KI und Compliance: Welche Risiken bestehen?
Das rasante Wachstum der Künstlichen Intelligenz (KI), insbesondere von generativer KI (GenAI) und Chatbots, bietet Unternehmen eine Vielzahl von Möglichkeiten, die Art und Weise, wie sie mit Kunden arbeiten, zu verbessern, Effizienz zu steigern und arbeitsintensive Aufgaben zu beschleunigen.
Allerdings bringt GenAI auch Probleme mit sich. Diese reichen von Sicherheitsanfälligkeiten und Datenschutzbedenken bis hin zu Fragen zu Voreingenommenheit, Genauigkeit und sogar Halluzinationen, bei denen die KI-Antwort völlig falsch ist.
Verständlicherweise sind diese Themen auch ins Visier von Gesetzgebern und Regulierungsbehörden geraten. In der Zwischenzeit stehen die internen Compliance-Funktionen der Kunden vor der Herausforderung, mit einer sich schnell entwickelnden und komplexen Technologie Schritt zu halten.
Risiken der KI für die Compliance
In diesem Artikel werden die potenziellen Risiken, die KI für die Compliance mit gesetzlichen und regulatorischen Rahmenbedingungen mit sich bringt, untersucht. Dies bedeutet, dass die Compliance-Teams der Organisationen ihre Nutzung von GenAI genau prüfen müssen, um Schwächen und Verwundbarkeiten sowie die Zuverlässigkeit von Datenquellen und -ausgaben zu identifizieren.
Die häufigsten Unternehmens-KI-Projekte betreffen meist GenAI oder große Sprachmodelle (LLMs). Diese arbeiten als Chatbots, beantworten Anfragen oder geben Produktempfehlungen an Kunden. Das Durchsuchen, Zusammenfassen oder Übersetzen von Dokumenten ist ein weiteres beliebtes Anwendungsbeispiel.
KI wird jedoch auch in Bereichen wie Betrugserkennung, Überwachung und medizinischer Bildgebung eingesetzt; alles Bereiche, in denen die Einsätze viel höher sind. Dies hat Fragen aufgeworfen, wie oder ob KI eingesetzt werden sollte.
Unternehmen haben festgestellt, dass KI-Systeme Fehler sowie ungenaue oder irreführende Ergebnisse produzieren können.
Vertrauliche Daten
KI-Tools haben auch vertrauliche Daten geleakt, entweder direkt oder weil Mitarbeiter vertrauliche Dokumente in ein KI-Tool hochgeladen haben.
Dann gibt es die Voreingenommenheit. Die neuesten KI-Algorithmen, insbesondere in LLMs, sind äußerst komplex. Dies macht es schwierig zu verstehen, wie ein KI-System zu seinen Schlussfolgerungen gekommen ist. Für ein Unternehmen macht dies wiederum die Erklärung oder sogar die Rechtfertigung dessen, was ein KI-Tool wie ein Chatbot getan hat, schwierig.
Dies schafft eine Reihe von Risiken, insbesondere für Unternehmen in regulierten Branchen und im öffentlichen Sektor. Regulierungsbehörden aktualisieren bestehende Compliance-Rahmenwerke schnell, um KI-Risiken abzudecken, zusätzlich zu Gesetzgebungen wie dem EU-KI-Gesetz.
Forschung von Branchenanalysten wie Forrester identifiziert mehr als 20 neue Bedrohungen, die sich aus GenAI ergeben, von denen einige mit Sicherheit zusammenhängen. Dazu gehört das Versäumnis, sicheren Code zum Erstellen von KI-Systemen zu verwenden, oder böswillige Akteure, die KI-Modelle manipulieren. Andere, wie Datenleckagen, Datenmanipulation und ein Mangel an Datenintegrität, könnten regulatorische Mängel verursachen, selbst wenn ein Modell sicher ist.
Der Schatten-KI-Effekt
Die Situation wird durch das Wachstum von Schatten-KI verschärft, bei der Mitarbeiter KI-Tools inoffiziell verwenden. “Die häufigsten Einsätze sind wahrscheinlich die, von denen Unternehmen nicht einmal wissen”, warnt ein Berater, der im Bereich Sicherheit und Compliance arbeitet.
“Das reicht von Schatten-IT in Abteilungen bis hin zu Einzelpersonen, die Unternehmensdaten an KI weitergeben, um ihre Rollen zu vereinfachen. Die meisten Unternehmen haben die Compliance rund um KI nicht vollständig berücksichtigt, und selbst die, die es getan haben, haben nur begrenzte Kontrollen, um Missbrauch zu verhindern.”
Dies erfordert, dass Chief Information Officers (CIOs) und Datenbeauftragte alle Möglichkeiten betrachten, wie KI im Unternehmen genutzt werden könnte, und Kontrollmaßnahmen implementieren.
Das Problem mit den Quelldaten der KI
Der erste Bereich, den Unternehmen kontrollieren sollten, ist, wie sie Daten mit KI verwenden. Dies gilt für das Modelltraining und für die Inference oder Produktionsphase der KI.
Unternehmen sollten überprüfen, ob sie das Recht haben, Daten für KI-Zwecke zu verwenden. Dazu gehört das Urheberrecht, insbesondere für Drittanbieter.
Personenbezogene Daten, die für KI verwendet werden, fallen unter die Allgemeine Datenschutzverordnung (GDPR) und Branchenvorschriften. Organisationen sollten nicht davon ausgehen, dass die bestehende Datenverarbeitungseinwilligung KI-Anwendungen abdeckt.
Dann gibt es die Frage der Datenqualität. Wenn eine Organisation schlechte Daten verwendet, um ein Modell zu trainieren, werden die Ergebnisse ungenau oder irreführend sein.
Dies wiederum schafft Compliance-Risiken – und diese Risiken könnten nicht beseitigt werden, selbst wenn eine Organisation anonymisierte Daten verwendet.
“Quelldaten sind eines der am meisten übersehenen Risikoareale in Unternehmens-KI”, warnt ein Chief Solutions Officer eines IT- und Cloud-Service-Anbieters. “Diese Praktiken genügen nicht den Standards unter UK GDPR und den Datenschutzgesetzen der EU.”
Ausgaben der KI und Compliance
Eine weitere Reihe von Compliance- und Regulierungsfragen betrifft die Ausgaben von KI-Modellen.
Das offensichtlichste Risiko besteht darin, dass vertrauliche Ergebnisse von KI geleakt oder gestohlen werden. Und da Unternehmen ihre KI-Systeme mit internen Dokumenten oder Datenquellen verknüpfen, steigt dieses Risiko.
Es gab Fälle, in denen KI-Nutzer vertrauliche Informationen entweder böswillig oder versehentlich durch ihre Eingaben offengelegt haben. Ein Grund dafür ist die Verwendung vertraulicher Daten zum Trainieren von Modellen, ohne angemessene Sicherheitsvorkehrungen.
Dann gibt es das Risiko, dass die Ausgabe des KI-Modells einfach falsch ist.
“KI-Ausgaben können selbstbewusst erscheinen, aber völlig falsch, voreingenommen oder sogar datenschutzverletzend sein”, warnt der Chief Solutions Officer. “Unternehmen unterschätzen oft, wie schädlich ein fehlerhaftes Ergebnis sein kann, von diskriminierender Einstellung bis hin zu falschen rechtlichen oder finanziellen Ratschlägen. Ohne strenge Validierung und menschliche Aufsicht werden diese Risiken zu operationellen Haftungen.”
Das Risiko ist noch größer bei agentischen KI-Systemen, bei denen mehrere Modelle zusammenarbeiten, um einen Geschäftsprozess zu steuern. Wenn die Ausgabe eines Modells falsch oder voreingenommen ist, wird dieser Fehler verstärkt, wenn er von Agent zu Agent weitergegeben wird.
Regulatorische Konsequenzen könnten schwerwiegend sein, da eine fehlerhafte Ausgabe dazu führen könnte, dass zahlreichen Kunden Kredit verweigert oder ein Vorstellungsgespräch verweigert wird.
“Das offensichtlichste Problem bei Ausgaben von KI ist, dass sie Sprache generieren, keine Informationen”, sagt ein Berater. “Trotz der Art und Weise, wie sie präsentiert werden, analysieren LLMs nicht; sie haben kein Verständnis oder gar Gewichtungen für Fakten im Vergleich zu Fiktion, außer denen, die in sie eingebaut sind, während sie trainiert werden.”
“Sie halluzinieren wild und schlimmer, sie tun dies auf sehr überzeugende Weise, da sie gut mit Sprache umgehen können”, fügt er hinzu. “Sie können nie ohne gründliche Faktenüberprüfung vertraut werden – und das nicht durch ein weiteres LLM.”
Unternehmen können und nutzen KI auf eine konforme Weise, aber CIOs und Chief Digital Officers müssen die Compliance-Risiken im Training, in der Inferenz und in der Nutzung der Ergebnisse von KI sorgfältig berücksichtigen.
