KI für KMU – sicher implementieren mit dem Risk Management Framework des National Institute of Standards and Technology
Künstliche Intelligenz, Machine Learning und der Einsatz von KI-Tools belegt in der strategischen Entwicklung von kleinen und mittelständischen Unternehmen eine wichtige Position. Auch wenn aktuell noch nicht überall passende Use Cases gefunden sind, ist die Technologie der KI gekommen, um zu bleiben. Umso wichtiger ist es, sich jetzt strategisch mit dem Thema auseinanderzusetzen und Kosten-Nutzen Abwägungen anzustrengen. Auch hinsichtlich des Risikos beim Einsatz von KI sollte abgewogen werden, bevor man entsprechende Projekte startet. Wir wollen einen sinnvollen Überblick über alle Annahmen bieten, die vor der Einführung von KI in Unternehmen sinnvollerweise stehen sollten. Hierbei lehnen wir uns an das fast 50 Seiten starke AI Risk Management Framework des National Institute of Standards and Technologies an.
KI für KMU – wie fängt man an?
Die richte KI Strategie und ein umfassendes Verständnis von potentiellen Use-Cases für KI Anwendungen steht am Beginn einer sinnvollen KI-Unternehmensstrategie. Dabei sollte man sich die nötige Zeit nehmen, wirklich alle Perspektiven einzunehmen und Nutzen sowie Risiken von KI im eigenen Unternehmen abwägen. Empfehlenswert ist es, einzelne MitarbeiterInnen aus den Fachabteilungen zu einem Gremium zusammen zu führen und Pro und Contra sowie Wünsche und Herausforderungen rund um die Einführung von KI gemeinsam zu erarbeiten.
Eine Checkliste zur weiteren Projektgestaltung sollte folgende Themen abdecken:
- Welche Use Cases wollen wir mit welcher Priorität umsetzen?
- Wer soll im Unternehmen mit KI Arbeiten?
- Welche KI Nutzungsregeln möchten wir in unserem Unternehmen beschließen?
- Welche Anbieter von KI Lösungen sollen in unserem Unternehmen zum Einsatz kommen? Möchten wir ein großes LLM – wie bspw. Chat GPT – lizenzieren oder wollen wir lieber spezialisierte, kleinere Modelle verwenden?
- Wie können wir unsere Mitarbeiter bei der Einführung von KI einbeziehen und schulen?
- Haben wir Budget für die Einführung von KI Software – inkl. Beratungsbudget zum Thema KI Compliance und KI Risikomanagement?
- Haben wir eigene Trainingsdaten bzw. liegen unsere Daten strukturiert vor und können wir diese für KI Anwendungen nutzbar machen? Müssen wir zuerst Legacy Dekomissionieren, um KI Ready zu sein?
- In welchem Zeithorizont möchten wir die neue Technologie produktiv einsetzen?
- Wer im Unternehmen übernimmt die Rolle des Projektmanagers, wer wird interner Ambassador?
- Welche Kennzahlen sollen über Erfolg oder Misserfolg von KI Einsatz entscheiden, wie werden diese erhoben und haben wir bereits Basisdaten dazu?
Wie sieht eine richtige KI Strategie für KMU aus?
Ist die Grundlegende Roadmap zum Thema KI Einsatz im Unternehmen erstmal festgelegt, ist eine entsprechende Strategie ein wichtiger Eckpfeiler zur Umsetzung des Projekts.
Eine Strategie sollte immer aus folgenden Pfeilern bestehen:
- Objectives/Zielsetzungen: Neben den KPI Zielen, die über Erfolg und Misserfolg entscheiden, gibt es auch weiche Zielfaktoren, wie Produktivitätszuwachs, erhöhte Mitarbeitermotivation etc. Es sollten vor allem wichtige Meilensteine definiert werden, die das Projekt flankieren.
- Vision: Die KI Vision Ihres Unternehmens stellt eine Kombination aus den gewünschten Zielen (KPIs) und Use Case Outcomes dar. Bestenfalls ist eine Vision immer so formuliert, dass sie den Zustand des erreichten Erfolgs beschreibt.
- Strategie: Die Strategie legt die Rahmenbedingungen fest, innerhalb derer die avisierte Vision erreicht werden soll.
- Capabilities: Haben wir im Unternehmen die richtigen Fachkräfte zur Umsetzung des Projekts und die notwendige Führungskultur für ein begleitendes Change Management, dass zum Gelingen des Projekts beiträgt? Werden ggf. externe Ressourcen benötigt und haben wir hier bereits die richtigen Partner?
- Architecture: Ist unsere Infrastruktur – im Bereich KI vor allem diejenige von IT und Datenflüssen transparent, sicher und adressierbar? Haben wir die notwendigen Voraussetzungen – auch Personell – um hier keinen Flaschenhals zu provozieren?
- Roadmap: Gibt es eine klare zeitliche Einteilung von Meilensteinen des Projekts?
- Projects and Programs: Gibt es konkrete Handlungsbezogene Projekte, die die Umsetzung der Strategie zum Ziel haben?
Diese interessante Grafik folgt dem bekannten Change Management Framework von Lippitt-Knoster. Das gleichnamig benannte Modell zeigt auf, dass nur die Kombination aller notwendigen Bausteine Projekte zum Erfolg führt. Die hier aufgeführte Adaption zeigt eine Interpretation des IT Experten Jeff Winter.
Warum ist es wichtig, ein Risikomanagement im Bereich KI zu implementieren?
KI hat das Potenzial ganze Branchen zu revolutionieren und die Art wie wir arbeiten, nachhaltig zu beeinflussen. Viele Journalisten und Meinungsmacher rufen bereits eine neue Ära aus und vergleichen die Einführung von KI mit der Erfindung des PCs oder der Einführung des Internet.
Eine so mächtige Technologie birgt aber auch Risiken und Schattenseiten. So sind selbst führende Experten nicht immer sicher, was zwischen Input und Output in einem KI Modell genau passiert – auch haben wir grundlegende Probleme von KI Algorithmen noch nicht restlos gelöst: KIs phantasieren, sie können Daten fehlinterpretieren oder schlicht und einfach falsche Aussagen treffen. Das Training einer KI ist oft nur so gut wie die Daten, die für das Training zur Verfügung stehen.
Hinzu kommen viele politische Unsicherheiten, was die Regulation von KI Systemen angeht. Mit dem EU AI Act gibt es bereits Regularien, die heute mitbedacht werden müssen, bevor man als Unternehmen Ressourcen in die Umsetzung von KI Projekten steckt.
Aus dieser Gemengelage heraus hat das National Institute of Standard and Technology einen freiwilligen Leitfaden zum KI Risikomanagement herausgegeben.
Das sogenannte AI RMF – AI Risk Management Framework beschäftigt sich auf über 50 Seiten umfassend mit potentiellen Risiken von KI Technologie und wie man diesen begegnen kann.
Was ist das NIST und wie kam das NIST
Framework zu Stande?
Fotocredit: J. Stoughton/NIST
- Das National Institute of Standards and Technology (NIST, deutsch Nationales Institut für Standards und Technologie) ist eine Bundesbehörde der Vereinigten Staaten von Amerika.
- Das NIST fungiert als die zentrale US-Großforschungseinrichtung für Standardisierungsprozesse und Messtechnik bzw. Metrologie von physikalisch-technischen Konstanten, ähnlich der deutschen Physikalisch-Technische Bundesanstalt (PTB). Das NIST beschäftigt sich heute aber auch mit Technologien außerhalb der Physik – sprich Computertechnologien wie künstliche Intelligenz. So wurde auch das Risikomanagement Framework für KI (kurz AI RMF) von einer Forschungsgruppe des NIST in Zusammenarbeit mit Forschern und Industrie erarbeitet.
In seiner aktuellsten Fassung, wurde das NIST AI RMF am 26 Januar 2023 erstmals veröffentlicht. Es steht als freiwilliger Leitfaden zur Verfügung und stellt kein verbindliches Rechtsdokument dar. Weil es aber sehr umfassend beleuchtet, welche Aspekte bei der Einführung von KI Technologie zu beachten sind, beschäftigen sich auch KI Experten und Unternehmen aus Europa mit den Grundlagen dieses Dokuments.
Wie sieht die Grundlage für ein solides
KI-Risikomanagement im Unternehmen aus?
Eine der größten Risiken beim Einsatz von KI ist, dass durch die Neuheit der Technologie die Risiken nicht richtig gemessen und eingeschätzt werden können. Das macht die quantitative und qualitative Risikomanagement Arbeit schwieriger. Für ein fundiertes Risikomanagement sollte zunächst ein gutes Bewusstsein für die drei Grundeinstellungen zum Risiko im Unternehmen vorherrschen:
- Risikotoleranz: In einer Schnelllebigen Technologieentwicklung wie die der KI ist nicht jedes Risiko zu hundert Prozent zu vermeiden. Eine gewisse Toleranz und Risikobereitschaft ist somit wichtig. Dabei ist jedoch stets zu beachten, dass entsprechende „rote Linien“ wie Regulatorisches oder Geschäftsgefährdendes besondere Beachtung findet.
- Risikopriorisierung: Die KI Risikobetrachtung sollte ihren Platz neben den Risiken außerhalb der KI Einführung – wie Cybersecurity oder Regulatorik in hochregulierten Märkten – finden, anstatt diese zu ersetzen. Es muss stets eine klare Risikopriorisierung vorgenommen werden.
- Risikomanagement-Ressourcen: Die Risiken im Bereich von KI sind vielfältig. Oft ist es wichtig, mehrere Stakeholder im Unternehmen in der Arbeitsgruppe rund um das Risikomanagement einzubeziehen.
Wichtige Grundlage beim Einsatz für KI – Legacy Systeme modernisieren – erfahren Sie in unserer Case Study, wie wir das machen.
Anhand welcher Rahmenbedingungen lässt
sich eine vertrauenswürdige Anwendung bestimmen?
Eine vertrauenswürdige und damit Risikoarme KI-Anwendung zeichnet sich laut NIST durch folgende Eigenschaften aus:
- Genauigkeit, Robustheit und Zuverlässigkeit: sind entscheidend für die Qualität von KI-Systemen. Laufende Tests und Überwachung sind notwendig, um zu bestätigen, dass KI-Systeme unter verschiedenen Bedingungen und Anwendungsfällen wie vorgesehen funktionieren. Hierzu gehört auch, jeden Anbieter von KI Software hinsichtlich bekannten Problemen, wie das Phantasieren der KI zu challengen.
- Sicherheit: KI-Systeme sollten unter definierten Bedingungen keine Gefahr für Menschenleben, Gesundheit, Eigentum oder die Umwelt darstellen. Verantwortungsvolle Entwurfs-, Entwicklungs- und Einführungspraktiken sowie klare Informationen für Anwender und Endnutzer sind entscheidend für die Gewährleistung der KI-Sicherheit. Ein ressourcenschonender Einsatz von Rechenkapazität gehört hier genauso zum Thema wie der derzeit noch sehr wichtige „Human in the loop“-Ansatz.
- Reduzierte Voreingenommenheit: Voreingenommenheit kann sich in automatisierten Systemen tief verankern und hat das Potenzial, Schäden in einem noch nie dagewesenen Ausmaß zu verstärken und aufrechtzuerhalten. Der Umgang mit systemischen, rechnerischen und menschlich-kognitiven Verzerrungen ist entscheidend für die Gewährleistung von Fairness in der KI. Ein fairer KI Einsatz – etwa die Vermeidung von Fortschreibung rassistischer Motive bei der Sortierung von personenbezogenen Daten – ist nicht nur gesetzlich vorgeschrieben sondern liegt auch im Interesse demokratischer Gesellschaften.
- Widerstandsfähigkeit: KI-Systeme und ihre Ökosysteme sollten in der Lage sein, unerwarteten negativen Ereignissen oder Veränderungen standzuhalten, ihre Funktionen und Struktur aufrechtzuerhalten und bei Bedarf sicher abzubauen. Dies beinhaltet die Berücksichtigung von Sicherheitsaspekten wie adversarial examples, schädliche Datenmanipukation oder das Auslesen und extrahieren von Modellen, Trainingsdaten oder geistigem Eigentum durch Dritte (sog. KI Hacking).
- Transparent: Mit Transparenz wird im Bereich KI vor allem von Datentransparenz gesprochen. Dies bedeutet, dass ein angemessenes Maß an Informationen über ein KI-System zur Verfügung gestellt wird, einschließlich seines Designs, der Trainingsdaten, der Modellstruktur, der geplanten Anwendungsfälle und der Einsatzentscheidungen. Diese Transparenz ist notwendig, um bei fehlerhaften oder sich negativ auswirkenden KI-Ergebnissen Abhilfe schaffen zu können.
- Erklärbarkeit: bezieht sich auf das Verständnis der zugrundeliegenden Mechanismen, wie ein KI-System funktioniert, während Interpretierbarkeit das Verständnis der Bedeutung und des Kontexts der Systemausgaben beinhaltet. Zusammengenommen helfen diese Eigenschaften Nutzern, Betreibern und Aufsichtsbehörden, tiefere Einblicke in die Funktionalität und Vertrauenswürdigkeit eines KI-Systems zu gewinnen.
- Datenschutzkonform: KI Systeme benötigen riesige Mengen an Daten, um bestmöglich zu funktionieren bzw. zu trainieren. In datenschutz-sensiblen Umfeldern wie Europa entsteht hier oft eine Diskrepanz zwischen Verbesserung des KI Modells und Einhaltung von Datensparsamkeitsvorgaben. Im Zweifel sollte der Datenschutz im Bereich der KI Einführung besonders ernst genommen werden, da einmal eingespeiste Daten oft nicht mehr aus dem System raus zu bekommen sind.
Wie wird ein funktionierendes KI
Risikomanagement produktiv gebracht?
Im NIST AI RMF wird ein strukturierter Ansatz vorgestellt,
der es erleichtern soll, Risiken im Zusammenhang mit KI Einsatz effektiv zu
managen. Hierzu gehören vier Kerntätigkeiten:
- Unternehmens-Richtlinien festlegen. Die klare Implementierung von Unternehmens-Richtlinien bezüglich der Auswahl, Nutzung und des Einsatzes von KI Technologien steht am Anfang eines guten KI Risikomanagements. Dazu gehören die Festlegung transparenter Richtlinien und Verfahren, die Definition klarer Rollen und Verantwortlichkeiten, die Priorisierung von Vielfalt und Inklusion in der Belegschaft, die Förderung einer Kultur des kritischen Denkens und der Sicherheit sowie die Einbindung relevanter Interessengruppen.
- Verortung und Kartierung von Abhängigkeiten der Risiken Eine umfassende Kartierung von mit KI Systemen verbunden Risiken darzustellen bietet einen soliden Kontext für die Risikobewertung. Optimalerweise entsteht ein differenziertes Bild der komplexen Wechselwirkungen zwischen den verschiedenen Akteuren und Aktivitäten, die in den KI-Lebenszyklus involviert sind. Dies ermöglicht es Unternehmen, negative Risiken zu vermeiden und Entscheidungen über das Modellmanagement und die Angemessenheit einer KI-Lösung zu treffen.
- Risiken bewerten Eine KI-Risikobewertung setzt verschiedene quantitative, qualitative und methodengemischte Instrumente und Techniken ein, um KI-Risiken und die damit verbundenen Auswirkungen zu analysieren, zu bewerten, zu vergleichen und zu überwachen. Dazu gehören strenge Softwaretests, Leistungsbewertungen, unabhängige Überprüfungen und eine umfassende Dokumentation der Ergebnisse. Auch wichtig ist die umfängliche Überwachung von Kosten-Nutzen Effekten.
- Risikomanagement beibehalten Eine anfängliche Aufstellung von Risikokarten und Bewertungen alleine reicht nicht für ein gewinnbringendes Risikomanagement aus. Neben der Zuweisung von Risikoressourcen für kartierte und gemessene Risiken sollten konkrete Möglichkeiten zur Umsetzung von Plänen zur Risikobehandlung bestehen bleiben. Es benötigt feste Zuständigkeiten und entsprechende Ressourcen, um auf Vorfälle oder Ereignisse im Bereich KI-Risiken zu reagieren, sich davon zu erholen und darüber zu informieren.
Ausblick: KI ist nicht für jeden was, aber jeder sollte sich damit beschäftigen!
Spätestens mit dem EU AI Act müssen Risiken von KI Anwendungen nochmals verschärft abgewogen werden. Eine gezielte Einordnung von Kosten-Nutzen Effekten und die firmenweite Anpassung der Strukturen erfordern mehr als ein kleines Pilotprojekt. Unternehmen, die KI gewinnbringend implementieren möchten, sollten sich frühzeitig strategisch positionieren. Jetzt werden Positionen wie die des Chief AI Officers geschaffen, um Personen frühzeitig in die Verantwortung und Schulung dieses wichtigen Zukunftsthemas zu involvieren. Gerne besprechen wir mit Ihnen, ob auch Sie eine solche Stelle schaffen sollten. Dennoch ist KI heute für viele Firmen (noch) ein Forschungsfeld – angesichts der rapiden Entwicklungen ist es trotzdem wichtig, strategische Überlegungen heute zu treffen. Unsere Versicherungskunden haben zudem die Herausforderung, weitere Regulatorik wie beispielsweise die VAIT-Verordnung auch im Hinblick auf den künftigen Einsatz von KI zu prüfen. Auch wer KI in der Cloud einsetzt kommt um gewisse Regulatorik nicht herum. Egal, wie Sie den Einsatz von Machine Learning und weiteren KI Technologien in Zukunft angehen – wir empfehlen Ihnen mit einer umfassenden Strategie zu starten.
Gerne helfen wir mit unserem AI Assessment Workshop, die nötigen Schritte zu identifizieren und begleiten Sie bei Ihrem Weg in Ihre individuelle KI-Zukunft.
Jetzt strategisches KI Sparring erhalten!
Kontaktieren Sie uns noch heute und lassen Sie uns über Ihre Chancen und Risiken im Bereich KI sprechen.
Ihr Ansprechpartner: Paul Giordano Bruno