Das AI-Governance-Problem, über das niemand sprechen möchte
Die Einführung von KI beschleunigt sich in verschiedenen Organisationen, von Regierungen bis hin zu Banken und privaten Unternehmen. Interne Copiloten, automatisierte Suchsysteme, Entscheidungshilfesysteme und agentenbasierte Werkzeuge werden schnell implementiert. Das größte Risiko, das KI mit sich bringt, liegt jedoch nicht im Modell, Algorithmus oder Ergebnis, sondern im Datenzugriff, der Sichtbarkeit, der Kategorisierung und dem Management.
Die meisten Organisationen haben kein klares, operationales Verständnis ihrer eigenen Informationsumgebungen. Sie können nicht mit Sicherheit sagen, welche Informationen sie besitzen, wo diese gespeichert sind, welche Teile sensibel sind oder auf welche Daten ihre KI-Systeme tatsächlich zugreifen oder schließen können.
Von unsichtbarer Schwäche zur regulatorischen Realität
Der EU AI Act ist die erste Regulierung, die dieses Problem offenlegt. Die Auswirkungen gehen weit über die EU hinaus und sind bereits in den USA spürbar. Jede Organisation, die in Europa tätig ist, in europäische Märkte verkauft oder europäische Kunden beliefert, wird betroffen sein, entweder direkt durch Compliance-Verpflichtungen oder indirekt durch Beschaffungsdruck, da europäische Käufer zunehmend nach nachweisbarer Datenkontrolle von Anbietern und Technologiepartnern verlangen.
Für KI-Systeme mit hohem Risiko verlangt der Act nachweisbare Kontrolle über Datenqualität, Governance und Handhabung. In der Praxis bedeutet dies, dass man operational zeigen können muss, welche Daten ein KI-System speisen, woher diese Daten stammen und wie der Zugriff in Echtzeit kontrolliert wird. Hier scheitern viele Organisationen.
Die Fragen, die die meisten Organisationen nicht beantworten können
Wenn AI-Governance von politischen Dokumenten zu realen Systemen übergeht, werden die Lücken offensichtlich. Die meisten Organisationen können nicht zuverlässig beantworten:
- Welche Informationen sie tatsächlich in internen Systemen und auf Drittanbieterplattformen besitzen.
- Wo diese Informationen gespeichert sind und wie sie zwischen Systemen und Anbietern bewegt werden.
- Welche Daten sensibel, reguliert oder geschäftskritisch sind im Vergleich zu zufälligen oder obsoleten Daten.
- Auf welche internen KI-Tools sie zugreifen, abrufen, schließen oder präsentieren können, ohne dass der Benutzer dies beabsichtigt.
Ohne diese Antworten existiert Governance nur auf dem Papier.
Warum die Bemühungen um AI-Governance leise scheitern
Aus der Zusammenarbeit mit öffentlichen Institutionen, Banken und mittelständischen Unternehmen zeigen sich immer wieder die gleichen Fehlerquellen:
- Kein zuverlässiges Inventar von Informationen
Organisationen können nicht steuern, was sie nicht auflisten können. Daten verstreuen sich über E-Mail-Systeme, Dateifreigaben, SaaS-Tools, Archive und Backup-Plattformen. Inkonsistente Kennzeichnung erschwert die Unterscheidung zwischen operativen und kritischen Daten. - Sensibilität wird angenommen, nicht klassifiziert
Wenig Organisationen können konsequent zwischen öffentlichen, vertraulichen, persönlichen, regulierten und geschäftskritischen Daten unterscheiden. Richtlinien existieren, aber die Durchsetzung ist ungleichmäßig. - KI-Systeme respektieren Annahmen nicht
KI-Tools arbeiten auf der Basis von Berechtigungen und Abruflogik, nicht auf der Grundlage von Absichten. Wenn ein System Daten sehen kann, wird es diese verwenden. - Governance wird nach der Implementierung von KI auferlegt
Copiloten und KI-Funktionen werden in Produktivitätstools integriert. Zu dem Zeitpunkt, an dem Governance-Rahmen geschrieben werden, existieren bereits Zugangswege. - Risiko wird theoretisch, nicht operationell bewertet
AI-Governance endet oft bei Dokumentation, Ausschüssen und Schulungen. Sehr wenige Organisationen testen, was tatsächlich passiert, wenn KI mit realen Daten unter Druck interagiert.
Diese Risiken sind nicht hypothetisch. Berichte zeigen, dass ein messbarer Anteil der Organisationen bereits Sicherheitsverletzungen im Zusammenhang mit KI-Modellen oder -Anwendungen erlebt hat, wobei die Mehrheit nicht über angemessene Zugriffssteuerungen verfügt.
Ein anderer Ausgangspunkt für AI-Governance
In der Praxis beginnen viele Organisationen AI-Governance auf der falschen Ebene. Sie konzentrieren sich zunächst auf die Modellauswahl, Eingabeaufforderungen und Nutzungspolitiken. Effektive AI-Governance muss eine Ebene früher beginnen, mit Daten-Sichtbarkeit und Kontrolle. Das bedeutet:
- Automatisierte Entdeckung von Informationen über interne Systeme und externe Plattformen.
- Kontinuierliche Klassifizierung von Daten nach Sensibilität, regulatorischer Exposition und operativer Kritikalität.
- Durchsetzbare Leitplanken, die definieren, auf welche Daten KI-Systeme zugreifen, abrufen, schließen oder darauf basierend handeln können.
Die Zukunft der AI-Governance wird nicht durch bessere politische Sprache entschieden, sondern durch die Fähigkeit der Organisationen, ihre eigenen Informationsumgebungen zu sehen, zu klassifizieren und zu steuern, bevor verschiedene KI-Systeme die Transparenz in Exposition verwandeln.
