Wiz
Alle Artikel

The EU AI Act

Wiz Expertenteam
9 Minuten Lesezeit
AI Security – BeispielbewertungTesten Sie Wiz AI-SPM

Der EU-Rechtsakt über künstliche Intelligenz (KI) legt Regeln für die Entwicklung, Vermarktung und Nutzung von KI-Systemen innerhalb der Europäischen Union fest, um eine verantwortungsvolle, auf den Menschen ausgerichtete KI zu fördern. Es ist die weltweit erste Verordnung dieser Art, die der EU eine Vorreiterrolle bei der Schaffung globaler Standards für KI-Governance sichert. Er konzentriert sich auf die breiteren Auswirkungen von KI auf die Gesellschaft und die Rechte des Einzelnen.

In diesem Beitrag bringen wir Sie auf den neuesten Stand, warum die EU dieses Gesetz erlassen hat, was es beinhaltet und was Sie als KI-Entwickler oder -Anbieter wissen müssen, einschließlich Best Practices zur Vereinfachung der Compliance. Wir werden auch darauf eingehen, was die Zukunft für die KI-Regulierung bereithält, und – Spoiler-Alarm, es könnte bald viele ähnliche Gesetze geben. 

Warum hat die EU den KI-Rechtsakt eingeführt?

Wahrscheinlich haben Sie schon Science-Fiction-Filme über außer Kontrolle geratene Technologie gesehen. Die Technologie übernimmt die Kontrolle und läuft Amok, was alle Arten von Verwüstung anrichtet.

KI kann das nicht – zumindest noch nicht. Aber es tut haben bereits das Potenzial, viel Schaden anzurichten. 

Damit KI richtig funktioniert, hängt sie von zwei entscheidenden Dingen ab: Modelle werden von Entwicklern entwickelt, um die Ergebnisse zu liefern, die Sie erzielen möchten. Anschließend trainieren die Entwickler die Modelle mit Daten Das ist so nah wie möglich an den Daten, die das Modell in der realen Welt verwenden wird. 

Aber wenn das Modell oder die Daten nicht zuverlässig sind oder wenn jemand sie manipuliert, funktioniert Ihre KI nicht richtig. Daten und Modelle, die nicht der CIA-Triade – Vertraulichkeit, Verfügbarkeit und Integrität – entsprechen, könnten zu katastrophalen Folgen in der realen Welt führen:

  • Stellen Sie sich ein selbstfahrendes Auto vor, das von einem KI-Modell angetrieben wird, das auf unzureichenden oder verzerrten Daten trainiert wurde. Das Auto könnte eine Verkehrssituation falsch interpretieren, was zu einem schweren Unfall mit Verletzungen oder Todesfällen führen kann.

  • Oder vielleicht diagnostiziert ein KI-System Krankheiten auf der Grundlage medizinischer Bilder. Wenn dieses Modell mit verzerrten oder unvollständigen Daten trainiert wird oder wenn jemand das Modell manipuliert, kann dies zu Fehldiagnosen, verzögerter Behandlung oder sogar Todesfällen führen.

Natürlich ist ein weniger katastrophales Szenario wahrscheinlicher. Stellen Sie sich vor, Ihr Vertriebs-Chatbot fängt an, die Besucher der Website zu belügen. Das könnte dem Umsatz, dem Betrieb oder sogar Ihrem Ruf schaden. (Zum Beispiel, wenn es anfängt, das Produkt eines Mitbewerbers zu empfehlen!)

KI-Risiko wirkt sich auch stark auf den ROI für KI aus, indem es die Kosten in die Höhe treibt und den Umsatz senkt.

Es ist längst bekannt, dass wir Sicherheitsstandards für KI brauchen. Nun hat die EU beschlossen, Maßnahmen zu ergreifen.

GenAI Security Best Practices [Cheat Sheet]

Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.

Download Cheat Sheet

Was waren die Gründe für den EU-KI-Act?

Der EU-KI-Rechtsakt zielt darauf ab, Menschen, die KI-Anwendungen erstellen, dabei zu helfen, die Technologie ethisch zu nutzen. Sie schützt Menschen und Unternehmen vor unbefugter Datenerfassung, -überwachung und -manipulation, verhindert Diskriminierung und stellt sicher, dass KI transparent eingesetzt wird. Es zielt auch darauf ab, das "systemische Risiko" zu minimieren, d. h. das Potenzial für weitreichende und schwerwiegende Auswirkungen auf die Gesellschaft, wenn mit einem KI-Modell etwas schief geht. Gütiger, Diese Schritte werden auch das Vertrauen in KI stärken, was für Entwickler und KI-Anbieter eine sehr gute Sache sein könnte.

Das Gesetz verhindert den Einsatz von KI für böswillige Zwecke, wie z. B. Deepfakes und andere KI-generierte Fehlinformationen. Dies geschieht durch die obligatorische Offenlegung von KI-Quellen. Wenn Sie die Benutzer nicht benachrichtigen, können Sie mit einer Geldstrafe belegt werden oder andere negative Konsequenzen erleiden. Außerdem muss jeder Mitgliedstaat eine nationale zuständige Behörde einrichten, die die lokale Einführung des EU-KI-Gesetzes überwacht.

Am wichtigsten ist, dass der EU-KI-Rechtsakt den Einsatz von KI in vier Risikostufen einteilt (auf die wir später noch eingehen werden) und alle Verwendungen mit einem "inakzeptablen Risiko" verbietet. 

Was war der Hintergrund des EU-KI-Gesetzes?

Das folgende Diagramm veranschaulicht den Zeitplan bis zur Verabschiedung des EU-KI-Gesetzes. Wie Sie sehen können, trat das Gesetz in einer relativ kurzen Zeitspanne in Kraft. 

Figure 1: Legislative timeline of the EU AI Act, from proposal to final law

Zeitplan für die Umsetzung

Während der EU-KI-Rechtsakt ist bereits in Kraft getretenhaben Unternehmen eine dreijährige Schonfrist, die im August 2024 beginnt, um die vollständige Einhaltung der Vorschriften zu gewährleisten.

Hier ist ein voraussichtlicher Zeitplan:

Was das für Sie bedeutet, ist eigentlich ziemlich einfach. Auch wenn Sie der Meinung sind, dass der EU-KI-Act nicht auf Sie anwendbar ist, müssen Sie sicherstellen, dass… Und die Zeit wird knapp.

Figure 2: Phased implementation stages of the EU AI Act

Was das für Sie bedeutet, ist eigentlich ziemlich einfach. Auch wenn Sie der Meinung sind, dass der EU-KI-Act nicht auf Sie anwendbar ist, müssen Sie sicherstellen, dass… Und die Zeit wird knapp.

Was beinhaltet der EU-KI-Akt?

Das erste und wichtigste, was man über den EU-KI-Rechtsakt wissen sollte, ist, dass er eine extraterritoriale Reichweite hat. 

Das bedeutet, dass jeder, der KI-Systeme bereitstellt, die in der EU eingesetzt werden oder sich auf Verbraucher oder Unternehmen auswirken, wahrscheinlich auch daran halten muss.

Der EU-KI-Rechtsakt definiert eine Reihe verschiedener Arten von KI-Systemen, darunter:

  • Allzweck-KI-Modelle (GPAI): Große Sprachmodelle und Bild- und Videogeneratoren

  • Spezifische KI-Modelle: KI, die für spezifische Aufgaben wie medizinische Diagnose, autonome Fahrzeuge oder finanzielle Risikobewertung entwickelt wurde

  • Eingebettete KI-Systeme: KI-gestützte Geräte wie Smart-Home-Geräte oder Industrieroboter

Die vier Risikostufen des EU-KI-Gesetzes für KI

Das EU-KI-Gesetz regelt keine "inakzeptablen Risiken" für Anwendungen von KI, und das liegt daran, dass diese in Europa jetzt verboten sind. Dazu gehören die Echtzeit-Gesichtserkennung im öffentlichen Raum oder das "Social Scoring", bei dem Einzelpersonen oder Gruppen als Ungleichbehandlung eingestuft werden, und die biometrische Echtzeit-Identifizierung zu Strafverfolgungszwecken (manchmal auch als Predictive Policing bezeichnet).

  • Inakzeptables Risiko: Aktivitäten, die eine zu große Bedrohung darstellen und gänzlich verboten sind

  • Hohes Risiko: Tätigkeiten, die sich negativ auf die Sicherheit oder die Grundrechte auswirken könnten

  • Begrenztes Risiko: Aktivitäten, die nicht übermäßig riskant sind, aber dennoch Transparenzanforderungen erfüllen (d. h. die Benutzer müssen darüber informiert werden, dass sie mit einer KI interagieren)

  • Minimales Risiko: Im Allgemeinen harmlose Aktivitäten, die nicht reguliert werden müssen

Das EU-KI-Gesetz regelt keine "inakzeptablen Risiken" für Anwendungen von KI, und das liegt daran, dass diese in Europa jetzt verboten sind. Dazu gehören die Echtzeit-Gesichtserkennung im öffentlichen Raum oder das "Social Scoring", bei dem Einzelpersonen oder Gruppen als Ungleichbehandlung eingestuft werden, und die biometrische Echtzeit-Identifizierung zu Strafverfolgungszwecken (manchmal auch als Predictive Policing bezeichnet). 

Es reguliert auch keine Aktivitäten mit "minimalem Risiko" wie Spam-Filter oder KI-fähige Videospiele. Dazu gehört derzeit ein Großteil der KI-Anwendungen, die derzeit auf dem EU-Markt erhältlich sind. 

Ein kleiner Teil des EU-KI-Rechtsakts befasst sich mit Systemen mit "begrenztem Risiko". Entwickler und Betreiber solcher Systeme müssen Transparenzpflichten erfüllen. Das bedeutet in der Regel nur, die Endnutzer darüber zu informieren, dass sie mit KI interagieren (z. B. Chatbots und Deepfakes).

Die überwältigende Mehrheit des EU-KI-Gesetzes befasst sich mit "Hochrisiko"-KI-Systemen und den Organisationen und Einzelpersonen, die sie bereitstellen. Zu den Anwendungen mit hohem Risiko gehören…

  • Bewertung der Kreditwürdigkeit

  • Bewertung von Anträgen auf Kranken- oder Lebensversicherung oder öffentliche Leistungen

  • Analyse von Bewerbungen (ATS) oder Bewertung von Kandidaten

Eine weitere wichtige Kategorie von Hochrisiko-KI-Systemen sind "Produktsicherheitskomponenten". Dies bezieht sich auf KI-Systeme, die in Produkte eingebettet sind und für die Sicherheit dieser Produkte von entscheidender Bedeutung sind. Zum Beispiel KI-Systeme, die in autonome Fahrzeuge oder industrielle oder medizinische Geräte eingebettet sind.

State of AI in the Cloud 2024

Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.

Get PDF

Die acht wesentlichen Regeln des EU-KI-Gesetzes

Entwickler und Anbieter von KI-Anwendungen werden im Sinne des EU-KI-Gesetzes als "Anbieter" bezeichnet. Als "Nutzer" oder "Deployer" gelten alle juristischen oder natürlichen Personen, die KI professionell einsetzen.

Der EU-KI-Rechtsakt enthält Acht Kernanforderungen für Hochrisikosysteme:

  • Risikomanagement während des gesamten Lebenszyklus des Hochrisiko-KI-Systems

  • Datenverwaltung So überprüfen Sie alle Trainings-, Validierungs- und Testdatensätze

  • Technische Unterlagen um die Einhaltung nachzuweisen und zu bewerten

  • Führung von Aufzeichnungen zur Bestimmung des Risikos und zur Aktualisierung des Risikoniveaus während des gesamten Lebenszyklus

  • Gebrauchsanweisung So können nachgelagerte Anwender die vollständige Einhaltung der Vorschriften in der gesamten Lieferkette sicherstellen

  • KI-Systeme müssen es ermöglichen, Menschliche Aufsicht von Benutzern (Deployern)

  • KI-Systeme müssen so konzipiert sein, dass sie Genauigkeit, Robustheit und Cybersicherheit 

  • Qualitätsmanagement um die Einhaltung der Vorschriften sicherzustellen und darüber zu berichten

Die Nichteinhaltung dieser Anforderungen kann zum Ausschluss vom europäischen Markt sowie zu hohen Geldstrafen führen. Die Bußgelder dürften je nach Unternehmensgröße zwischen 7,5 Millionen Euro oder 1,5 % des Jahresumsatzes und 35 Millionen Euro oder 7 % des Jahresumsatzes variieren.

Trotz des zusätzlichen Arbeitsaufwands, den der EU-KI-Act mit sich bringt, bringt er auch Vorteile mit sich. Zum Beispiel ist es sieht die Schaffung von Reallaboren vor, die Ihnen hilft, Anwendungen außerhalb des regulatorischen Rahmens zu testen. 

Und um auf die ersten Prinzipien zurückzukommen: Der EU-KI-Rechtsakt zielt darauf ab, die KI weniger verwundbar zu machen und Ihr Unternehmen, Ihre Kunden und die Öffentlichkeit zu schützen. Dies geschieht durch die Vorgabe einer sicheren KI-Entwicklungspraktiken, regelmäßige Sicherheitsbewertungen sowie Transparenz und Rechenschaftspflicht in KI-Systemen. Aber bei der Komplexität der heutigen Multi-Cloud-Umgebungen ist das leichter gesagt als getan.

Was sind einige Best Practices für die Einhaltung des EU-KI-Gesetzes?

Hier erfahren Sie, was Sie tun müssen, um sicherzustellen, dass Sie die Anforderungen des EU-KI-Gesetzes erfüllen:

  • Führen Sie gründliche Risikobewertungen durch, einschließlich der Kartierung Ihrer gesamten Umgebung, um Schattendaten zu kennzeichnen und insbesondere Schatten-KI.

  • Einführung solider Datenschutzmaßnahmen wie z. B. eine DSPM-Lösung (Data Security Posture Management) um alle Daten zu schützen, die von der KI verwendet werden.

  • Überprüfen Sie die Transparenz und Erklärbarkeit, d.h. es sollte möglich sein, die Ergebnisse von KI-Systemen zu interpretieren und zu verstehen.

  • Aktualisierung und Pflege der technischen Dokumentation als Teil der Verpflichtung zur Transparenz.

  • Richten Sie eine effektive Governance und Aufsicht ein, einschließlich automatisierter Compliance-Checker, die potenzielle Probleme schnell erkennen.

Laut einem KPMG-Bericht, ist eine der besten Möglichkeiten, den Arbeitsaufwand für Tests und Dokumentation drastisch zu reduzieren, die "Nutzung automatisierter Lösungen zur Erkennung, Analyse und Aufklärung von Bedrohungen". Sie empfehlen eine automatisierte Lösung, um "Compliance-Mapping, Nachverfolgung von Verpflichtungen und Workflow-Management" zu handhaben.

Diese Art von Tools und mehr finden Sie im Rahmen eines Cloud-native Application Protection Platform (CNAPP). Das macht die Suche nach einer CNAPP, die für Ihr Unternehmen geeignet ist, zu einer der besten Entscheidungen, die Sie treffen können, wenn es darum geht, die EU-KI-Compliance zu vereinfachen.

Die Zukunft der KI-Regulierung

Andere Gerichtsbarkeiten außerhalb der EU werden wahrscheinlich ähnliche Gesetze einführen. In den USA beispielsweise prüfen Bundesstaaten und Bundesbehörden die Regulierung von KI, insbesondere in Bezug auf autonome Fahrzeuge und das Gesundheitswesen. China, Kanada, Japan, Großbritannien und andere erwägen ebenfalls regulatorische Maßnahmen. Die gute Nachricht ist jedoch, dass es wahrscheinlich einfacher sein wird, andere Standards zu erfüllen, sobald Sie den EU-KI-Act einhalten.

Wenn Sie bereits KI-Lösungen einsetzen oder sich in diese Richtung bewegen, liegt die Verantwortung für einen ethischen, verantwortungsvollen Einsatz von KI auf Ihren Schultern. Sie müssen potenzielle Schäden für Endbenutzer, Ihre eigene Organisation und Dritte minimieren. 

In einer Zeit, in der die meisten Tools darum kämpfen, mit der Spitze der KI Schritt zu halten, gibt es eine Plattform, die Ihnen bereits den Rücken freihält: Wiz. Die Wiz-Plattform bietet eine KI-SPM-Lösung , das einen einheitlichen Ansatz für KI-Sicherheitsrisiken und Compliance unter einem einzigen, einfach zu verwaltenden Dach bietet. 

Wiz findet und überwacht schnell die Sicherheit und Compliance all Ihrer KI-Services und -Technologien, wie Amazon SageMaker, OpenAI, TensorFlow Hub und mehr.

  • Full-Stack-Transparenz in KI-Pipelines

  • Schnelle Erkennung von KI-Fehlkonfigurationen

  • Schutz für sensible KI-Trainingsdaten

Der EU-KI-Rechtsakt soll sicherstellen, dass das Albtraumszenario – Amok laufende Technologie wie in diesen Science-Fiction-Filmen – nie wahr wird. Und Wiz schützt Ihr Unternehmen vor den größten Risiken von heute mit umfassender Transparenz, Risikobewertung und Sicherheitsmaßnahmen – alles hinter einer einzigen Oberfläche.

Figure 3: The Wiz AI Security Dashboard prioritizes risks so you can focus on the most critical ones

Wiz hört nicht bei der Einhaltung von Vorschriften auf. Mit dem umfassenden Kontext einer Reihe von Sicherheitstools erhalten Sie einen vollständigen Einblick in Schwachstellen, Identitäten, Netzwerkrisiken, Malware, Daten und offengelegte Geheimnisse – und Automatisierung, um jeden Sicherheitsvorfall zu entschärfen, bevor er zu einem Problem wird.

Figure 4: Wiz helps you proactively remove AI attack paths before they become threats

Der EU-KI-Rechtsakt soll sicherstellen, dass das Albtraumszenario – Amok laufende Technologie wie in diesen Science-Fiction-Filmen – nie wahr wird. Und Wiz schützt Ihr Unternehmen vor den größten Risiken von heute mit umfassender Transparenz, Risikobewertung und Sicherheitsmaßnahmen – alles hinter einer einzigen Oberfläche.

Lassen Sie sich nicht von Risiken oder Vorschriften davon abhalten, alle Vorteile zu nutzen, die KI Ihrem Unternehmen bietet. Holen Sie sich eine Demo von Wiz um zu sehen, wie einfach es ist, KI in Ihrem gesamten SDLC zu sichern.

Accelerate AI Innovation, Securely

Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.

Demo anfordern