11. Synthese

Das Kapitel bietet eine umfassende Zusammenfassung der wesentlichen Punkte zur Vertrauenswürdigkeit von KI-Systemen und deren praktische Umsetzung in Unternehmen. Es beginnt mit einer Definition von künstlicher Intelligenz und hebt die Komplexität und Uneinheitlichkeit der Begrifflichkeiten hervor. Als Grundlage dient die Definition des EU AI Acts, der Unternehmen dazu anleitet, den Geltungsbereich der jeweiligen Regulatorik zu beachten. Eine vereinfachte Referenzarchitektur wird vorgestellt, die die Bewertung der Vertrauenswürdigkeit erleichtert und auch Personen ohne tiefgehende KI-Kenntnisse eine fundierte Einschätzung ermöglicht. Die Referenzarchitektur besteht aus fünf Komponenten: Modell, KI-Komponente, Einbettung, Interface und KI-Anwendung. Zur Betrachtung organisatorischer Risiken wird ein Use Case Layer und ein übergeordnetes Layer für die gesamte KI-Organisation vorgeschlagen. Der Begriff „Dimension“ beschreibt verschiedene Kriterien zur Sicherstellung der Vertrauenswürdigkeit eines KI-Systems, wobei Schutzziele innerhalb der Dimensionen differenziert werden. Das Kapitel beleuchtet die Unterschiede in den Ansätzen zur vertrauenswürdigen KI in verschiedenen Regionen und betont die Notwendigkeit, ethische, rechtliche und soziale Standards zu berücksichtigen. Es wird die Bedeutung der Dimensionen Transparenz, Sicherheit, Erklärbarkeit und Autonomie hervorgehoben, die oft in einem Spannungsverhältnis zueinander stehen. Der EU AI Act wird als zentraler regulatorischer Rahmen beschrieben, der ethische Aspekte durch spezifische Anforderungen an Hochrisiko-KI-Systeme umsetzt. Das Kapitel bietet einen Leitfaden zur Schrittweisen Bewertung der Vertrauenswürdigkeit von KI, angelehnt an eine Veröffentlichung des Fraunhofer Instituts. Es wird die Notwendigkeit betont, bestehende Sicherheitskontrollen zu nutzen und neue KI-Kontrollen einzuführen, um KI-spezifische Risiken zu managen. Eine praxisnahe Risikotaxonomie des MIT wird als hilfreich für die Praxis hervorgehoben. Das Kapitel vergleicht verschiedene KI-Regulierungsinitiativen weltweit und hebt die Unterschiede zwischen den Ansätzen in Europa und den USA hervor. Es wird die Bedeutung der Einhaltung gesetzlicher Vorgaben und die Auswahl geeigneter KI-Standards betont. Eine übergeordnete Systematik zur Auswahl und Anwendung von KI-Standards wird vorgestellt, die inhaltliche Lücken vermeidet und die Nutzung erleichtert. Die Rolle des CISO in der Integration von KI und IT-Sicherheit wird detailliert beleuchtet, wobei drei Hauptkategorien unterschieden werden: IT-Sicherheit für KI, IT-Sicherheit durch KI und Angriffe durch KI. Das Kapitel schließt mit einem Ausblick auf weiterführende Arbeiten und der Notwendigkeit, sich über aktuelle Entwicklungen auf dem Laufenden zu halten. Es wird die Möglichkeit der Entwicklung eines KI-GRC-Tools skizziert, das die Compliance nach den Vorgaben des EU AI Acts unterstützt.