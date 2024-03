Der EU AI Act aus Security-Sicht

März 2024 von Peter Sandkuijl, VP EMEA Engineering und Evangelist, Check Point Software Technologies

Das EU-Parlament hat beschlossen, dem EU AI Act zuzustimmen, daher lohnt sich ein Blick auf die Aspekte der IT-Sicherheit, denn die rasante Verbreitung von KI (Künstliche Intelligenz), insbesondere von generativer KI (GenKI), hat große Chancen, aber auch erhebliche Risiken mit sich gebracht. Das KI-Gesetz soll nun Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen, zum Beispiel: automatisch jedes Gesicht in einem Raum zu erkennen und die Emotionen, den Gesichtsausdruck und die Abstammung zu analysieren. Es geht somit nicht darum, Innovationen zu ersticken, sondern einen Rechtsrahmen zu schaffen, der mit demokratischen Werten in Einklang steht und die Rechte der EU-Bürger schützt.

Dies ist das erste Gesetz seiner Art, welches die Gefahr von KI-Anwendungen, die gegen die Menschenrechte verstoßen oder Vorurteile aufrechterhalten, verringern soll. Ob es sich um das Scannen von Lebensläufen mit geschlechtsspezifischen Vorurteilen handelt, um die allgegenwärtige Überwachung des öffentlichen Raums durch KI-gesteuerte Kameras oder um die Analyse medizinischer Daten, die sich auf die Krankenversicherung auswirkt – mit dem nun beschlossenen Gesetz sollen klare Grenzen für den Einsatz von KI gesetzt werden, so dass Anbieter und Entwickler einige Leitlinien und Leitplanken haben. Damit werden die Verteidiger in der Lage sein, die Grenzen zu erkennen und diejenigen, die dagegen verstoßen, mit den Instrumenten der Strafverfolgung zu bestrafen. Das Augenmerk wird zunächst auf den ersten höheren Geldstrafen liegen, danach geht es weiter.

Transparenz schon im KI-Trainingsprozess wird als zentraler Grundsatz angesehen, insbesondere im Hinblick auf generative KI. So sollen potenzielle Verzerrungen und KI-Fehler aufgedeckt werden, bevor sie als Wahrheit umherschwirren, denn auch eine KI muss nicht immer korrekt sein – im Gegenteil: sie macht mehr Fehler, als man derzeit jeder Technologie zugestehen würden. Darum wird Transparenz zu einem entscheidenden Instrument, um ihre Unzulänglichkeiten zu mildern.

Derzeit prüfen Gerichte das Gesetz, um es zu erproben und Präzedenzfälle für künftige Straftäter zu schaffen. Sicherheitsexperten müssen sich darüber im Klaren sein, dass dieser Prozess des Aushandelns einige Zeit in Anspruch nehmen wird, was vielleicht sogar hilfreich ist, aber nicht das Ziel darstellt. Vielmehr hat das EU-KI-Gesetz mehrere Auswirkungen auf die IT-Sicherheit:

1- Strengere Entwicklungs- und Bereitstellungsrichtlinien: Entwickler und Betreiber von KI-Modellen müssen sich an strenge Richtlinien halten, um zu gewährleisten, dass die Systeme unter dem Aspekt des Security by Design entwickelt werden. Dies bedeutet, dass Maßnahmen zur IT-Sicherheit von Anfang an einbezogen werden, der Schwerpunkt auf sicherer Kodierung liegt und feststeht, dass KI-Systeme vor Angriffen geschützt sind.

2- Erhöhte Transparenz: Das Gesetz schreibt Transparenz bei KI-Operationen vor, insbesondere bei riskanten KI-Anwendungen. Dies könnte bedeuten, dass detailliertere Angaben zu den Daten gemacht werden müssten, die für das Training von KI-Systemen verwendet werden, zu den Entscheidungsprozessen der KI und zu den Maßnahmen, die zur Gewährleistung von Datenschutz und Sicherheit ergriffen werden. Transparenz hilft, um Schwachstellen zu erkennen und Bedrohungen zu schwächen.

3- Verbesserter Datenschutz: KI-Systeme greifen häufig auf umfangreiche Datensätze zurück, deshalb erfordert die Data Governance des Gesetzes verstärkte Datenschutzmaßnahmen. Dazu gehört die Gewährleistung der Integrität und Vertraulichkeit personenbezogener Daten, ein Kernaspekt der IT-Sicherheit ohnehin.

4- Rechenschaftspflicht bei KI-Sicherheitsvorfällen: Die Bestimmungen des Gesetzes werden sich wahrscheinlich darauf erstrecken, Organisationen für Sicherheitsverletzungen im Zusammenhang mit KI-Systemen zur Rechenschaft zu ziehen. Dies könnte bedeuten, dass strengere Protokolle für die Reaktion auf Vorfälle erstellt werden und dass KI-Systeme über robuste Mechanismen zur Erkennung von und Reaktion auf Zwischenfälle verfügen müssen.

5- Abschwächung von Vorurteilen und Diskriminierung: Indem das Gesetz die Risiken von Voreingenommenheit und Diskriminierung in KI-Systemen angeht, trägt es indirekt zur IT-Sicherheit bei, denn Schwachstellen von Systemen, die gerecht und unvoreingenommen sind, werden weniger wahrscheinlich ausgenutzt. Wenn sichergestellt wird, dass KI-Systeme auf repräsentativen Datensätzen trainiert werden, kann das Risiko von Angriffen, die voreingenommene Entscheidungsprozesse ausnutzen, verringert werden.

6- Zertifizierung und Compliance-Auditierungen: KI-Systeme mit hohem Risiko müssen strengen Tests und Zertifizierungen unterzogen werden, um sicherzustellen, dass sie die EU-Standards für IT-Sicherheit erfüllen. Durch Compliance-Audits wird außerdem sichergestellt, dass KI-Systeme diese Standards während ihres gesamten Lebenszykluses kontinuierlich einhalten.

7- Verhinderung des böswilligen KI-Einsatzes: Das Gesetz soll außerdem verhindern, dass der Einsatz von KI für böswillige Zwecke offen möglich ist, wie zur Erstellung von Deepfakes oder zur Automatisierung von Cyber-Angriffen. Durch die Regulierung bestimmter Verwendungszwecke von KI trägt das Gesetz zu einer umfassenderen IT-Sicherheitsstrategie bei, die das Risiko verringert, dass KI als Werkzeug für virtuelle Kriegsführung und Kriminalität eingesetzt wird.

8- Forschung und Zusammenarbeit: Das Gesetz könnte die Forschung und Zusammenarbeit auf dem Gebiet der KI und der IT-Sicherheit anregen und die Entwicklung neuer Technologien wie auch Strategien zum Schutz von KI-Systemen vor neuen Bedrohungen fördern.

Fazit

Die Einführung von GenKI zeigt, dass die Gesetzgebung nicht Schritt halten kann. Die Technologie ist so wirkmächtig, dass sie gravierende Auswirkungen auf Branchen, Volkswirtschaften und Regierungen haben wird. Die Hoffnung, die in das EU-KI-Gesetz gelegt wird, lautet, dass es als Katalysator für eine breite gesellschaftliche Diskussionen dient und die Beteiligten dazu anregen soll, nicht nur die Möglichkeiten der Technologie, sondern auch ihre Auswirkungen zu bedenken. Durch die Festlegung klarer Leitlinien und die Förderung eines kontinuierlichen Dialogs wird der Weg für eine Zukunft geebnet, in der KI als eine gute Kraft dienen kann. Sie sollte von ethischen Erwägungen und gesellschaftlichem Konsens getragen werden.