Pioniertat oder Scharlatanerie bei AWS?
Die wichtigste aktuelle Entwicklung in der IT-Welt ist zweifellos die KI! Und es gibt dazu in der EU die KI-Verordnung (KI-VO bzw. AI-Act) bzw. andere Regularien in den Ländern, die jeweils jede unterschiedlich scharf sind oder unterschiedliche Anforderungen stellen.
Worum geht es?
Wer heute Produkte mit künstliche intelligenz (KI) auf den Markt bringt und diese auch an Kunden verkauft, darf das in der EU nur unter den Regeln der KI-Verordnung tun. Die interne Nutzung oder Forschung ist erlaubt, diese sind zwar auch zu prüfen (Datenschutz, Informationssicherheit usw.), sind aber nicht Gegenstand der KI-VO. Es geht dort um die Frage, ob die Lösung unter die 4 Kategorien der KI-Anwendungen fällt und was dann jeweils erlaubt ist.
Lassen wir die Regulatorik außen von, so tut sich einiges. Um die KI einzusetzen, wird sich jedes Unternehmen, das sich Nutzen verspricht, etwas einfallen lassen, da dies ihre Effizienz, das Angebot oder auch die Zukunft sichern kann.
Gewaltige Investitionen werden getätigt, allein Microsoft will 80 Mrd. $ in den Erfinder von „ChatGPT“, die Firma OpenAI investieren.
Aber jede Organisation ist anders, der Einsatz kann auf unerschiedlichste Art und Weise erfolgen. Und genau darum geht es: Wie erfolgt der Einsatz, wie kann man den Nutzen ziehen, aber auch Regulatorik einhalten?
ISO 42001 ist für manche der Goldstandard
Aus der Welt der Normen kommen KI-Anforderungen, die zugleich aber auch Hilfen für den Einsatz sind. Die ISO/IEC 42001 ist Ende 2023 erschienen, als internationale Norm unterstützt sie die Organisationen dabei, die KI verantwortungsvoll und ethisch korrekt einzusetzen. Sie bietet eine strukturierte Herangehensweise, um KI-Systeme über ihren gesamten Lebenszyklus hinweg zu managen und deren Potenziale bestmöglich auszuschöpfen, deckt nicht die komplette KI-VO ab, ist jedoch hilfreich, sie zu erfüllen.
Weiter ist die ISO 42005 (ist noch im Draft) für die KI-Risikobewertung (AI-Impact Assessment) hilfreich. Und die ISO/IEC 42006, die sich derzeit in der Entwicklung befindet, wird die ISO/IEC 17021-1 ergänzen und damit zusätzliche Anforderungen festlegen, die es akkreditierten Zertifizierungsstellen ermöglichen, das KI-Managementsystem für Organisationen, die KI-Systeme nach ISO/IEC 42001 entwickeln und/oder einsetzen, zuverlässig zu auditieren und schliesslich dafür ein Zertifikat zu vergebem.
Man kann auf der 42006-Draft-Basis zwar jetzt ein Akkreditierungs-programm entwickeln, aber das wird sicher noch Änderungen unterworfen sein, was ggf. zu unnötigem Zusatzaufwand führt, den man vermeiden kann, wenn man noch etwas wartet.
Sobald die ISO 42006 vollständig veröffentlicht ist und Akkreditierungsstellen ihre Programme etabliert haben, werden Zertifizierungsstellen wie TÜV, Dekra etc. die Möglichkeit haben, sich für die Durchführung von ISO 42001-Audits akkreditieren zu lassen. Und auch das wird noch einige Zeit dauern, denn die Auditoren müssen einen Nachweis der Sachkunde erbringen.
Daher Fakt heute: Akkreditierte Zertifizierungen für ISO 42001 sind aktuell in Deutschland über von der DAkkS akkreditierte Stellen noch nicht verfügbar.
Internationale Entwicklungen
Allerdings gibt es international auch bereits Entwicklungen in Richtung akkreditierter Zertifizierungen:
UKAS, die britische Akkreditierungsstelle, hat ein Pilotprogramm für ISO 42001-Zertifizierungen gestartet und führt dieses aktuell mit 8 Prüforganisationen durch, die den Piloten unterstützen.
ANAB, ein amerikanische Akkreditierungsstelle, hat auf Basis des ISO 42006-Drafts bereits eine Akkreditierung der Zertifizierungsstelle „Schellman Compliance, LLC” zugelassen!
Und genau dieser Prüfer hat für Teile von AWS bereits 2024 eine Zertifizierung des KIMS nach ISO 42001 durchgeführt (siehe Link unten)!
Fazit
Mit dem Fortschritt der KI-Technologie wird die Gewährleistung ihrer sicheren und ethischen Anwendung ebenso wichtig wie ihre Entwicklung und sie verspricht tiefgreifende Auswirkungen auf die Gesellschaft und das tägliche Leben. Die KI-VO hat also einen realen Hintergrund!
Die Einführung eines KIMS, Akkreditierung von Prüfern und Organisationen und die Zertifizierung im Bereich ISO 42001 hilft auch weiter, sie dient als wirksamer Sicherungsmechanismus, der sicherstellt, dass KI-Systeme vor dem Einsatz rigoros getestet und validiert werden. Dieser Prozess erhöht nicht nur die Zuverlässigkeit und Sicherheit von KI-gesteuerten Lösungen, sondern kann auch das Vertrauen der Öffentlichkeit in ihre Nutzung stärken. Sie kann die KI-VO nicht ersetzen und umgekehrt gilt dies ebenso. Norm und Regulatorik haben unterschiedliche Ziele, helfen einander aber!
Kritik
So begrüßenswert diese Pioniertat bei AWS ist, so muss man auch kritisch anmerken, dass sie auf einem noch nicht freigegebenen „Entwurf“ der ISO 42006 beruht. Der Status wird dezent übergangen.
Sicher ist eine erste Zertifizierung ein wichtiger Schritt, die kommende finale veröffentlichte Version wird jetzt nicht mehr radikal anders sein und der Draft ist in der Endphase „50“, er wird wohl schon zu mehr als 90% der Endfassung entsprechen und sollte eine hohe Reife haben.
Ein ggf. später anberaumtes Überprüfungsaudit auf der finalen Version ist somit vermutlich nicht mehr in Gefahr. Und von einer Unschärfe von 5-10% geht jetzt auch die Welt der KI, der ISO 42001 und der KI-VO nicht unter.
Aber die Sachlage des "Draft" wird in der AWS-Seite nicht kommuniziert, mit diesen Feinheiten des „Draft“ setzt sich auch nicht jeder auseinander und recherchiert nach. Über die Sachlage des Zertifikats und dessen Belastbarkeit sollte man aber Bescheid wissen.
Ob das Scharlatenerie ist, sich mit dem "Draft" zu schmücken oder eine Pioniertat oder ob es einfach pingelig ist, das zu diskutieren, dazu muss sich jeder sein eigenes Urteil bilden.
Link zu AWS:
Comments