NIST AI Risk Management Framework (RMF)

Das NIST AI Risk Management Framework, veröffentlicht im Januar 2023, ist ein flexibles, ergebnisbasiertes Framework, das die Entwicklung, Bereitstellung und Nutzung vertrauenswürdiger KI unterstützt. Es hilft Organisationen dabei, die einzigartigen Risiken von KI-Systemen zu identifizieren und zu verwalten—nicht nur technische Probleme wie Modell-Bias oder Daten-Drift, sondern breitere Risiken für Bürgerrechte, Sicherheit, Transparenz und Rechenschaftspflicht.

Im Gegensatz zu Frameworks, die ausschließlich für Compliance entwickelt wurden, ist das AI RMF strukturiert, um die Zusammenarbeit zwischen mehreren Rollen zu fördern—Ingenieure, Rechtsteams, Führungskräfte, Politiker—und ihnen zu helfen, eine gemeinsame Sprache bei der Bewertung der Risiken und Vorteile von KI zu sprechen.

Sie können auf das offizielle NIST AI RMF v1.0 hier zugreifen: https://www.nist.gov/itl/ai-risk-management-framework

Die Struktur des Frameworks

Das AI RMF ist in zwei Hauptteile unterteilt:

• Kern: Dies ist das operative Herz des Frameworks. Es ist um vier Schlüsselfunktionen organisiert:

• Map – Verstehen Sie den Kontext, die Ziele, Stakeholder und beabsichtigten Verwendungen des KI-Systems

• Measure – Analysieren Sie die Fähigkeiten, Einschränkungen und Risikofaktoren des Systems

• Manage – Ergreifen Sie konkrete Maßnahmen, um Risiken anzugehen, zu mindern oder zu überwachen

• Govern – Überwachen und leiten Sie KI-Risikomanagement-Praktiken und organisatorische Rechenschaftspflicht

Diese Funktionen sind nicht linear—sie können parallel auftreten und sollten regelmäßig über den KI-System-Lebenszyklus hinweg wieder aufgegriffen werden.

• Profile: Profile beschreiben, wie eine Organisation die Kern-Funktionen implementiert, um spezifische Risikotoleranz-Level oder Geschäftsbedürfnisse zu erfüllen. Sie ermöglichen es Teams, das Framework an ihre einzigartigen Anwendungsfälle, Sektoren und Reifegrade anzupassen.

Warum es wichtig ist

KI führt Risiken ein, die grundlegend anders sind als traditionelle Software. KI-Systeme können sich unvorhersagbar verhalten, sich über die Zeit entwickeln und Einzelpersonen oder Gemeinschaften auf schwer vorhersehbare Weise beeinflussen. Sie können Diskriminierung verstärken, Ungleichheit verstärken oder Vertrauen untergraben, besonders wenn sie ohne Schutzmaßnahmen bereitgestellt werden.

Das NIST AI RMF bietet einen strukturierten Weg zu:

• Wechsel von ad hoc KI-Entscheidungen zu dokumentierten, rechenschaftspflichtigen Prozessen

• Risikomanagement in den vollständigen KI-Lebenszyklus einbetten

• Ausrichtung mit aufkommenden globalen Prinzipien wie den OECD AI-Prinzipien, dem EU AI Act und dem G7 Hiroshima-Prozess demonstrieren

• Vertrauen bei Kunden, Regulierungsbehörden und internen Stakeholdern durch Transparenz und proaktives Risikomanagement aufbauen

Adoptions-Momentum

Während das AI RMF freiwillig ist, erweitert sich sein Einfluss schnell. Große Branchenakteure, Bundesbehörden und KI-Sicherungs-Anbieter richten ihre internen Praktiken daran aus. Es ist bereits zu einem Referenzpunkt in Politikdiskussionen sowohl in den USA als auch international geworden.

Das AI RMF ist auch mit dem NIST Privacy Framework und dem Cybersecurity Framework (CSF 2.0) harmonisiert, was es Organisationen ermöglicht, KI-Risiken als Teil des breiteren Unternehmens-Risikomanagements zu behandeln.

NIST AI RMF FAQ

Für welche Arten von Organisationen ist das AI RMF konzipiert? Es ist darauf ausgelegt, für jede Organisation nützlich zu sein, die KI entwickelt, bereitstellt oder nutzt. Ob Sie ein Startup sind, das LLM-Prompts feinabstimmt, oder ein multinationales Unternehmen, das Hochrisiko-KI im Gesundheitswesen einsetzt, das Framework ist anpassbar.

Ist das AI RMF eine rechtliche Anforderung? Nein. Das AI RMF ist freiwillig. Aber es hilft Organisationen dabei, sich auf regulatorische Anforderungen vorzubereiten, die bereits in Orten wie der EU, Kanada und mehreren US-Bundesstaaten entstehen. Es positioniert Organisationen auch besser für den Umgang mit Rechtsstreitrisiken, Beschaffungsanforderungen und Stakeholder-Erwartungen.

Wie definiert es "vertrauenswürdige KI"? Das Framework skizziert sieben Schlüsselcharakteristika:

• Gültig und zuverlässig

• Sicher

• Fair und unvoreingenommen

• Transparent und erklärbar

• Sicher und resilient

• Rechenschaftspflichtig und nachverfolgbar

• Datenschutz-verbessert

Risikomanagement-Aktivitäten sind darauf ausgerichtet, diese Charakteristika über den Lebenszyklus hinweg zu erreichen und aufrechtzuerhalten.

Ersetzt das AI RMF bestehende KI-Governance-Praktiken? Nein. Es ergänzt sie. Wenn Sie bereits ISO/IEC 42001, das EU AI Act oder interne KI-Ethik-Prinzipien befolgen, kann das AI RMF Ihnen helfen, Ihre Bemühungen zu operationalisieren und zu benchmarken. Es ist mehr ein Übersetzungs- und Ausrichtungstool, kein Ersatz.

Was ist die Verbindung zwischen dem AI RMF und dem breiteren Unternehmens-Risiko? NIST hat ein Begleitdokument (NIST IR 8357) veröffentlicht, um Organisationen dabei zu helfen, KI-Risiken in die Unternehmens-Risiko-Governance zu integrieren. Das bedeutet, KI-Risikobewertungen mit Audit-, Rechts-, Compliance- und Vorstandsebene-Übersicht auszurichten.

Was ist ein "Profil" im RMF? Ein Profil ist eine angepasste Sicht auf das Framework, die den Kontext, die Prioritäten und die Risikotoleranz Ihrer Organisation widerspiegelt. Sie könnten ein Profil für interne Produktivitäts-Tools und ein anderes für kundenseitige, Hocheinfluss-Anwendungen haben.