KI-Ethik sichert im Schulterschluss mit Richtlinien die Infrastruktur
Bild v.l.: Harald Erkinger (CIS), Andreas Tomek (KPMG) © Anna Rauchenberger
Am 10. Oktober drehte sich beim CIS Compliance Summit alles darum, wie KI-Ethik im Einklang mit Richtlinien und Zertifizierungsstandards Europa vor Cyberangriffen schützen kann. Mehr als 250 Vertreter*innen der führenden Unternehmen Österreichs folgten der Einladung von Harald Erkinger, Geschäftsführer der CIS - Certification & Information Security Services GmbH. Expertinnen und Experten wie Prof. Sarah Spiekermann und Sportlegende Toni Polster veranschaulichten das komplexe Thema an praxisnahen Beispielen.
In einer vernetzten Welt steigt auch die Bedrohung durch Cyberkriminalität. Vor dem Hintergrund des russischen Angriffskriegs auf die Ukraine, des Nahostkonflikts und möglicher politischer Veränderungen in den USA muss Europa seine Verteidigungsstrategie in Frage stellen. Denn längst geht es bei Cyberangriffen nicht mehr rein um betrügerische Gaunereien, sondern um die Gefährdung unserer Infrastruktur durch Terrorakte. „Der Kreis der Cyber-Angriffsziele hat sich in den letzten Jahren massiv ausgeweitet.
Nicht zuletzt durch die rasante Entwicklung neuer KI-Technologien. Angriffe betreffen nicht mehr nur einzelne Unternehmen, sondern gefährden in einer vernetzten Welt das ganze System. Deshalb müssen Regulierungen und Berichtspflichten für immer mehr Unternehmen gelten“, sagte Harald Erkinger. Der Experte unterstrich in seinem Eröffnungsvortrag die Bedeutung des gemeinsamen Vorgehens aller Stakeholder. Gezielte Angriffe könnten die Lebensmittelsicherheit, die Versorgungssicherheit oder das Gesundheitssystem beschädigen, was massive Auswirkungen auf die gesamte Infrastruktur hätte. Mit dem AI Act und der NIS-2-Richtlinie hätte die Europäische Union gute Vorlagen auf den Weg gebracht, müsse sich aber laufend an Weiterentwicklungen orientieren und schnell reagieren. „Sowohl der europäische AI Act als auch ISO 42001 schaffen einen Rahmen, der sicherzustellen versucht, dass KI-Systeme Cyberbedrohungen proaktiv identifizieren und mindern. Während der AI Act Anforderungen auf EU-Ebene festlegt, bietet ISO 42001 den Unternehmen einen globalen von Rechtsaum und Technologie entkoppelten Ansatz um sichere und vertrauenswürdige KI-Lösungen zu entwickeln und zu betreiben“, so Erkinger.
Maßgeblich bei allen Versuchen, den Umgang mit der KI zu regulieren, ist die Ethik. „Die wachsende Bedeutung der KI-Ethik ergibt sich schon alleine aus der Tatsache, dass Künstliche Intelligenz und Robotik in naher Zukunft erhebliche Auswirkungen auf die Entwicklung der Menschheit haben werden“, sagte Prof. Sarah Spiekermann, Leiterin des Instituts für Informationssysteme & Gesellschaft an der WU Wien.
KI-Werte sind wichtiger als Compliance-Übungen
Die Werte einer KI, das heißt die Ethik, die wir in sie hineinbauen, konfrontieren uns mit der Frage, was wir von diesen Systemen eigentlich erwarten und welche Risiken wir bereit sind in Kauf zu nehmen. Aspekte wie die Wahrheit, die Transparenz, der Datenschutz, die Fairness, die Sicherheit, die Kontrolle und vor allem der Stromverbrauch sollten in den Fokus der Entwicklung rücken, um das berechtigte Vertrauen der Benutzer*innen zu gewinnen. „Wenn wir KI sinnvoll einsetzen wollen, müssen wir in ihr ethisches Design vertrauen können. Die KI-Ethik spielt demnach aus Sicht der Kund*innen und der Gesellschaft eine noch größere Rolle als die rein rechtliche Compliance am Papier“, so Spiekermann. Ein Schritt in Richtung Vertrauen ist laut der Professorin die praktische Anwendung: „KI kann, wenn sie wertethisch gestaltet und eingebettet ist, einen Mehrwert für die Gesellschaft und für Organisationen ermöglichen. Das geht aber nur, wenn man sich vom gegenwärtigen Feature-Wahn und amerikanischen Standardlösungen abwendet und stattdessen fragt: Welchen Wert wünsche ich mir eigentlich von dieser mächtigen Technologie und zu welchem Preis?“ Die Beantwortung dieser Frage gelingt mit Entwicklungsprozessen wie dem „Value-based Engineering mit ISO/IEC/IEEE 24748-7000“ (VbE), der ersten global standardisierten Methode für die wertethische Systemgestaltung. Anhand von Kernwerten und Wertequalitäten werden menschliche und soziale Werte in das IT-Design integriert. „Wertequalitäten sind beispielsweise die Art der Ansprache, die Berücksichtigung des sozialen Status oder das Nicht-Akzeptieren von unhöflichem Verhalten“, erläutert Spiekermann. Mit dem VbE kann zum Beispiel ein Wertmonitoring geschaffen werden, das Organisationen zeigt, wie sozialverträglich ihre KI agiert und damit das Vertrauen der Nutzer*innen entweder fördert oder untergräbt.
Erfolg ist immer eine Frage des Teamgeists
Damit die Etablierung und Entwicklung der KI-Ethik und damit eine effektive Cybersecurity gelingt, sind alle Player gefragt. Eine Analogie zum Sport zog Fußball-Legende Toni Polster: „Ein Match gewinnt man nicht, wenn man die Verteidigung alleine im Regen stehen lässt. Der Sieg ist immer ein gemeinsamer und nur möglich, wenn das Team zusammenspielt.
Jeder muss seine Rolle kennen und gleichzeitig das Gesamtgeschehen im Blick haben, sich auf die Bewegungen der anderen Teammitglieder einlassen, um darauf reagieren zu können.“ Wie auf dem Fußballplatz müssen auch die unterschiedlichen Akteure in Wirtschaftssystemen zusammenspielen. Technologieunternehmen und all jene, die Technologien betreiben, müssen sich an den Bedürfnissen der User*innen orientieren und gleichzeitig mögliche Gefahren im Blick behalten.
Der Gesetzgeber schafft mit Regulierungen wie dem AI Act oder der NIS-2-Richtlinie das notwendige Rahmenwerk, während die User*innen verantwortungsbewusst neue Technologien nutzen sollten. Eine besondere Rolle spielen in diesem Zusammenhang Chief Information Security Officer (CISOs). „Die Verantwortlichen in den Unternehmen leisten oft Bemerkenswertes mit großem persönlichem Engagement unter schwierigsten Bedingungen. CISOs und ihre Teams sichern nicht nur interne Daten, sondern arbeiten vor allem für das Wohl einer sichereren Gesellschaft“, sagte Andreas Tomek, Partner IT Advisory, KPMG. Um die Infrastruktur nachhaltig zu schützen, braucht es ein wechselseitiges Verständnis und vor allem die Zusammenarbeit alle Akteure.
Save the date
Nächstes Jahr findet der CIS Compliance Summit am 16. September 2025 wieder in Wien statt.