Data & AI

KI-Risiken reduzieren mit dem richtigen KI-Governance-Framework

Mangelndes KI-Risikomanagement sorgt oft dafür, dass Unternehmen in den sogenannten „AI Pilot Purgatory“ stolpern. Erfahren Sie, wie Sie mit dem passenden KI-Governance-Framework die Balance zwischen Innovation und Resilienz finden. 

5 Minuten Lesezeit
Mit Insights von
""

Dr. sc. ETH David M. Sommer

Lead Security Consultant
portrait photo Jerry Napitupulu, Principal Security Consultant, Zuhlke

Jerry Napitupulu

Principal Security Consultant
portrait photo of Vlad Flamind, Lead Data Consultant at Zühlke

Vlad Flamind

Lead Data Consultant

Wer nicht wagt, der nicht gewinnt – zumindest sprichwörtlich. Aber sollte beim Thema künstliche Intelligenz wirklich der Fokus auf letzteren liegen?

Während sich Unternehmen darauf vorbereiten, immer mehr ihrer Informationen und Prozesse in neue Technologien und Tools zu überführen, bereiten sich CISOs an allen Ecken und Enden auf die möglichen Folgen vor.  

Aber sind die Bedenken bezüglich des KI-Risikomanagements vielleicht sogar unnötig? Oder könnten unkontrollierte Modelle den hart erarbeiteten Ruf eines Unternehmens ruinieren?  

Wir bei Zühlke haben mit einem interdisziplinären Team aus Data Scientist:innen, Sicherheitsexpert:innen, Consultants, Finanzexpert:innen und unseren Kunden versucht, diese Fragen zu beantworten.  

Im Folgenden erfahren Sie, was wir über die Zukunft des KI-Risikomanagements und der KI-Governance gelernt haben – und wie eine Vermischung aus typischerweise getrennten Bereichen Ihnen die Suppe versalzen kann. 

KI-Risiken in der Praxis: ein vielköpfiges Biest

Lassen Sie uns einen kleinen Schritt zurückgehen. Was genau verstehen wir unter KI-Risiken? In einem unternehmerischen Kontext ist das komplizierter, als man denken mag.  

Bei der Risikoeinstufung auf Unternehmensebene werden Schwachstellen in der Regel in einige wenige Kategorien eingeteilt: Sicherheit, betriebliche oder finanzielle Bedrohungen. KI ist jedoch anders. Sie sprengt diese Grenzen und schafft die Brücke von der technischen Welt in die weit umfassendere sozioökonomische Welt. Und sie wirft auch ethische Fragen auf.  

Wir alle interagieren auf die eine oder andere Weise mit KI. Wir alle nutzen Konten mit verschiedenen Tools. Und wir alle haben unterschiedliches Vertrauen in unsere Fähigkeit, dies sicher zu tun – beruflich wie privat.  

Daher ist es schwer zu sagen, wer für das KI-Risikomanagement verantwortlich ist. Ist das eigentliche Problem, dass Menschen unwissentlich Unternehmensinformationen als Trainingsdaten für KI-Modelle nutzen? Oder dass minderwertige Ergebnisse der Reputation schaden?

Auch die Auswirkungen unterschiedlicher Risikoarten können sehr unterschiedlich sein. Denken Sie an die rechtlichen Folgen und den Reputationsverlust, den ein Chatbot verursacht, der Kunden in die Irre führt, an die Sachschäden und die Auswirkungen auf Gesundheit und Sicherheit, wenn eine Drohne mit Autopilot in ein Gebäude stürzt, oder an die potenziellen finanziellen und betrieblichen Verluste, die ein fehlerhaftes Prognosemodell verursacht.

Verschiedene Stakeholder denken ganz unterschiedlich darüber, wo die größten Gefahren liegen, und diese Art von „Design by Committee“-Denken kann Unternehmen zum Stillstand bringen.  

Aber in gewisser Weise ist die Zeit ein gerader Kreis. Es gibt keine wirklich neuen Bedrohungen - nur wachsende Bedrohungen. Datenverluste waren schon immer etwas, das es zu bekämpfen galt. Sicherheitsverletzungen und mangelhafte Eingabe- oder Ausgabequalität ebenfalls – auch wenn der Kontext jetzt Kollegen sind, die GenAI-Tools bei ihrer täglichen Arbeit verwenden.  

Was sich also geändert hat, ist die Art und Weise, wie wir in einer Welt, in der sich die Technologie so schnell verändert, auf sie reagieren müssen. Und das erfordert einen ganzheitlichen Ansatz.

KI-Risikomanagement und Innovation balancieren

Unzureichende Risikokontrollen sind einer der Hauptgründe, warum viele Unternehmen in der KI-Pilotphase stecken bleiben und ihre KI-Proof-of-Concepts (POCs) nicht skalieren können. 

Ein wirksames KI-Risikomanagement ist daher für den ROI von KI-Investitionen unerlässlich. Aber es gibt keinen pauschalen Ansatz oder einfache Antworten. KI-Innovation und Risikomanagement müssen sich irgendwo in der Mitte treffen.  

Dies ist ein weitgehend ungelöstes Problem. PoCs, die firmeneigene Technologien nutzen, kommen aufgrund von Sicherheitseinschränkungen kaum über das Pilotstadium hinaus. Tools, die auf Standardmodelle zurückgreifen und rechtlich sicher sind, sind in ihrer Fähigkeit, wirklich individuelle Innovationen zu schaffen, eher eingeschränkt.

Doch es kann noch weit schlimmer kommen. Unsere Untersuchungen hinsichtlich sicherer KI legen nahe, dass die Auswirkungen auf das Unternehmen erheblich sein können, wenn es nicht gelingt, KI-Risiken zu minimieren. Weitere Studien legen nahe, dass Umsatz- und Kundenverlust die negativsten Folgen von Risiken wie KI-Verzerrung sind. 

Die wirtschaftlichen Auswirkungen dieser Risiken sind sehr real. Wenn man jedoch zu viele Maßnahmen ergreift, kann es sein, dass man die Proof-of-Concept-Phase nie verlässt. Was kann man also tun? 

""

Minderung von KI-Risiken durch lebenszyklusübergreifende Governance

Die Entwicklung eines klaren Frameworks für die interne KI-Governance ist der Schlüssel zur Minderung von KI-Risiken und zur Förderung von Innovationen. Um dies effektiv zu tun, muss die KI-Governance den gesamten Lebenszyklus einer KI-Lösung regeln – von der ersten Idee über die Implementierung bis hin zur laufenden Überwachung.

Diese langfristige Sichtweise ist entscheidend für eine erfolgreiche Governance. Und das ist der Punkt, an dem viele Unternehmen straucheln. Sie müssen über die Frage „Ist der Einsatz dieses Tools für uns sicher?“ hinausgehen und zu einer regelmäßigen, iterativen Messung aller Aspekte des Risikoprofils übergehen.

Wie sehen also die Best Practices für KI-Governance aus? Unter Einbeziehung aller relevanten Stakeholder muss Ihr Chief Data oder Analytics Officer einen Ansatz verfolgen, der Folgendes umfasst: 

  • Strategisches Portfoliomanagement;
  • Stetige Überwachung der Wertschöpfung
  • proaktive Berücksichtigung ethischer und rechtlicher Anforderungen (z. B. des EU AI Acts).

Ein entschiedenes und umfassendes Vorgehen bei der Risikobewertung ist elementar. Anwendungsfälle aber auch betriebliche und strategische Belange müssen berücksichtigt werden – nicht als konkurrierende Interessen, sondern als Teile eines Ganzen.

Eine Tabelle, die folgende drei Hauptkategorien enthält: Strategisch (Bedrohungen des Geschäftsmodells, organisatorischer Wandel, makroökonomische Faktoren), operativ (Compliance, Systeme & Prozesse, Cyber-Resilienz, Governance) und anwendungsfallbezogen (KI-Systemsicherheit, Produkt-Compliance, Systemausfall, Modelldiebstahl). Jede Kategorie wird visuell durch verschiedene Lila-Töne und entsprechende Symbole unterschieden. Visualisierung: Unterschiedliche Risiken stellen unterschiedliche Herausforderungen dar. Hier werden KI-Risiken in strategische, operative und anwendungsbezogene Überlegungen eingeteilt.

Mit einem Ansatz, der alle relevanten Felder abdeckt, wird jedes Risikoframework sehr unterschiedlich aussehen – weitgehend geprägt von der Diversität des Unternehmens und der vorgeschlagenen Tools. Ein verlässliches KI-Risikomanagement ist also ganzheitlich. Es ist zweckdienlich und bezieht Mitarbeitende aus dem gesamten Unternehmen ein.

Wie Sie ein KI-Governance-Framework realisieren

Wir empfehlen den folgenden vierstufigen Prozess zur Entwicklung eines effektiven Frameworks, das die KI-Governance in jeder Phase des Lebenszyklus eines KI-Produkts gewährleistet:

  • 1. Umfang des Risikos

    • Festlegung der Risikobereitschaft und -toleranz der Organisation
    • Bestimmen Sie den Umfang des KI-Systems  
    • Identifizierung der wichtigsten Stakeholder

  • 2. Bewerten Sie das Risiko

    • Bewertung potenzieller strategischer Bedrohungen für die KI-Ziele des Unternehmens
    • Abbildung von Prozessen und Darlegen potenzieller Risikobereiche
    • Durchführung von Risikobewertungen, die auf jeden Anwendungsfall zugeschnitten sind

  • 3. Das Risiko abmildern

    • Entwicklung strategischer Pläne zur Risikominderung
    • Implementierung von Prozessverbesserungen und Kontrollen
    • Einrichtung von Überwachungs- und Bewertungsmechanismen für jeden Anwendungsfall

  • 4. Umsetzung

    • Integration von Risikominderungsplänen in strategische Planungsprozesse
    • Überwachung von Leistungs- und Risikoindikatoren
    • Kontinuierliche Verbesserung der Strategien zur Minimierung betrieblicher Risiken 

Das richtige Konzept, mit großer Sorgfalt und Aufmerksamkeit bei jedem Schritt, kann genauso disruptiv sein wie jeder KI-Hype. Denn Unternehmen, die ihre KI-Governance- und Risikominderungsstrategien sauber definieren, sparen Geld, können den Wert ihrer Tools schneller realisieren und Reputationsverluste vermeiden.

Mit Zühlke den „AI Pilot Purgatory“ überwinden

Gewinnen Sie an Resilienz und schützen Sie Ihr Unternehmen mit einem intelligenten Sicherheitskonzept und tief verankerten und langfristigen Lösungen. Unser Team entwickelt KI-Risikomanagementprogramme, die auf Ihr Unternehmen zugeschnitten sind, mit Prozessen, die auf Ihre individuellen Bedürfnisse passen. Sprechen Sie noch heute mit uns, um mehr zu erfahren. 

Das könnte Sie auch interessieren...

Welche Rolle spielt KI im Kontext der Sicherheit?
Datenqualität: Die Grundlage für den KI-Erfolg schaffen
Abstract layers of light and waves illustrating data flow
Data & AI
Two colleagues discussing about Data & AI in front of a laptop
Insights
Weitere Artikel lesen