Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen beim Einrichten eines Organisatorischen Prozesses für die Steuerung von KI. Sie verwenden diese Anleitung, um das KI-Risikomanagement in Ihre umfassenderen Risikomanagementstrategien zu integrieren und einen einheitlichen Ansatz für KI, Cybersicherheit und Datenschutzgovernance zu schaffen. Der Prozess folgt dem NIST Artificial Intelligence Risk Management Framework (AI RMF) und dem NIST AI RMF Playbook. Die Anleitung richtet sich an das Framework in CAF Govern.
Bewerten von KI-Organisationsrisiken
Die KI-Risikobewertung identifiziert potenzielle Risiken, die KI-Technologien in Ihre Organisation einführen. Diese Bewertung schafft Vertrauen in KI-Systeme und reduziert unbeabsichtigte Folgen. Sie müssen gründliche Risikobewertungen durchführen, um sicherzustellen, dass KI-Bereitstellungen den Werten, der Risikotoleranz und den betrieblichen Zielen Ihrer Organisation entsprechen. Gehen Sie dazu wie folgt vor:
Verstehen Sie Ihre KI-Workloads. Jede KI-Workload stellt eindeutige Risiken basierend auf ihrem Zweck, Umfang und Implementierung dar. Sie müssen die spezifische Funktion, Datenquellen und die vorgesehenen Ergebnisse für jede KI-Workload klären, um die damit verbundenen Risiken effektiv zuzuordnen. Dokumentieren Sie alle Annahmen und Einschränkungen im Zusammenhang mit jeder KI-Workload, um klare Grenzen für die Risikobewertung festzulegen.
Verwenden Sie die Prinzipien verantwortungsvoller KI, um Risiken zu identifizieren. Verantwortungsvolle KI-Prinzipien bieten einen strukturierten Rahmen für eine umfassende Risikobewertung. Sie müssen jede KI-Workload anhand dieser Prinzipien bewerten, um potenzielle Sicherheitsrisiken und ethische Bedenken zu identifizieren. Verwenden Sie die folgende Tabelle, um Ihren Risikoidentifikationsprozess zu leiten:
Prinzip der verantwortungsvollen KI Definition Frage zur Risikobewertung KI-Datenschutz und -Sicherheit KI-Workloads sollten den Datenschutz respektieren und sicher sein. Wie können KI-Workloads sensible Daten verarbeiten oder anfällig für Sicherheitsverletzungen werden? Zuverlässigkeit und Sicherheit KI-Workloads sollten sicher und zuverlässig funktionieren. In welchen Situationen kann die Ausführung von KI-Workloads nicht sicher sein oder zu unzuverlässigen Ergebnissen führen? Gerechtigkeit KI-Workloads sollten Menschen gleichberechtigt behandeln. Wie können KI-Workloads zu Ungleichbehandlung oder unbeabsichtigten Verzerrungen (Trends) bei der Entscheidungsfindung führen? Inklusion KI-Workloads sollten inklusiv sein und Menschen befähigen. Wie können bestimmte Gruppen beim Entwurf oder bei der Bereitstellung von KI-Workloads ausgeschlossen oder benachteiligt werden? Transparenz KI-Workloads sollten verständlich sein. Welche Aspekte der KI-Entscheidungsfindung könnten für Benutzer schwer zu verstehen oder zu erklären sein? Rechenschaftspflicht Für KI-Workloads sollten Menschen verantwortlich sein. Wo könnte die Verantwortlichkeit bei der Entwicklung oder Verwendung von KI unklar oder schwer zu ermitteln sein? Identifizieren Sie bestimmte KI-Risiken. Die Risikoidentifikation erfordert eine systematische Bewertung von Sicherheits-, Betriebs- und ethischen Sicherheitsrisiken. Sie müssen potenzielle Datenschutzverletzungen, unbefugten Zugriff, Modellmanipulation und Missbrauchsszenarien für jede KI-Workload bewerten. Wenden Sie sich an Projektbeteiligte aus verschiedenen Abteilungen, um Risiken aufzudecken, die von technischen Teams möglicherweise übersehen werden, und bewerten Sie sowohl quantitative Auswirkungen (finanzielle Verluste, Leistungsbeeinträchtigungen) als auch qualitative Auswirkungen (Reputationsschäden, Benutzervertrauen), um die Risikotoleranz Ihrer Organisation zu ermitteln.
Identifizieren Sie Risiken aufgrund externer Abhängigkeiten. Externe Abhängigkeiten führen zusätzliche Risikovektoren ein, die eine sorgfältige Auswertung erfordern. Sie müssen Risiken aus Datenquellen, KI-Modellen, Softwarebibliotheken und API-Integrationen von Drittanbietern bewerten, von denen Ihre KI-Workloads abhängen. Beheben Sie potenzielle Probleme wie Sicherheitsrisiken, Probleme mit der Datenqualität, Verzerrungen in externen Datasets, Konflikte mit geistigem Eigentum und Zuverlässigkeit des Anbieters, indem Sie klare Richtlinien einrichten, die sicherstellen, dass externe Abhängigkeiten den Datenschutz-, Sicherheits- und Compliancestandards Ihrer Organisation entsprechen.
Bewerten Sie Integrationsrisiken. KI-Workloads arbeiten selten isoliert und schaffen neue Risiken, wenn sie in vorhandene Systeme integriert sind. Sie müssen auswerten, wie KI-Workloads mit aktuellen Anwendungen, Datenbanken und Geschäftsprozessen verbunden sind, um potenzielle Fehlerpunkte zu identifizieren. Dokumentieren Sie spezifische Risiken wie Abhängigkeitskaskaden, bei denen KI-Fehler mehrere Systeme betreffen, eine höhere Systemkomplexität, wodurch die Problembehandlung erschwert wird, Datenformat-Inkompatibilitäten, Leistungsengpässe und Sicherheitslücken an Integrationspunkten, die die Gesamtsystemfunktionalität beeinträchtigen könnten.
Dokumentieren von KI-Governancerichtlinien
KI-Governancerichtlinien bieten ein strukturiertes Framework für die verantwortungsvolle KI-Nutzung in Ihrer Organisation. Diese Richtlinien bringen KI-Aktivitäten mit ethischen Standards, gesetzlichen Anforderungen und Geschäftszielen in Einklang. Sie müssen Richtlinien dokumentieren, die identifizierte KI-Risiken basierend auf der Risikotoleranz Ihrer Organisation behandeln. Hier sind Beispiele für Richtlinien der KI-Governance:
| Bereich der KI-Governancerichtlinien | Empfehlungen für KI-Governancerichtlinien |
|---|---|
| Richtlinien für das Auswählen und Onboarding von Modellen definieren | ▪ Definieren Sie Richtlinien für die Auswahl von KI-Modellen. Die Richtlinien sollten Kriterien für die Auswahl von Modellen festlegen, die den Werten, Fähigkeiten und Kostenbeschränkungen der Organisation entsprechen. Prüfen Sie potenzielle Modelle im Hinblick auf die Risikotoleranz und die geplanten Aufgabenanforderungen. ▪ Führen Sie das Onboarding neuer Modelle mit strukturierten Richtlinien durch. Ein formaler Prozess für das Modellonboarding sorgt für Konsistenz bei der Begründung, Validierung und Genehmigung von Modellen. Verwenden Sie Sandboxumgebungen für die ersten Experimente, und überprüfen Sie dann Modelle im Produktionskatalog, um Duplizierungen zu vermeiden. |
| Richtlinien für die Verwendung von Drittanbietertools und -daten definieren | ▪ Legen Sie Kontrollen für Drittanbietertools fest. Ein Überprüfungsprozess für Tools von Drittanbietern schützt vor Sicherheits-, Compliance- und Ausrichtungsrisiken. Richtlinien sollten Vorgaben für Datenschutz, Sicherheit und ethische Standards bei der Verwendung von externen Datasets enthalten. ▪ Definieren Sie Standards für die Datenvertraulichkeit. Die Trennung von sensiblen und öffentlichen Daten ist für die Minimierung von KI-Risiken entscheidend. Erstellen Sie Richtlinien für die Datenverarbeitung und -trennung. ▪ Definieren Sie Standards für die Datenqualität. Ein „Golden Dataset” bietet einen zuverlässigen Maßstab für die Prüfung und Bewertung von KI-Modellen. Legen Sie klare Richtlinien für die Datenkonsistenz und -qualität fest, um eine hohe Leistung und vertrauenswürdige Ergebnisse zu gewährleisten. |
| Richtlinien für die Verwaltung und Überwachung von Modellen definieren | ▪ Legen Sie die Häufigkeit des erneuten Trainings je nach Anwendungsfall fest. Ein häufiges erneutes Training unterstützt die Genauigkeit bei KI-Workloads mit hohem Risiko. Definieren Sie insbesondere für Sektoren wie das Gesundheits- und Finanzenwesen Richtlinien, die den Anwendungsfall und die Risikostufe jedes Modells berücksichtigen. ▪ Überwachen Sie, ob Leistungsbeeinträchtigungen auftreten. Durch die Überwachung der Modellleistung im Zeitverlauf können Probleme erkannt werden, bevor sie sich auf die Ergebnisse auswirken. Dokumentieren Sie Benchmarks, und initiieren Sie ein erneutes Training oder eine Überprüfung, wenn die Leistung eines Modells abnimmt. |
| Richtlinien für die Einhaltung gesetzlicher Anforderungen definieren | ▪ Halten Sie regionale gesetzliche Anforderungen ein. Die Kenntnis der regionalen Gesetze stellt sicher, dass KI-Vorgänge an allen Standorten konform sind. Informieren Sie sich über die geltenden Vorschriften für jeden Einsatzbereich, z. B. Datenschutzgesetze, ethische Standards und Branchenvorschriften. ▪ Entwickeln Sie regionsspezifische Richtlinien. Die Anpassung von KI-Richtlinien an regionale Anforderungen unterstützt die Einhaltung lokaler Standards. Richtlinien können Sprachunterstützung, Datenspeicherprotokolle und kulturelle Anpassungen umfassen. ▪ Passen Sie KI je nach Region an. Die Flexibilität von KI-Workloads ermöglicht standortspezifische Anpassungen der Funktionen. Dokumentieren Sie für globale Vorgänge regionsspezifische Anpassungen wie lokalisierte Trainingsdaten und Featureeinschränkungen. |
| Richtlinien für das Verhalten von Benutzern definieren | ▪ Definieren Sie Strategien zur Risikominderung für Missbrauch. Richtlinien zur Verhinderung von Missbrauch tragen zum Schutz vor absichtlichen oder unbeabsichtigten Schäden bei. Beschreiben Sie mögliche Missbrauchsszenarien, und integrieren Sie Kontrollen, z. B. eingeschränkte Funktionen oder Features zur Erkennung von Missbrauch. ▪ Legen Sie Richtlinien für das Verhalten von Benutzern fest. Benutzervereinbarungen verdeutlichen akzeptable Verhaltensweisen bei der Interaktion mit der KI-Workload, wodurch das Risiko eines Missbrauchs verringert wird. Entwerfen Sie klare Nutzungsbedingungen, um Standards zu kommunizieren und die verantwortungsvolle Interaktion mit KI zu unterstützen. |
| Richtlinien für die KI-Integration und -Ersetzung definieren | ▪ Entwerfen Sie Integrationsrichtlinien. Integrationsrichtlinien stellen sicher, dass KI-Workloads die Datenintegrität und -sicherheit aufrechterhalten, während sie verbunden sind. Legen Sie technische Anforderungen, Datenfreigabeprotokolle und Sicherheitsmaßnahmen fest. ▪ Planen Sie den Übergang und die Ersetzung. Übergangsrichtlinien stellen eine Struktur bereit, wenn alte Prozesse durch KI-Workloads ersetzt werden. Skizzieren Sie die Schritte für die stufenweise Einstellung von Legacyprozessen, die Schulung von Mitarbeitern und die Überwachung der Leistung während des gesamten Änderungsprozesses. |
Erzwingen von KI-Governancerichtlinien
Durch die Durchsetzung Ihrer KI-Governancerichtlinien werden einheitliche und ethische KI-Praktiken in Ihrer Gesamten Organisation beibehalten. Sie sollten automatisierte Tools und manuelle Interventionen verwenden, um die Richtlinientreue für alle KI-Bereitstellungen sicherzustellen. Gehen Sie dazu wie folgt vor:
Automatisieren Sie die Richtlinienerzwingung nach Möglichkeit. Die automatisierte Erzwingung reduziert den menschlichen Fehler und stellt eine konsistente Richtlinienanwendung für alle KI-Bereitstellungen sicher. Automatisierung bietet Echtzeitüberwachung und sofortige Reaktion auf Richtlinienverstöße, die manuelle Prozesse nicht effektiv abgleichen können. Verwenden Sie Plattformen wie Azure Policy und Microsoft Purview, um Richtlinien automatisch über KI-Bereitstellungen hinweg zu erzwingen, und bewerten Sie regelmäßig Bereiche, in denen Automatisierung die Richtlinientreue verbessern kann.
Erzwingen Sie KI-Richtlinien manuell, wenn die Automatisierung nicht ausreicht. Manuelle Durchsetzung befasst sich mit komplexen Szenarien, die menschliches Urteil erfordern, und bietet wichtige Schulungen für das Bewusstsein für Richtlinien. Die menschliche Aufsicht stellt sicher, dass sich Richtlinien an einzigartige Situationen anpassen und das organisationsweite Verständnis der KI-Governance-Prinzipien aufrecht erhalten. Stellen Sie KI-Risiko- und Complianceschulungen für Mitarbeiter bereit, um sicherzustellen, dass sie ihre Rolle in der KI-Governance verstehen, regelmäßige Workshops durchführen, um Mitarbeiter auf dem neuesten Stand zu halten und regelmäßige Audits durchzuführen, um die Einhaltung zu überwachen und Bereiche zur Verbesserung zu identifizieren.
Verwenden Sie arbeitslastenspezifische Richtlinien für die gezielte Durchsetzung. Workloadspezifische Anleitungen beziehen sich auf eindeutige Sicherheits- und Complianceanforderungen für verschiedene KI-Bereitstellungsmuster. Mit diesem Ansatz wird sichergestellt, dass Richtlinien mit der technischen Architektur und dem Risikoprofil jedes AI-Workloadtyps übereinstimmen. Verwenden Sie detaillierte Sicherheitsanleitungen für KI-Workloads in Azure-Plattformdiensten (PaaS) und Azure-Infrastruktur (IaaS), um KI-Modelle, Ressourcen und Daten innerhalb dieser Workloadtypen zu steuern.
Überwachen von Unternehmensrisiken im Zusammenhang mit KI
Die Risikoüberwachung identifiziert neue Bedrohungen und stellt sicher, dass KI-Workloads wie beabsichtigt funktionieren. Kontinuierliche Auswertung hält die Systemsicherheit aufrecht und verhindert negative Auswirkungen. Sie müssen eine systematische Überwachung einrichten, um sich an sich entwickelnde Bedingungen anzupassen und Risiken zu behandeln, bevor sie sich auf den Betrieb auswirken. Gehen Sie dazu wie folgt vor:
Führen Sie Verfahren zur laufenden Risikobewertung ein. Regelmäßige Risikobewertungen bieten eine frühzeitige Erkennung neuer Bedrohungen und Systemverschlechterungen. Sie müssen strukturierte Überprüfungsprozesse erstellen, die Interessengruppen aus Ihrer gesamten Organisation einbeziehen, um umfassendere KI-Auswirkungen zu bewerten und ein umfassendes Risikobewusstsein aufrechtzuerhalten. Planen Sie vierteljährliche Risikobewertungen für AI-Workloads mit hohem Risiko und jährliche Bewertungen für Systeme mit niedrigeren Risiken, und entwickeln Sie Reaktionspläne, die spezifische Aktionen für verschiedene Risikoszenarien skizzieren, um eine schnelle Entschärfung zu ermöglichen, wenn Probleme auftreten.
Entwickeln Sie einen umfassenden Messplan. Ein strukturierter Messplan stellt eine konsistente Datenerfassung und -analyse für alle KI-Workloads sicher. Sie müssen klare Datenerfassungsmethoden definieren, die die automatisierte Protokollierung für betriebstechnische Metriken mit Umfragen und Interviews kombinieren, um qualitatives Feedback von Benutzern und Projektbeteiligten zu erhalten. Richten Sie die Messhäufigkeit basierend auf Arbeitsauslastungsrisikostufen ein, konzentrieren Sie sich auf die Überwachung der Bemühungen in Bereichen mit hohem Risiko und erstellen Sie Feedbackschleifen, die Messergebnisse verwenden, um Risikobewertungen zu verfeinern und Überwachungsprozesse zu verbessern.
Quantifizieren und qualifizieren Sie KI-Risiken systematisch. Eine ausgewogene Risikomessung erfordert sowohl quantitative Metriken als auch qualitative Indikatoren, die mit dem spezifischen Zweck- und Risikoprofil der einzelnen Arbeitsauslastungen übereinstimmen. Sie müssen geeignete quantitative Metriken wie Fehlerraten, Genauigkeitsbewertungen und Leistungs-Benchmarks zusammen mit qualitativen Indikatoren auswählen, einschließlich Benutzerfeedback, ethische Bedenken und Zufriedenheit der Beteiligten. Messen Sie die Leistung gegenüber Branchenstandards und behördlichen Anforderungen, um die Vertrauenswürdigkeit, Effektivität und Compliance von KI im Laufe der Zeit nachzuverfolgen.
Dokumentieren und melden Sie messergebnisse konsistent. Systematische Dokumentation und Berichterstellung verbessern Transparenz und unterstützen fundierte Entscheidungsfindung in Ihrer Organisation. Sie müssen standardisierte Berichte erstellen, die wichtige Metriken, wichtige Ergebnisse und anomalien, die während der Überwachungsaktivitäten erkannt wurden, zusammenfassen. Teilen Sie diese Erkenntnisse mit den relevanten Stakeholdern durch regelmäßige Briefings und verwenden Sie Ergebnisse, um Strategien zur Risikominderung zu verfeinern, Governancerichtlinien zu aktualisieren und zukünftige KI-Bereitstellungen zu verbessern.
Richten Sie unabhängige Überprüfungsprozesse ein. Unabhängige Bewertungen stellen objektive Bewertungen bereit, die interne Teams aufgrund von Vertrautheit oder Voreingenommenheit verpassen könnten. Sie müssen regelmäßige unabhängige Überprüfungen mit externen Prüfern oder unbeteiligten internen Prüfern implementieren, die KI-Risiken und Compliance objektiv bewerten können. Verwenden Sie Überprüfungsergebnisse, um blinde Flecken in Ihren Risikobewertungen zu identifizieren, Governancerichtlinien zu stärken und die Effektivität Ihrer aktuellen Überwachungsansätze zu überprüfen.
Nächster Schritt
Beispiele für KI-Risikominderungen
In der folgenden Tabelle sind einige allgemeine KI-Risiken mit einer zugehörigen Strategie zur Risikominderung und einer Beispielrichtlinie aufgeführt. Die Tabelle enthält keine vollständige Auflistung aller Risiken.
| Risiko-ID | KI-Risiko | Minderung | Politik |
|---|---|---|---|
| R001 | Nichteinhaltung von Datenschutzgesetzen | Verwenden Sie Microsoft Purview Compliance Manager, um die Datenkonformität zu bewerten. | Der Security Development Lifecycle muss implementiert werden, um sicherzustellen, dass die gesamte KI-Entwicklung und -Bereitstellung den Datenschutzgesetzen entspricht. |
| R005 | Mangelnde Transparenz bei der KI-gestützten Entscheidungsfindung | Wenden Sie ein standardisiertes Framework und eine standardisierte Sprache an, um die Transparenz bei KI-Prozessen und der KI-gestützten Entscheidungsfindung zu verbessern. | Das NIST AI Risk Management Framework (AI RMF) muss angewendet werden, und alle KI-Modelle müssen sorgfältig dokumentiert werden, um ihre Transparenz zu gewährleisten. |
| R006 | Ungenaue Vorhersagen | Verfolgen Sie KI-Modellmetriken mit Azure API Management nach, um ihre Genauigkeit und Zuverlässigkeit sicherzustellen. | Die Genauigkeit der Vorhersagen von KI-Modellen muss durch kontinuierliche Leistungsüberwachung und menschliches Feedback sichergestellt werden. |
| R007 | Angriff | Verwenden Sie PyRIT, um KI-Workloads auf Sicherheitsrisiken zu testen und die Schutzmaßnahmen zu stärken. | KI-Workloads müssen mit dem Security Development Lifecycle und KI-Red Team-Tests vor Angriffen geschützt werden. |
| R008 | Insiderbedrohungen | Verwenden Sie Microsoft Entra ID, um eine strenge Zugriffssteuerung zu erzwingen, die auf Rollen und Gruppenmitgliedschaften basiert, um den Insiderzugriff auf sensible Daten einzuschränken. | Insiderbedrohungen müssen durch eine strenge Identitäts- und Zugriffsverwaltung (Identity & Access Management) und kontinuierliche Überwachung gemindert werden. |
| R009 | Unerwartete Kosten | Verfolgen Sie die CPU-, GPU-, Arbeitsspeicher- und Speichernutzung mithilfe von Azure Cost Management + Billing nach, um eine effiziente Ressourcenverwendung sicherzustellen und Kostenspitzen zu verhindern. | Unerwartete Kosten müssen durch Überwachung und Optimierung der Ressourcenverwendung sowie die automatisierte Erkennung von Kostenüberschreitungen bewältigt werden. |
| R010 | Unterauslastung von KI-Ressourcen | Überwachen Sie KI-Dienstmetriken wie Anforderungsraten und Antwortzeiten, um die Auslastung zu optimieren. | Die Auslastung von KI-Ressourcen muss mithilfe von Leistungsmetriken und durch automatisierte Skalierbarkeit optimiert werden. |