebige Geräte in das Internet eingespeist werden oder Daten aus bekannten und unbekannten Quellen genutzt und in das Unternehmen eingespeist werden. Hier empfiehlt es sich Studien der Universitäten aus Stanford und Berkeley CLTC zu lesen.

Die überwältigende Auswertung unternehmensinterner statistischer Daten mit KI-Lösungen lässt jedoch meist alle Vorsicht fahren. Woher kommen die Daten? Aus dem freien Internet! Dort identifizieren KI-Lösungen schnell und effizient relevante Aspekte und liefern innerhalb kürzester Zeit Ergebnisse. Die Faszination dieser extrem schnellen Antworten lässt jeden Zweifel an der Richtigkeit der Ergebnisse und möglichen Eigentumsverhältnissen vergessen. Aber kann ein Unternehmen die Daten wirklich ohne Bedenken nutzen?

Welche Faktoren genau die Ergebnisse einer KI beeinflussen und welche Risiken sich daraus ergeben, ist in vielen Fällen nicht unmittelbar erkennbar. Auch die Anbieter von KI-Werkzeugen selbst können dies nicht immer vollständig beurteilen. Deshalb gilt es, diese Ergebnisse konsequent auszuwerten, eine gesunde Skepsis zu entwickeln und die Mitarbeiterinnen und Mitarbeiter kontinuierlich zu schulen. Nur durch einen regelmäßigen Austausch – sowohl innerhalb des Unternehmens als auch mit temporärer externer Unterstützung – können Chancen und Risiken besser eingeschätzt und bewältigt werden. Eine aktuelle Übersicht der MIT-KI-Risiko-Klassen sind auf den Seiten des MIT einzusehen.

Neben den regulatorischen Aspekten zeigt sich hier auch, dass der Aufbau einer umfangreichen und nicht beherrschbaren Schatten-IT die Unternehmen vor ungeahnte zusätzliche Herausforderungen stellt. Diese müssen gelöst werden, um die Zukunftsfähigkeit des Unternehmens zu sichern. KI-Werkzeuge werden sonst dezentral an den unterschiedlichsten Stellen im Unternehmen eingesetzt – dann oft ohne Rücksprache mit dem Management oder der IT. Dies stellt zusätzlich eine große IT-Security-Gefahr für jedes Unternehmen dar.

Es ist nahezu unmöglich zu bestimmen, welche KI-Anwendungen in welchem Rahmen für das eigene Unternehmen am besten geeignet sind. Die Aufstellung eines Praxisleitfadens für KI-Modelle seitens der EU ist erst für April 2025 angedacht. Bis dahin sind individuelle Richtlinien eine gute Grundlage und können bei Bedarf angepasst werden. Sie sorgen dafür, dass alle Mitarbeitenden wissen, was erlaubt ist und was nicht. So lassen sich betriebliche Abläufe einfach steuern. Eine wertvolle Hilfe bei der Erstellung und Anpassung von Richtlinien ist das ISACA Artificial Intelligence Audit Toolkit, das Vorlagen für Richtlinien enthält.

Ein begleitendes Coaching des gesamten Unternehmens ist dabei unerlässlich, um Risiken und Schwachstellen adäquat zu begegnen. Entscheidend ist dabei, dass eine langfristige Kontinuität im Umgang mit KI-Werkzeugen gewährleistet ist. Nur so können Einsatzfelder entlang der Wertschöpfungskette eines Unternehmens deutlich schneller und nachhaltiger identifiziert werden. Dies kann nur durch ein dediziertes KI-Team und einen kontinuierlich verbesserten KI-Strategieprozess gewährleistet werden.

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !


1 EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
2 Europäische Kommission: https://ec.europa.eu/commission/presscorner/api/files/document/print/de/qanda_21_1683/QANDA_21_1683_DE.pdf
3 Stanford: https://aiindex.stanford.edu/report/
4 Berkeley CLTC: https://cltc.berkeley.edu/publication/ai-risk-management-standards-profile/
5 MIT: https://airisk.mit.edu/#Repository-Overview
6 ISACA: https://store.isaca.org/s/store#/store/browse/detail/a2S4w000007kB9pEAE