Die Integration von Künstlicher Intelligenz (KI) in verschiedene Bereiche der IT-Sicherheit ist eine stetig wachsende Herausforderung. Doch obwohl bisherige Standards für die allgemeine IT-Sicherheit existieren, können diese nicht ohne Weiteres auf KI-Systeme angewandt werden. Die Normungsroadmap Künstliche Intelligenz (NRM KI) zeigt bereits deutlich, dass die rasante Entwicklung von KI-Technologien neue und spezifische Standards notwendig macht, um angemessenen Schutz von KI-Systemen zu gewährleisten.

Kein „One-size-fits-all“ – Der Ansatz lautet: „Individuelle Standards für KI-Systeme“

Aufbauend auf den Ergebnissen der NRM KI fanden im Workshop „KI – bestens geschützt mit Normen und Standards“ am 7. Juli 2023 spannende Diskussion mit den weit über 70 Teilnehmerinnen und Teilnehmern statt. Schnell bestand Einigkeit darin, dass aktuelle Standards in der IT-Sicherheit nicht für den Einsatz bei KI-Systemen geeignet sind. KI-Systeme bringen einzigartige Herausforderungen mit sich, die eine individuelle Herangehensweise erfordern. Daher müssen neue horizontale Standards entwickelt werden, die speziell auf KI-Anwendungen zugeschnitten sind. Dies ist unerlässlich, um das notwendige Sicherheitsniveau zu erreichen und potenzielle Angriffsstellen zu minimieren.

In der NRM KI werden hierzu fünf Normungsbedarfe beschrieben. Unter anderem zu „Schnittstellen und Metriken“ – Ein Bedarf, der während des Workshops hervorgehoben wurde und eine Schlüsselrolle in der funktionalen Sicherheit darstellt. Das Europäisches Komitee für elektrotechnische Normung (CEN/CENELC) befasst sich bereits mit der Erarbeitung von Metriken, die für diese Anforderung relevant erscheinen. Hieran soll nun angeknüpft werden, um ein umfassendes Verständnis der Sicherheitsaspekte von KI-Systemen zu erlangen und geeignete Richtlinien zu entwickeln.

Ein weiterer wichtiger Bedarf betrifft Zertifizierungen von KI-Systemen. Auch hierzu existieren bisher keine Standards. Es wurde festgestellt, dass bestehende Zertifizierungsansätze im Information Security Management System (ISMS) eine Basis liefern können. Mit der Ausrichtung auf KI und den entsprechenden Anpassungen erscheint es realistisch, Zertifizierungen auch für KI-Anwendungen zu ermöglichen. Die Betrachtung des gesamten KI-Life-Cycle und gezieltes KI-Engineering, wie es im Cyber Resilience Act beschreiben wird, kann hierbei eine Schlüsselrolle spielen.

Die NRM KI zeigt einen starken Bedarf für die Standardisierung der Robustheit von KI-Systemen. Da es u. a. an Normen fehlt, die berücksichtigen, welche Aspekte für die Gewährleistung der Robustheit relevant sind, verwundert es nicht, dass die Bedeutung von Metriken sowie die eindringliche Betrachtung funktionaler Sicherheit besonders relevant sind, um Verfahren und Richtlinien zu etablieren, die als Basis für die Robustheit von KI-Systemen herhalten. Aber nicht nur die Themen Robustheit und Metriken sorgten für Diskussion. Auch die Herausforderungen in Bezug auf Trainingsdaten, insbesondere auf die Sicherheit von Trainingsdaten erhielten große Aufmerksamkeit. KI-Systeme können durch unzureichende oder fehlerhafte Datenquellen verwundbar werden, was Datenschutzprobleme zur Folge haben kann. Es ist daher notwendig, Schnittmengen zwischen Anforderungen und Prüfverfahren zur Überprüfung der Cybersecurity und funktionalen Sicherheit zu identifizieren und regulatorische Lösungen zu etablieren.

Gründung eines neuen Arbeitskreises für IT-Sicherheit bei KI

Die Diskussionen im Workshop haben verdeutlicht, dass bestehende Standards für die allgemeine IT-Sicherheit nicht ausreichen, um den spezifischen Anforderungen von KI-Systemen gerecht zu werden. Um diese Lücken zu schließen, beabsichtigt DIN im Oktober im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA) einen neuen Arbeitskreis gründen, der sich explizit mit der Umsetzung der zuvor beschriebenen Bedarfe befasst. Die Zusammenarbeit zwischen verschiedenen Expertengruppen, die Erforschung von Metriken und die Einbeziehung bewährter Verfahren sind unerlässlich und ebnen den Weg für einen angemessenen Schutz von KI-Systemen. So können wir die Potenziale von KI voll ausschöpfen und gleichzeitig mögliche Risiken minimieren, um die Herausforderungen der IT-Sicherheit im Zeitalter der Künstlichen Intelligenz zu bewältigen.

Alle Fachleute, die sich bei der Erarbeitung von Normen und Standards einbringen und in den entsprechenden Ausschüssen mitwirken möchten, sind aufgerufen sich bei uns zu melden. Nähere Informationen und Termine werden zeitnah bekannt gegeben. Wir freuen uns über Ihre Mitarbeit.