Rückblick
KI-Ethik trifft auf Compliance
Beim CIS Compliance Summit 2024 ging es um das Thema Ethik und künstliche Intelligenz sowie um den Beitrag von europäischen Zertifizierungsstandards im Kampf gegen Cyberangriffen. Das interessierte mehr als 250 Gäste und Gastredner Toni Polster.
Toni Polster zog beim CIS Summit 2024 einen Vergleich zwischen Fußball und Technologieunternehmen.
Bild: Anna Rauchenberger
Am 10. Oktober drehte sich beim CIS Compliance Summit alles darum, wie KI-Ethik im Einklang mit Richtlinien und Zertifizierungsstandards Europa vor Cyberangriffen schützen kann. Mehr als 250 Vertreter:innen der führenden Unternehmen Österreichs folgten der Einladung von Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH. Expert:innen wie Prof. Sarah Spiekermann und Sportlegende Toni Polster veranschaulichten das komplexe Thema an praxisnahen Beispielen.
Mehr als nur Gaunerei.
In einer vernetzten Welt steigt auch die Bedrohung durch Cyberkriminalität. Vor dem Hintergrund des russischen Angriffskriegs auf die Ukraine, des Nahostkonflikts und möglicher politischer Veränderungen in den USA muss Europa seine Verteidigungsstrategie in Frage stellen. Denn längst geht es bei Cyberangriffen nicht mehr nur um betrügerische Gaunereien, sondern um die Gefährdung der heimischen Infrastruktur durch Terrorakte. „Der Kreis der Cyber-Angriffsziele hat sich in den letzten Jahren massiv ausgeweitet. Nicht zuletzt durch die rasante Entwicklung neuer KI-Technologien. Angriffe betreffen nicht mehr nur einzelne Unternehmen, sondern gefährden in einer vernetzten Welt das ganze System. Deshalb müssen Regulierungen und Berichtspflichten für immer mehr Unternehmen gelten“, sagte Harald Erkinger. Der Experte unterstrich in seinem Eröffnungsvortrag die Bedeutung des gemeinsamen Vorgehens aller Stakeholder. Gezielte Angriffe könnten die Lebensmittelsicherheit, die Versorgungssicherheit oder das Gesundheitssystem beschädigen, was massive Auswirkungen auf die gesamte Infrastruktur hätte. Mit dem AI Act und der NIS-2-Richtlinie hätte die Europäische Union gute Vorlagen auf den Weg gebracht, müsse sich aber laufend an Weiterentwicklungen orientieren und schnell reagieren. „Sowohl der europäische AI Act als auch ISO 42001 schaffen einen Rahmen, der sicherzustellen versucht, dass KI-Systeme Cyberbedrohungen proaktiv identifizieren und mindern. Während der AI Act Anforderungen auf EU-Ebene festlegt, bietet ISO 42001 den Unternehmen einen globalen von Rechtsaum und Technologie entkoppelten Ansatz um sichere und vertrauenswürdige KI-Lösungen zu entwickeln und zu betreiben“, so Erkinger. Maßgeblich bei allen Versuchen, den Umgang mit der KI zu regulieren, ist die Ethik. „Die wachsende Bedeutung der KI-Ethik ergibt sich schon alleine aus der Tatsache, dass künstliche Intelligenz und Robotik in naher Zukunft erhebliche Auswirkungen auf die Entwicklung der Menschheit haben werden“, sagte Prof. Sarah Spiekermann, Leiterin des Instituts für Informationssysteme & Gesellschaft an der WU Wien.
KI-Werte wichtiger als Compliance-Übungen.
Die Werte einer KI, das heißt die Ethik, die man in sie hineinbaut, konfrontieren uns mit der Frage, was wir von diesen Systemen erwarten und welche Risiken wir bereit sind in Kauf zu nehmen. Aspekte wie die Wahrheit, die Transparenz, der Datenschutz, die Fairness, die Sicherheit, die Kontrolle und vor allem der Stromverbrauch sollten in den Fokus der Entwicklung rücken, um das berechtigte Vertrauen der Benutzer:innen zu gewinnen. „Wenn wir KI sinnvoll einsetzen wollen, müssen wir in ihr ethisches Design vertrauen können. Die KI-Ethik spielt demnach aus Sicht der Kunden und der Gesellschaft eine noch größere Rolle als die rein rechtliche Compliance am Papier“, so Spiekermann. Ein Schritt in Richtung Vertrauen ist laut der Professorin die praktische Anwendung: „KI kann, wenn sie wertethisch gestaltet und eingebettet ist, einen Mehrwert für die Gesellschaft und für Organisationen ermöglichen. Das geht aber nur, wenn man sich vom gegenwärtigen Feature-Wahn und amerikanischen Standardlösungen abwendet und stattdessen fragt: Welchen Wert wünsche ich mir eigentlich von dieser mächtigen Technologie und zu welchem Preis?“ Die Beantwortung dieser Frage könnte mit Entwicklungsprozessen wie dem „Value-based Engineering mit ISO/IEC/IEEE 24748-7000“ (VbE) gelingen, der ersten global standardisierten Methode für die wertethische Systemgestaltung. Anhand von Kernwerten und Wertequalitäten werden menschliche und soziale Werte in das IT-Design integriert. „Wertequalitäten sind beispielsweise die Art der Ansprache, die Berücksichtigung des sozialen Status oder das Nicht-Akzeptieren von unhöflichem Verhalten“, erläutert Spiekermann. Mit dem VbE kann z.B. ein Wertmonitoring geschaffen werden, das Organisationen zeigt, wie sozialverträglich ihre KI agiert und damit das Vertrauen der Nutzer entweder fördert oder untergräbt.
Erfolg ist Frage des Teamgeists.
Damit die Etablierung und Entwicklung der KI-Ethik und damit eine effektive Cybersecurity gelingt, sind alle Player gefragt. Eine Analogie zum Sport zog Fußball-Legende Toni Polster: „Ein Match gewinnt man nicht, wenn man die Verteidigung alleine im Regen stehen lässt. Der Sieg ist immer ein gemeinsamer und nur möglich, wenn das Team zusammenspielt. Jeder muss seine Rolle kennen und gleichzeitig das Gesamtgeschehen im Blick haben, sich auf die Bewegungen der anderen Teammitglieder einlassen, um darauf reagieren zu können.“ Wie auf dem Fußballplatz müssen auch die unterschiedlichen Akteure in Wirtschaftssystemen zusammenspielen. Technologieunternehmen und all jene, die Technologien betreiben, müssen sich an den Bedürfnissen der User:innen orientieren und gleichzeitig mögliche Gefahren im Blick behalten. Der Gesetzgeber schafft mit Regulierungen wie dem AI Act oder der NIS-2-Richtlinie das notwendige Rahmenwerk, während die User:innen verantwortungsbewusst neue Technologien nutzen sollten. Eine besondere Rolle spielen in diesem Zusammenhang Chief Information Security Officer kurz CISOs. „Die Verantwortlichen in den Unternehmen leisten oft Bemerkenswertes mit großem persönlichem Engagement unter schwierigsten Bedingungen. CISOs und ihre Teams sichern nicht nur interne Daten, sondern arbeiten vor allem für das Wohl einer sichereren Gesellschaft“, sagte Andreas Tomek, Partner IT Advisory, KPMG. Um die Infrastruktur nachhaltig zu schützen, brauche es ein wechselseitiges Verständnis und vor allem die Zusammenarbeit alle Akteure.