top of page
Suche

Risikobetrachtung bei dem Einsatz von KI

  • oliverluerssen7
  • 12. Apr.
  • 5 Min. Lesezeit

1. Einleitung: Das Paradoxon der KI-Adoption

Wir befinden uns in einer Ära des rasanten technologischen Umbruchs, in der das Tempo der Implementierung die Geschwindigkeit der Absicherung oft weit überholt. Laut aktuellen Berichten von McKinsey nutzen bereits 78 % aller Unternehmen generative KI (GenAI), um ihre Wertschöpfungsketten zu transformieren. Doch hinter diesem Boom verbirgt sich ein gefährliches Paradoxon: Während die Nutzung massiv zunimmt, wächst bei Führungskräften die Sorge um Cybersicherheit, Datenschutz und die Verlässlichkeit der Ergebnisse.

Es reicht im Jahr 2025 nicht mehr aus, KI lediglich "einzuführen". Unternehmen stehen vor der Herausforderung, den Wettbewerbsvorteil zu sichern, ohne dabei die Kontrolle über die Genauigkeit ihrer Systeme oder die Integrität ihrer Daten zu verlieren. Wer lediglich auf die Fassade der Implementierung blickt, übersieht die strukturellen Risiken, die unter der Oberfläche lauern.


2. Der "Stille Verfall": Warum 91 % aller Modelle ein Verfallsdatum haben

Eines der am meist unterschätzten technischen Risiken ist der "Model Drift" – die schleichende Verschlechterung der Modellleistung über die Zeit. Forschungsergebnisse des MIT, Harvards, der Universität Monterrey und Cambridge aus dem Jahr 2022 belegen die Tragweite dieses Phänomens:

91 % aller Machine-Learning-Modelle erleben innerhalb weniger Jahre nach ihrer Implementierung einen signifikanten Leistungsabfall.

Dieser "stille Verfall" tritt ein, wenn sich die realen Datenströme von den ursprünglichen Trainingsdaten entfernen oder sich die Umgebungsvariablen ändern. Wichtig ist hierbei die Unterscheidung: Während Model Drift eine Leistungsdegradierung über Zeit beschreibt, ist Bias (Voreingenommenheit) oft bereits in den Trainingsdaten inhärent und führt zu systematischen Fehlentscheidungen von Beginn an. Für Unternehmen, die automatisierte Entscheidungen treffen, ist das Ignorieren dieses Verfalls fatal. Ein Modell, das heute präzise arbeitet, kann morgen bereits finanzielle Verluste verursachen oder Reputationsschäden durch unfaire Ergebnisse provozieren.


3. Die regulatorische Abrissbirne: Wenn Compliance zur Existenzfrage wird

Mit dem Inkrafttreten des EU AI Act hat sich die Landschaft der KI-Governance grundlegend gewandelt. Was früher als ethisches "Nice-to-have" galt, ist heute eine harte rechtliche Anforderung mit drakonischen Konsequenzen bei Verstößen.

„Die Einhaltung regulatorischer Vorschriften ist nicht verhandelbar, wenn Sie rechtliche Probleme vermeiden wollen.“

Der EU AI Act sieht für schwerwiegende Verstöße Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Für kleine und mittlere Unternehmen (KMU) sowie Start-ups gilt jedoch eine mildere Regelung: Hier ist die Strafe auf den jeweils niedrigeren der beiden Beträge gedeckelt.

Die Regulierung kategorisiert Systeme in vier Risikoklassen:

  • Unacceptable Risk: Verbotene Praktiken (z. B. Social Scoring).

  • High Risk: Streng regulierte Bereiche wie Rekrutierung, Bildung oder kritische Infrastrukturen.

  • Limited Risk: Kennzeichnungspflichten für Systeme wie Chatbots oder Deepfakes.

  • Minimal Risk: Keine spezifische Regulierung (z. B. Spam-Filter).

Ähnlich wie die DSGVO entfaltet der AI Act eine extraterritoriale Wirkung: Jedes globale Unternehmen, das KI-Systeme in der EU anbietet oder dessen Nutzer in der EU ansässig sind, muss die Vorgaben zwingend erfüllen.


4. Shadow AI: Die unsichtbare Gefahr in der Browser-Leiste

Ein massives Sicherheitsrisiko entsteht durch das Auseinanderklaffen von autorisierter und unbefugter KI-Nutzung. Wir unterscheiden hier zwei Phänomene: Shadow AI beschreibt die Nutzung nicht autorisierter Browser-Tools durch Mitarbeiter, während Model Sprawl die ungesteuerte Ausbreitung autorisierter Anwendungen bezeichnet – im Durchschnitt laufen heute 66 verschiedene GenAI-Apps pro Unternehmen, von denen oft 10 % als hochriskant einzustufen sind.

Herkömmliche IT-Monitoring-Tools versagen hier oft, da sie spezifische Angriffsvektoren wie Prompt Injection (die Manipulation der KI durch bösartige Eingaben), Data Poisoning (Vergiftung der Trainingsdaten) oder Jailbreakingnicht erkennen können.

Wie real diese Gefahr ist, zeigt das Fallbeispiel Samsung: In drei separaten Vorfällen gaben Ingenieure sensiblen Quellcode und proprietäre Halbleiter-Designs in ChatGPT ein, um Fehler zu beheben. Dabei war ihnen nicht bewusst, dass diese Daten in das öffentliche Training der Modelle fließen konnten. Pauschale Verbote sind oft nur kurzfristige Reaktionen; nachhaltige Sicherheit erfordert klare Nutzungsrichtlinien oder den Einsatz lokaler LLM-Instanzen.

5. Rechtliche Haftung: Wenn der Chatbot Ihr Unternehmen vor Gericht bringt

Das Beispiel Air Canada markiert einen Wendepunkt in der Rechtsprechung zur KI-Haftung. Ein Chatbot der Fluggesellschaft versprach einem Kunden fälschlicherweise einen Rabatt. Vor Gericht argumentierte das Unternehmen, der Chatbot sei eine "separate rechtliche Einheit" und man könne für dessen Fehler nicht verantwortlich gemacht werden.

Das Gericht wies dies entschieden zurück und urteilte, dass die Airline vollumfänglich für die vom Chatbot gemachten Versprechen haftet. KI-Verpflichtungen sind rechtlich bindend. Dieses Urteil unterstreicht die Notwendigkeit von "Human-in-the-Loop"-Systemen: Für kritische Kundeninteraktionen oder folgenschwere Entscheidungen muss zwingend eine menschliche Aufsicht implementiert werden, um sicherzustellen, dass die KI keine unbefugten rechtlichen Fakten schafft.


6. Fundamental Rights: Der FRIA als neuer Goldstandard

Ein Meilenstein für die ethische und rechtliche Absicherung ist das Fundamental Rights Impact Assessment (FRIA), wie es Artikel 27 des EU AI Act für Hochrisiko-Systeme fordert.

Im Gegensatz zu klassischen Datenschutz-Folgenabschätzungen (DPIA) geht der FRIA weit über den Datenschutz hinaus und prüft Auswirkungen auf Diskriminierungsschutz, Transparenz und die Menschenwürde. Er ist kein bloßes Dokumentationswerkzeug für die Schublade, sondern eine Ex-ante-Prüfung – ein Meilenstein, der bereits vor der Beschaffung oder Entwicklung (pre-procurement) erreicht sein muss. Ein FRIA sollte maßgeblich beeinflussen, ob ein System überhaupt eingesetzt wird, indem sowohl typische als auch Worst-Case-Szenarien systematisch analysiert werden.

7. Fazit: Ein lebendiges System statt starrer Regeln

KI-Risikomanagement im Jahr 2026 ist kein statisches Projekt, sondern ein kontinuierlicher Lebenszyklus. Das NIST AI Risk Management Framework definiert hierfür vier Kernfunktionen:

  • Map (Kartieren): Kontext verstehen und Risiken identifizieren.

  • Measure (Messen): Risiken quantitativ und qualitativ bewerten.

  • Manage (Managen): Priorisierte Maßnahmen zur Risikominderung ergreifen.

  • Govern (Steuern): Die zentrale, übergreifende Funktion, die alle anderen Bereiche durchdringt und eine Kultur der Verantwortlichkeit etabliert.

Echte KI-Governance ist nicht der Bremsklotz der Innovation, sondern deren notwendiges Fundament. Nur wer seine Systeme versteht, misst und steuert, kann das transformative Potenzial der Technologie verantwortungsvoll ausschöpfen.

Sind die Unternehmen bereit, die volle rechtliche Verantwortung für eine Entscheidung zu übernehmen, die Ihre KI heute ohne menschliche Aufsicht trifft?


Folgende Quellen wurden für die Erstellung dieses Text genutzt:


Redaktioneller Hinweis: Die Inhalte stellen meine persönlichen Meinungen dar und haben keinen direkten Bezug zur Auffassung des CANCOM Konzerns.

Dieser Text ist mit Hilfe von KI erstellt worden.

 
 
 

Kommentare

Verantwortlich für den Inhalt:

Oliver Lürssen

bottom of page