Risiken bei der Nutzung von Drittsystemen für KI-Governance
Erfahren Sie, welche kritischen Datenschutz- und Sicherheitsrisiken entstehen, wenn Sie eine Drittanbieter-SaaS für die Compliance mit der EU-KI-Verordnung nutzen. Schützen Sie Ihr geistiges Eigentum und Ihre Geschäftsgeheimnisse.
Die EU-KI-Verordnung legt Anbietern von Hochrisiko-KI eine lange Liste von Dokumentationspflichten auf. Sobald Sie diese Dokumente in einer Drittanbieter-SaaS ablegen, kommen damit ein paar Datenschutz- und Sicherheitsprobleme einher.
Als Team hinter der Governance-Plattform VerifyWise mit einsehbarem Quellcode und aus unserer Arbeit mit On-Premises-Plattformen in Unternehmen kennen wir diese Risiken aus nächster Nähe.
So kann das Übergeben dieser Informationen an ein Drittsystem sensibles geistiges Eigentum und Geschäftsgeheimnisse offenlegen.
Offenlegung sensibler technischer Dokumentation
Die EU-KI-Verordnung verlangt von Anbietern von Hochrisiko-KI, eine detaillierte technische Dokumentation zu erstellen und zu pflegen. Dazu gehören:
- Systemarchitektur und Design-Spezifikationen
- Datenanforderungen und Governance-Verfahren
- Entwicklungsmethoden und -techniken
- Leistungskennzahlen und Testergebnisse
Die meisten Hochrisiko-KI-Unternehmen mit strengen Datenschutzanforderungen legen solche Informationen nicht öffentlich offen. Finanzinstitute, Versicherungen, Gesundheitsdienstleister und Telekommunikationsunternehmen nutzen in der Regel selbst gehostete On-Premises-Plattformen, um die betreffenden Daten zu speichern.
Offenlegung des Risikoregisters
Anbieter müssen außerdem ein Risikomanagementsystem betreiben und Folgendes dokumentieren:
- Risikoidentifikation und -analyse
- Risikoschätzung und -bewertung
- Risikokontrollmaßnahmen
Diese Dokumentation kann auch sensible Informationen über Systemschwachstellen des Unternehmens und dessen Minderungsstrategien enthalten.
Dokumentation über Trainingsdaten
Die Verordnung verlangt zudem detaillierte Aufzeichnungen zu Ihren Trainings-, Validierungs- und Testdatensätzen, darunter:
- Datenquellen und -merkmale
- Vorverarbeitungstechniken
- Kennzeichnungsverfahren
Dokumente mit diesen Informationen hochzuladen, kann das Risiko bergen, proprietäre Datensätze oder Methoden der Datenverarbeitung gegenüber Drittanbieter-SaaS-Plattformen offenzulegen.
Protokollierungsfähigkeiten
Hochrisiko-KI-Systeme müssen über Protokollierungsfähigkeiten verfügen, um Ereignisse und Entscheidungen aufzuzeichnen. Die Dokumentation dieser Fähigkeiten kann umfassen:
- Arten der protokollierten Daten
- Richtlinien zur Speicherung und Aufbewahrung
- Zugriffskontrollmaßnahmen
Diese Informationen könnten den Betrieb des Systems und die Praktiken der Datenverarbeitung offenlegen, was Risiken birgt, sobald Dokumente mit einem Drittanbieter für KI-Governance geteilt werden. Das Risiko verschärft sich, wenn Mitarbeitende KI-Tools ohne IT-Freigabe einführen, ein Problem, das die Erkennung von Schatten-KI adressieren soll, indem sie unautorisierte Nutzung aus Ihren vorhandenen Netzwerkprotokollen sichtbar macht.
Über alle vier Bereiche hinweg kann das Hochladen dieser Dokumentation in eine Drittanbieter-Governance-SaaS sensible Betriebsdetails offenlegen, und das kann die Wettbewerbsposition eines KI-Anbieters untergraben.
Es gibt noch eine schärfere Kante. Geraten die Informationen in die falschen Hände, lassen sie sich nutzen, um Schwachstellen im KI-System oder in der Art und Weise anzugreifen, wie die Organisation auf Vorfälle reagiert.
Damit das nicht passiert, sollten Anbieter von Hochrisiko-KI die Sicherheit des SaaS-Anbieters genau prüfen, strenge Zugriffskontrollen festlegen und die sensibelsten Teile der Dokumentation verschlüsseln. Es lohnt sich auch, einen hybriden Aufbau zu erwägen: das kritische Material vor Ort zu behalten und die SaaS-Plattform nur für die weniger sensiblen Teile zu nutzen.
Wie VerifyWise das angeht
VerifyWise hat einsehbaren Quellcode und lässt sich vor Ort installieren, was Anbietern von Hochrisiko-KI ein paar echte Vorteile bei Datenschutz und Sicherheit verschafft:
-
Datenkontrolle: Sie haben das volle Eigentum und die volle Kontrolle über sensible Dokumentation und Daten. Es ist nicht nötig, kritische Informationen in Drittsysteme hochzuladen, was das Risiko von unbefugtem Zugriff oder Datenschutzverletzungen senkt.
-
Anpassung und Integration: Da Ihnen der vollständige Quellcode vorliegt, können Sie die Plattform an spezifische organisatorische Bedürfnisse und Sicherheitsanforderungen anpassen und sie in Ihre bestehende On-Premises-Sicherheitsinfrastruktur einbinden.
-
Weniger Preisgabe von Geschäftsgeheimnissen: Ihre sensiblen Details zu KI-Systemen und Ihre Algorithmen bleiben innerhalb der Organisation, was das Risiko verringert, dass geistiges Eigentum abfließt.
Governance vor Ort zu betreiben, mit Code, den Sie einsehen können, adressiert die meisten Datenschutz- und Sicherheitsbedenken, die mit einer Drittanbieter-SaaS einhergehen. Sie behalten die engere Kontrolle über Ihre Daten und Infrastruktur und bekommen dennoch einen strukturierten Weg, Ihre KI zu steuern.
Möchten Sie sehen, wie das in der Praxis funktioniert? Buchen Sie eine Demo, und wir führen Sie hindurch.
Über das VerifyWise-Team
VerifyWise entwickelt quelloffen verfügbare Software für KI-Governance (Source-available), mit der Organisationen Risiken, Compliance und Aufsicht über ihre KI-Portfolios verwalten. Unser Redaktionsteam stützt sich auf praktische Erfahrung bei der Implementierung von Governance-Workflows für regulierte Branchen und schnell wachsende KI-Teams.
Mehr über VerifyWise erfahren →Bereit, Ihre KI verantwortungsvoll zu steuern?
Starten Sie noch heute Ihre KI-Governance-Reise mit VerifyWise.