Warum KI-Sicherheit nicht warten kann

Von Morgan Badoud
Director Digital Assurance & Trust bei PwC Schweiz

Article overview

Künstliche Intelligenz (KI) ist zu einem Eckpfeiler des Geschäftsbetriebs geworden und in zahllose Tools und Systeme integriert, die täglich von Unternehmen, ihren Mitarbeitern und der Öffentlichkeit genutzt werden. Während Unternehmen und Mitarbeiter KI bewusst einsetzen, interagiert die Öffentlichkeit oft mit KI, ohne sich dessen bewusst zu sein - aber sowohl Unternehmen als auch die Öffentlichkeit sind potenziellen Risiken ausgesetzt, die sie möglicherweise nicht vollständig verstehen oder kontrollieren können. Unternehmen müssen für Transparenz sorgen, Vertrauen aufbauen und robuste Governance-Rahmenwerke einführen, um diese Risiken zu mindern. Dies unterstreicht die entscheidende Bedeutung der KI-Versicherung, die die notwendigen Strukturen und Rahmenbedingungen für den verantwortungsvollen und sicheren Einsatz von KI auf allen Interaktionsebenen schafft. 

Klare Vorschriften in der EU, uneinheitliche Anforderungen in der Schweiz 

Weltweit hat die KI-Regulierung Mühe, mit den technologischen Fortschritten Schritt zu halten. Die Europäische Union hat mit ihrem im Herbst 2024 in Kraft getretenen KI-Gesetz bemerkenswerte Fortschritte gemacht. Das Gesetz verwendet einen risikobasierten Rahmen, um KI-Systeme als inakzeptabel, hoch, begrenzt oder minimal/kein Risiko einzustufen. Das Gesetz verpflichtet Organisationen, ein Inventar ihrer KI-Systeme zu erstellen, Risiken zu bewerten und die Einhaltung der Vorschriften durch Maßnahmen wie Konformitätsbewertungen und eine solide Dokumentation für Systeme mit hohem Risiko sicherzustellen. Für Organisationen des öffentlichen Sektors gibt es zusätzliche Leitlinien für den verantwortungsvollen Einsatz von KI. 

In der Schweiz schafft das Fehlen einer KI-spezifischen Regulierung zusätzliche Komplexität für Unternehmen. Obwohl sie rechtlich nicht an das EU-KI-Gesetz gebunden sind, müssen Schweizer Unternehmen, die EU-Kunden bedienen, dessen Anforderungen einhalten, ähnlich wie bei der Allgemeinen Datenschutzverordnung (DSGVO), bei der EU-Standards zur De-facto-Norm für grenzüberschreitend tätige Schweizer Unternehmen wurden. Im Inland stützt sich die Schweiz auf die bestehenden Gesetze zum Datenschutz, zur Haftung und zu den Verbraucherrechten. Die von der FINMA im Dezember 2024 veröffentlichten Richtlinien für die KI-Governance im Bankensektor sind ein Schritt in Richtung einer gezielten Regulierung, doch es fehlen noch umfassendere Regulierungsmaßnahmen, so dass sich Unternehmen in einer fragmentierten Landschaft zurechtfinden müssen.

Aufbau von Governance-Rahmen und Datenmanagement 

Immer mehr Schweizer Unternehmen entwickeln proaktiv KI-Richtlinien und ernennen Funktionen wie einen Chief AI Officer, um die Governance zu verbessern. Die Implementierung von Kontrollrahmen ist jedoch besonders für kleinere Unternehmen eine Herausforderung, da diese oft nicht über die Ressourcen oder das Fachwissen verfügen, die für eine effektive KI-Governance erforderlich sind. Trotz der fehlenden Regulierung ist es wichtig, jetzt in KI-Kontrollen zu investieren, um Risiken zu managen und zukünftige Anforderungen zu antizipieren.  

Da KI zu einem integralen Bestandteil kritischer Prozesse wie Finanzberichterstattung und Rechnungsprüfung geworden ist, ist der Aufbau von Vertrauen in diese Systeme von entscheidender Bedeutung - und KI-Assurance hilft Organisationen bei der Definition von Kontrollrahmen und der Umsetzung verantwortungsvoller Praktiken. Internationale Rahmenwerke wie das NIST AI Risk Management Framework (AI RMF) und internationale Normen wie ISO/IEC 42001 bieten eine Anleitung zur Entwicklung robuster Governance-Strukturen, die sich auf Fairness, Rechenschaftspflicht, Transparenz und Datenschutz konzentrieren.  

Eine zentrale Herausforderung bei der KI-Sicherheit ist die Datenverwaltung. Hochwertige, gut verwaltete Daten sind die Grundlage für zuverlässige KI. Unternehmen müssen verstehen, woher ihre Daten kommen, wie sie verarbeitet werden und welche Risiken sie bergen. Dazu gehört auch der Schutz sensibler Daten, insbesondere bei der Verwendung von Drittanbieter-Tools oder Cloud-basierten Lösungen. Ohne diese Grundlage ist selbst das ausgefeilteste KI-System anfällig für verzerrte oder unzuverlässige Ergebnisse. 

Gemeinsam die Herausforderungen der KI meistern 

Für Unternehmen, die KI implementieren, gibt es zwei gängige Anwendungsfälle: die Entwicklung eigener KI-Lösungen oder die Integration von Tools Dritter. Beide Ansätze erfordern eine sorgfältige Überwachung. Bei der Drittanbieterprüfung werden beispielsweise Bewertungen externer KI-Anbieter durchgeführt, um deren Kontrollen und Systeme zu validieren, so dass Unternehmen Vertrauen in die von ihnen verwendeten Tools gewinnen. Bereitschaftsbewertungen, ein weiterer Eckpfeiler der KI-Assurance, helfen Unternehmen, Lücken in ihren aktuellen KI-Praktiken zu erkennen, Aktionspläne zu definieren und Prioritäten für die Weiterbildung und Schulung zu setzen, um internes Fachwissen aufzubauen. 

Aus meiner persönlichen Sicht sind Neugier und ständiges Lernen das A und O einer wirksamen KI-Sicherheit. Das Feld entwickelt sich so schnell weiter, dass es nicht mehr möglich ist, sich auf veraltete Ansätze zu verlassen. Unternehmen müssen KI-Ergebnisse ständig hinterfragen, ihre Genauigkeit überprüfen und sich ein professionelles Urteilsvermögen bewahren. Blindes Vertrauen in KI ist an sich schon ein Risiko; die menschliche Aufsicht ist nach wie vor unerlässlich, um eine ethische und korrekte Nutzung zu gewährleisten. Für Praktiker ist es entscheidend, die richtigen Fragen zu stellen und über die unmittelbaren Aufgaben hinauszuschauen, um sich in dieser dynamischen Landschaft zurechtzufinden. 

Intern sind wir uns bewusst, dass wir alle für dasselbe Unternehmen und an demselben Thema arbeiten. Das Teilen von Wissen, die Förderung des ständigen Austauschs und die Zusammenarbeit waren schon immer ein zentraler Bestandteil unseres Ansatzes. Angesichts des raschen Wandels und der zunehmenden Komplexität in der KI-Landschaft ist diese kollaborative Denkweise wichtiger denn je. 

Dringlichkeit aufgreifen und Vertrauen aufbauen

Nach außen hin ist die Dringlichkeit zu handeln eine große Herausforderung. Viele Kunden sind sich noch nicht über die Bedeutung der Einführung von Kontrollrahmen im Klaren und stellen deren Notwendigkeit in Ermangelung von Vorschriften oft in Frage. Es ist jedoch von entscheidender Bedeutung, die Kunden für die Risiken und die Notwendigkeit solider Rahmenwerke zu sensibilisieren. Als vertrauenswürdige Berater begleiten wir sie bei der Bewältigung dieser Herausforderungen und stellen sicher, dass sie auf künftige regulatorische und operative Anforderungen vorbereitet sind.  

KI hat ein enormes Potenzial, Prozesse zu rationalisieren und Innovationen freizusetzen, birgt aber auch Risiken, die nicht ignoriert werden dürfen. Der verantwortungsvolle Einsatz von KI erfordert ein Gleichgewicht zwischen der Nutzung ihrer Fähigkeiten und der Aufrechterhaltung robuster Kontrollen. Obwohl es in der Schweiz noch keine spezifischen Vorschriften gibt, dürften sie bald Gestalt annehmen. Unternehmen, die jetzt handeln, um KI-Sicherheitsrahmen einzurichten, werden besser positioniert sein, um zukünftige Herausforderungen zu meistern. Letztlich geht es bei KI nicht nur um Automatisierung, sondern auch darum, Vertrauen zu schaffen, Rechenschaftspflicht zu gewährleisten und eine Zukunft zu ermöglichen, in der Innovation, Rechenschaftspflicht und Verantwortung Hand in Hand gehen.