RiLi-KI-Einsatz

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.

Mustervorlage: "Richtlinie für den sicheren Einsatz von Künstlicher Intelligenz (KI)"

Muster-Richtlinie für den sicheren Einsatz von KI in der Organisation. Diese Richtlinie hilft die Vorteile von KI zu nutzen und dabei Risiken zu minimieren und Compliance sicherzustellen.

1. Einleitung

Künstliche Intelligenz (KI) bietet der Organisation erhebliche Chancen zur Effizienzsteigerung, Innovation und Verbesserung von Dienstleistungen. Um die mit dem Einsatz von KI verbundenen Risiken zu minimieren und die Einhaltung relevanter Gesetze und Vorschriften zu gewährleisten, legt diese Richtlinie verbindliche Standards und Verfahren für den sicheren und verantwortungsvollen Einsatz von KI-Systemen fest.

Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmenden und Dritte, die KI-Systeme im Auftrag der Organisation entwickeln, implementieren, nutzen oder verwalten. Sie umfasst alle Arten von KI-Systemen, einschließlich, aber nicht beschränkt auf:

  • Generative KI (z.B. Large Language Models – LLMs)
  • Maschinelles Lernen (ML)
  • Robotik
  • Künstliche neuronale Netze

Zielsetzung

Diese Richtlinie zielt darauf ab:

  • Die Integration von Sicherheitsaspekten in den gesamten Lebenszyklus von KI-Systemen zu gewährleisten.
  • Risiken im Zusammenhang mit KI-Technologien zu identifizieren, zu bewerten und zu minimieren.
  • Die Einhaltung von Datenschutzbestimmungen, ethischen Grundsätzen und relevanten Gesetzen sicherzustellen.
  • Transparenz und Verantwortlichkeit im Umgang mit KI-Systemen zu fördern.
  • Das Bewusstsein für die potenziellen Risiken und Chancen von KI bei den Mitarbeitenden zu schärfen.

Verantwortlichkeiten

  • Organisationsleitung: Verantwortlich für die Genehmigung dieser Richtlinie und die Bereitstellung der notwendigen Ressourcen für deren Umsetzung.
  • Informationssicherheitsbeauftragte (ISB): Verantwortlich für die Überwachung der Einhaltung dieser Richtlinie und die Integration von KI-Sicherheit in das ISMS.
  • Datenschutzbeauftragte (DSB): Verantwortlich für die Überwachung der Einhaltung der Datenschutzbestimmungen im Zusammenhang mit KI-Systemen.
  • KI-Projektverantwortliche: Verantwortlich für die Einhaltung dieser Richtlinie bei der Entwicklung, Implementierung und Nutzung von KI-Systemen in ihren Projekten.
  • Alle Mitarbeitenden: Verantwortlich für die Einhaltung dieser Richtlinie bei der Nutzung von KI-Systemen im Rahmen ihrer Tätigkeit für die Organisation.

Richtlinien und Verfahren

Integration von KI-Sicherheit in das ISMS

  • KI-Systeme sind als Teil des Informationssicherheitsmanagementsystems (ISMS) der Organisation zu betrachten.
  • Geeignete Sicherheitsmaßnahmen sind zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von KI-Systemen und den darin verarbeiteten Daten zu gewährleisten.
  • Dies umfasst insbesondere Maßnahmen zum Schutz vor Angriffen wie Prompt Injection, Modellmanipulation und Datendiebstahl.
  • Für den Einsatz von Large Language Models (LLMs) sind spezifische Sicherheitsmaßnahmen zu implementieren, um Risiken wie die Generierung von Fehlinformationen, die Offenlegung sensibler Daten und die Beeinflussung des Modellverhaltens zu minimieren.

Risikobewertung von KI-Systemen

  • Vor der Implementierung oder Nutzung eines KI-Systems ist eine Risikobewertung durchzuführen, um potenzielle Risiken zu identifizieren und zu bewerten.
  • Die Risikobewertung muss die folgenden Aspekte berücksichtigen:
    • Datenschutzrisiken (z.B. unbefugte Offenlegung personenbezogener Daten)
    • Sicherheitsrisiken (z.B. Manipulation des KI-Systems durch Angreifer)
    • Ethische Risiken (z.B. Diskriminierung, Voreingenommenheit)
    • Betriebliche Risiken (z.B. Ausfall des KI-Systems)
    • Compliance-Risiken (z.B. Nichteinhaltung gesetzlicher Vorschriften)
  • Basierend auf der Risikobewertung sind geeignete Maßnahmen zur Risikominimierung zu implementieren.

Compliance-Konformer Einsatz von KI-Systemen

  • Beim Einsatz von KI-Systemen sind alle relevanten Gesetze und Vorschriften einzuhalten, insbesondere die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Urheberrecht.
  • Es ist sicherzustellen, dass die Datennutzungsketten von KI-Systemen transparent und nachvollziehbar sind.
  • Personenbezogene Daten dürfen nur im Einklang mit den datenschutzrechtlichen Bestimmungen verarbeitet werden.
  • Bei der Entwicklung und Nutzung von KI-Systemen sind ethische Grundsätze zu berücksichtigen, insbesondere die Vermeidung von Diskriminierung und Voreingenommenheit.
  • Die Ergebnisse und Entscheidungen von KI-Systemen müssen nachvollziehbar und überprüfbar sein.
  • Es ist sicherzustellen, dass die Urheberrechte an den von KI-Systemen generierten Inhalten eingehalten werden.

Datensicherheit und Datenschutz

  • Die für das Training und den Betrieb von KI-Systemen verwendeten Daten sind angemessen zu schützen.
  • Es sind Maßnahmen zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten.
  • Personenbezogene Daten sind zu pseudonymisieren oder zu anonymisieren, sofern dies möglich ist.
  • Es ist sicherzustellen, dass die Daten nur für den vorgesehenen Zweck verwendet werden.
  • Die Aufbewahrungsfristen für die Daten sind einzuhalten.

Transparenz und Verantwortlichkeit

  • Der Einsatz von KI-Systemen ist transparent zu kommunizieren.
  • Die Funktionsweise von KI-Systemen ist zu dokumentieren.
  • Es ist klar zu definieren, wer für die Entscheidungen und Ergebnisse von KI-Systemen verantwortlich ist.
  • Es ist sicherzustellen, dass Mitarbeitende über die Risiken und Chancen von KI informiert und geschult werden.

Schulung und Sensibilisierung

  • Alle Mitarbeitenden, die mit KI-Systemen arbeiten, sind regelmäßig zu schulen und zu sensibilisieren.
  • Die Schulungen müssen die folgenden Themen abdecken:
    • Grundlagen der KI-Sicherheit
    • Datenschutzbestimmungen
    • Ethische Aspekte des KI-Einsatzes
    • Verantwortungsvoller Umgang mit KI-Systemen
    • Meldung von Sicherheitsvorfällen

Überwachung und Kontrolle

  • Die Einhaltung dieser Richtlinie ist regelmäßig zu überwachen und zu kontrollieren.
  • Es sind interne Audits durchzuführen, um die Wirksamkeit der implementierten Maßnahmen zu überprüfen.
  • Sicherheitsvorfälle im Zusammenhang mit KI-Systemen sind unverzüglich zu melden und zu untersuchen.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-KI-Einsatz&oldid=1671